Мало хто надмірно стурбований безпекою Wi-Fi, із задоволенням підключається до загальнодоступних бездротових мереж і мало робить навіть для захисту власних домашніх мереж. Поки він має пароль, ми вважаємо себе в безпеці.
Зміст
- Вбивство драконів
- Ви так схожі…
- Будьте в безпеці, будучи в безпеці
Як завжди, захистити себе ніколи не так просто, як здається. Захист паролем є частиною системи під назвою Wi-Fi Protected Access, або WPA, яка незабаром стане більш безпечною у вигляді WPA3. Незважаючи на покращення, які він приносить, WPA ніколи не буде срібною кулею.
Рекомендовані відео
У ньому є кілька серйозних недоліків, які були присутні з моменту запровадження першого WPA. Поки ми не зіткнемося з ними, наші бездротові мережі завжди матимуть зяючу діру в стіні захисту.
Пов'язані
- Wi-Fi 6 нарешті запущено. Ось що це означає для вас
Вбивство драконів
Захист паролем і шифруванням були головним моментом створення та поширення WPA2 гарантує, що більшість із нас залишаються в безпеці під час підключення безлічі сучасних пристроїв до Wi-Fi мережі. Але WPA2 має серйозні недоліки, які WPA3 був розроблений, щоб виправити.
Там, де WPA2 використовує a попередній обмін ключами і слабшого шифрування, WPA3 оновлюється до 128-бітного шифрування та використовує систему під назвою «одночасна автентифікація рівних» (SAE), розмовно відому як рукостискання Dragonfly. Це змушує мережеву взаємодію під час потенційного входу, таким чином, хакери не можуть спробувати зламати логін через словник завантажуючи його криптографічний хеш, а потім запускаючи програмне забезпечення для злому, дозволяючи їм використовувати інші інструменти для стеження за мережею діяльність.
Платформа довіреного бездротового середовища
Але Dragonfly і сам WPA3 також вразливі до деяких власних небезпечних недоліків, і деякі з найгірших з них присутні в захищених WPA мережах з моменту їх створення. Ці подвиги були зібрані під ім'я прапора Dragonblood і якщо їх не вирішити, вони можуть означати, що WPA3 не є набагато безпечнішим, ніж WPA2, оскільки методи, які використовуються для обходу його захисту, насправді не змінилися.
Є шість проблем, які висвітлює Меті Ванхоф у своєму викритті Dragonblood, але майже всі вони стали можливими завдяки старовинній техніці злому Wi-Fi під назвою «злий близнюк».
Ви так схожі…
«Найбільша вада Wi-Fi за 20 років полягає в тому, що ти, я і моя сестра (яка не технічно) можемо здійснити злісну подвійну атаку, просто використовуючи наші мобільні телефони», WatchGuard Technologies Директор з управління продуктами Райан Орсі розповів Digital Trends. «[Скажімо] у вас є смартфон і дістаньте його з кишені, зайдіть у свій офіс, і він має мережу Wi-Fi, захищену паролем WPA3. Ви дивитеся на назву цієї мережі Wi-Fi […], якщо ви змінюєте ім’я свого телефону на [те саме ім’я] і вмикаєте свою точку доступу, ви щойно запустили злісну подвійну атаку. Ваш телефон транслює ту саму мережу Wi-Fi».
Хоча користувачі, які підключаються до вашої підробленої мережі-близнюка, роздають багато своєї інформації, використовуючи її, вони потенційно ще більше послаблюють свою безпеку. Ця атака може бути здійснена за допомогою смартфона, який підтримує лише WPA2. Навіть якщо потенційна жертва може підтримувати WPA3 на своєму пристрої, ви фактично знизили її рівень до WPA2 завдяки зворотній сумісності WPA3.
Він відомий як WPA3-Transition Mode і дозволяє мережі керувати захистом WPA3 і WPA2 з тим самим паролем. Це чудово для заохочення переходу на WPA3, не змушуючи людей робити це негайно підтримує старіші клієнтські пристрої, але це слабке місце в новому стандарті безпеки, який залишає всіх вразливий.
«Тепер ви розпочали атаку Dragonblood», — продовжив Орсі. «Ви залучаєте злісну точку доступу-близнюка, яка транслює версію мережі Wi-Fi WPA2, і пристрої-жертви не знають різниці. Це те саме ім’я. Який законний, а який злий близнюк? Пристрою чи людині це важко визначити».
Але режим переходу WPA3 — не єдина слабка сторона для потенційних атак на пониження версії. Dragonblood також охоплює атаку зниження версії групи безпеки, яка дозволяє тим, хто використовує злісну подвійну атаку, відхиляти початкові запити на захист безпеки WPA3. Потім клієнтський пристрій знову спробує підключитися за допомогою іншої групи безпеки. Фальшива мережа може просто дочекатися спроби з’єднання з неналежним захистом і прийняти її, значно послаблюючи бездротовий захист жертви.
