OG Router

Připojte se bezpečně!

Nepříjemné překvapení: I vaše wi-fi je zranitelná

Napsal(a)  Zveřejněno v OG Router

Asi před 14 dny zaplavila internetové servery informace, ve které bezpečnostní odborníci varují, že zabezpečení bezdrátového připojení wi-fi pomocí WPA2 nelze považovat za bezpečné. Pojďme si to tedy shrnout.

Výzkumníci upozorňují, že zranitelností přezdívanou KRACK trpí prakticky všechny bezdrátové sítě současnosti. Problém se týká počítačů, mobilních telefonů, routerů, chytrých televizí a dalších zařízení.

Protokol WPA2 zajišťuje, aby byl přenos dat po bezdrátové síti šifrovaný a nemohl jej nikdo neoprávněně sledovat. Útok KRACK, ale právě takové sledování umožňuje.

Útočník, který je v dosahu oběti (i desítky metrů) může využít této zranitelnosti a pomocí útoků na principu reinstalace klíčů (v originále: Key Reinstallation Attacks - KRACK) může přečíst informace, které byly dosud považovány za šifrované. Pokud je navíc síť špatně nakonfigurovaná, může útočník dokonce podvrhnout data směrem k uživateli. Tedy například napodobit stránky, na které uživatel přistupuje.

Touto zranitelností trpí bohužel prakticky všechna zařízení na trhu. Útočníci ověřili funkčnost na zařízeních s Androidem, Linuxem, Applem, Windowsem, OpenBSD a dalších. Některé firmy již chybu opravily.

Princip útoku spočívá v napodobení tzv. handshakes (doslova: potřesení rukou), tedy ověřovacích mechanismů. Když se připojujete k zabezpečené síti, tak si zařízení mezi sebou „vyjednají“ heslo, kterým pak svou komunikaci šifrují. Ideálně by protokol WPA2 neměl dovolit více uživatelům, aby používali stejné konkrétní zašifrování komunikace. Útok KRACK, ale dokáže podstrčit takovou komunikaci, která má za následek, že například router komunikuje se dvěma zařízeními pomocí stejného šifrování, a útočník tak má přístup k nešifrovaným datům.

KRACK je zcela nová zranitelnost a záplaty proti tomuto útoku se teprve připravují. Neexistuje tedy zatím jednoduchá obrana proti tomuto typu útoku. Navíc je relativně snadno proveditelný. Vyžaduje samozřejmě technické znalosti.

Při procházení webu je pro běžného uživatele nejlepší ochranou důsledné využívání protokolu HTTPS, tedy další vrstvy šifrování nezávislé na šifrování WPA2. Ani útočník, který pomocí útoku KRACK dešifruje vaši komunikaci přes wi-fi síť, totiž nerozšifruje komunikaci zašifrovanou skrze TLS nebo SSL, které HTTPS používá. Útočník může zkusit stránku podvrhnout, šifrování HTTPS odstranit a doufat, že si toho uživatel nevšimne: „V některých případech může útočník odstranit SSL nebo může provést tzv. MitM útok (man-in-the-middle, tedy útok skrz „člověka uprostřed“), kdy uživatel uvidí bezpečnostní hlášení o nedůvěryhodném certifikátu. Oba případy jsou identifikovatelné uživatelem a neměl by v takovém případě pokračovat v používání služby.“

ilustracni foto

Doporučení pro uživatele v reakci na odhalení zranitelnosti KRACK

Uživatelé koncových zařízení:

  • používejte všude, kde je to možné, zabezpečený protokol HTTPS
  • využít můžete například rozšíření do prohlížeče HTTPS Everywhere od EFF
  • každou wi-fi síť (včetně své domácí sítě) považujte až do vydání příslušných záplat za nezabezpečenou
  • nastavte přechodně své bezdrátové sítě wi-fi, ke kterým se připojujete, jako „veřejné“ (Public) namísto „domácí“
  • až bude dostupný update operačního systému, nainstalujte jej
  • pro další úroveň zabezpečení můžete použít VPN

Provozovatelé sítí:

  • nespoléhat na zabezpečení WPA2 jako na jediné zabezpečení
  • sledovat, zda výrobce nevydal update firmware nebo záplatu pro používaný operační systém
  • pro obzvláště citlivé přenosy volte síťový kabel, nikoli wi-fi
  • nejdůležitější je aktualizovat software na koncových zařízeních
  • americký institut CERT sleduje tuto zranitelnost pod identifikačním číslem VU#228519. Dosah této zranitelnosti se zatím zjišťuje. Sám Vanhoef varoval institut CERT v červenci 2017 a CERT varoval výrobce koncem srpna.
  • „zranitelnost je sice závažná, nicméně útočník by se musel nacházet v dosahu Wi-Fi signálu cíle, což činí útok méně praktický.“ Uživatelé by však podle něj měli veřejné WPA sítě považovat za nebezpečné a použít službu VPN, stejně jako na otevřených sítích.

Některé firmy, mezi nimi i Microsoft, už údajně zranitelnost u svých produktů opravily: „Zákazníci, kteří mají aktivní automatické aktualizace, jsou před touto zranitelnosti ochráněni.“ 

Opravu hlásí i Debian/Ubuntu Linux. Mezi další firmy, které již nabídly opravu, patří Mikrotik, Netgear nebo Ubiquiti. Naopak například zařízení s Androidem jsou zatím zřejmě neopravené. 

Podle Vanhoefa, který závadu objevil, je situace vážná, ovšem neznamená konec protokolu WPA2: „Naštěstí lze tyto chyby opravit, a to tak, že záplatovaný systém bude zpětně kompatibilní.“ Doporučuje proto, aby uživatelé aktualizovali svá zařízení, jakmile pro ně bude dostupná záplata. 

Co naopak proti útoku tentokrát nepomůže?

„Nemá cenu měnit heslo na routeru. To nemá s útokem nic společného.“ Útočník totiž nepotřebuje heslo pro přístup do sítě. Jde o první úspěšný útok proti WPA2, který nějakým způsobem nespoléhá na uhádnutí hesla. 

Nepomůže ani filtrování MAC adres na straně AP (např. routeru). MAC adresa je pevně určená adresa každého hardware, a někteří uživatelé tak chrání svou wi-fi například tím, že mají seznam povolených zařízení, které na danou wi-fi mohou přistupovat. „Ale protože útok KRACK kompromituje přímo protokol WPA2, užíváný jak vaším zařízením, tak AP, není filtrování MAC adres účinnou obranou proti tomuto útoku. 

Útok funguje i proti starší verzi zabezpečení (WPA1), takže nepomůže přepnout se na starší, dnes už tak nedoporučované zabezpečení.

Podle Vanhoefa není jasné, jestli už na tuto zranitelnost přišel někdo jiný. Vyloučit to prý nejde. Útokem se nyní zabývá i W-Fi Alliance, která jej zahrnula do svých doporučení a laboratorních testů.

Pokud potřebujete poradit s výběrem nového hardwaru, nebo softwaru, ať už u doma, nebo ve firmě, rádi Vám pomůžeme osobně na naší prodejně výpočetní techniky! Jsme největší servisní středisko výpočetní techniky v regionu Ústí nad Orlicí.

Sjednejte si schůzku Jak se k nám dostat?

1697 Naposledy změněno středa, 01 listopad 2017
Kontaktujte našeho obchodníka
Jaroslav Kopecký
Jaroslav Kopecký
Jednatel společnosti
 kopecky@ogsoft.cz   +420 603 162 675
Přihlašte se k odběru novinek pro firmy