Як підкреслив Орсі, злісні подвійні атаки були проблемою мереж Wi-Fi вже більше десяти років, особливо публічні, де користувачі можуть не знати назви мережі, до якої вони планують підключитися достроково. WPA3 мало захищає від цього, оскільки технічно проблема полягає не в самій технології, а в здатності користувача відрізнити законні мережі від фальшивих. У меню Wi-Fi пристрою немає нічого, що б підказувало, до яких мереж безпечно підключатися, а до яких – ні.
«Має бути написано, що це той, кому можна довіряти. Забронюйте готель за допомогою кредитної картки через цей Wi-Fi, тому що він правильний».
Відповідно до Автор Dragonblood, Меті Ванхоф, Це може коштувати лише 125 доларів США за обчислювальну потужність Amazon AWS – запуск програмного забезпечення для злому паролів – для декодувати паролі з восьми символів у нижньому регістрі, і є багато послуг, які можуть навіть виявитися більш конкурентоспроможними, ніж що. Якщо хакер зможе викрасти кредитну картку або банківську інформацію, ці інвестиції швидко окупляться.
«Якщо злий близнюк є, і жертва підключається до нього, з’являється заставка. Заставка зі злим близнюком насправді надходить із ноутбука зловмисника», — сказав Орсі Digital Trends. «Ця сторінка-заставка може містити шкідливий Javascript або кнопку та «клацніть тут, щоб погодитися, завантажте це програмне забезпечення, щоб підключитися до цієї точки доступу».
Будьте в безпеці, будучи в безпеці
«Проблеми [безпеки WPA] не будуть вирішені, доки звичайний споживач не зможе побачити на своєму пристрої, а не трохи навісний замок означає захищений паролем, є інший символ або візуальний індикатор, який говорить, що це не злий близнюк», – Орсі сказав. «[Ми повинні] запропонувати людям візуальний символ, який має сильне технічне коріння, але їм не обов’язково його розуміти. Слід сказати, що це той, кому можна довіряти. Забронюйте готель за допомогою кредитної картки через цей Wi-Fi, тому що він правильний».
Категорія загрози Wi-Fi: точка доступу "Evil Twin".
Для такої системи IEEE (Інститут інженерів з електротехніки та електроніки) має ратифікувати її як частину нового стандарту Wi-Fi. Альянсу Wi-Fi, якому належать авторські права на «Wi-Fi», потрібно було б визначитися з емблемою та надіслати оновлення виробникам і постачальникам програмного забезпечення, щоб вони могли використовувати його. Внесення таких змін у Wi-Fi, як ми його знаємо, вимагатиме величезних зусиль багатьох компаній і організацій. Ось чому Orsi та WatchGuard хочуть зареєструвати людей щоб продемонструвати свою підтримку ідеї нової, надійної бездротової системи, яка дає чіткий візуальний індикатор, щоб допомогти людям залишатися в безпеці в мережах Wi-Fi.
Поки це не станеться, ви можете вжити певних заходів, щоб захистити себе. Першою порадою, яку дав нам Орсі, було оновити та виправити все, особливо якщо це додає захист WPA3. Незважаючи на всі недоліки, він все одно набагато кращий за WPA2 – тому так багато атак Dragonblood зосереджені на зниженні рівня безпеки, де це можливо.
Багато тактик, які використовують експлойти dragonblood, марні, якщо ваш пароль складний, довгий і унікальний.
Про це також розповів Жан-Філіп Таґгарт із Malwarebytes Digital Trends. Незважаючи на недоліки WPA3, це все одно оновлення. Дуже важливо переконатися, що на всіх пристроях WPA3, які ви використовуєте, встановлено найновішу прошивку. Це могло б допомогти пом’якшити деякі атаки побічних каналів, які були присутні в ранніх версіях WPA3.
Якщо ви регулярний користувач загальнодоступних мереж Wi-Fi (або навіть якщо ви не є), Orsi також рекомендує вжити заходів для використання VPNабо віртуальна приватна мережа (ось як його налаштувати). Вони додають до вашого з’єднання додатковий рівень шифрування та обфускації, направляючи його через сервер третьої сторони. Через це місцевим зловмисникам може бути набагато важче побачити, що ви робите в Інтернеті, навіть якщо їм вдасться отримати доступ до вашої мережі. Він також приховує ваш трафік від віддалених зловмисників і, можливо, будь-яких трьох листівних агентств, які можуть спостерігати.
Що стосується захисту Wi-Fi удома, ми також рекомендуємо надійний мережевий пароль. Словникові атаки та грубі атаки, які стали можливими завдяки багатьом експлойтам Dragonblood, марні, якщо ваш пароль складний, довгий та унікальний. Збережіть його в менеджері паролів, якщо ви не впевнені, що запам’ятаєте його (це найкращі). Міняйте його також нечасто. Ви ніколи не знаєте, чи ваші друзі та родина були так само безпечні з вашим паролем Wi-Fi, як ви.
Рекомендації редакції
- Цей недолік безпеки Wi-Fi може дозволити дронам відстежувати пристрої через стіни
