Odhalili doteraz najvážnejšiu chybu bezdrôtových Wi-Fi sietí. Ako sa brániť?
Na paniku nie je dôvod. V najbližších dňoch odporúčame aktualizovať vaše zariadenia pripájané k internetu cez Wi-Fi sieť, z ktorých sa prihlasujete na dôležité služby. Z tohto zoznamu je možné vylúčiť smart televízory či internetové rádiá.
Tento týždeň v pondelok postdoktorandský výskumník Mathy Vanhoef z belgickej univerzity KU Leuven odhalil doteraz najzávažnejšiu chybu bezdrôtových Wi-Fi sietí.
Vďaka chybe je možné zo strany útočníkov získať prakticky všetky informácie, ktoré používateľ posiela do internetovej siete, vrátane hesiel či iných osobných údajov.
Wi-Fi siete poznáme nezabezpečené, takzvané otvorené a zabezpečené, chránené heslom. Zabezpečenie je už niekoľko rokov riešené rôznymi typmi protokolov ako WPA a WPA2 (je to práve pre zraniteľnosť pôvodného protokolu WEP).
Doteraz bol za najlepšie zabezpečenie bezdrôtových Wi-Fi sietí považovaný protokol WPA2, ktorý využívajú domácnosti (WPA2-PSK) alebo firmy (WPA2-Enterprise).
Domáci používatelia však i toto podceňujú a svoje Wi-Fi siete si „chránia“ jednoduchými heslami, ktoré dokázal prelomiť aj slabý útočník. Ide o takzvané slovníkové heslá, keď útočník spustí program na hľadanie hesla pomocou bežných slov a heslo rýchlo nájde. Vďaka heslám ako mojawifi, domov, milujemmanzelku a pod. je možné komunikáciu cez Wi-Fi vystaviť ohrozeniu aj bez novoobjaveného problému.
Čo sa stalo?
Výskumník Mathy Vanhoef prišiel na chybu v protokole WPA2 (ale aj WPA), ktorá so správnymi nástrojmi útočníka dokáže získať dôležité informácie z komunikácie medzi používateľom a Wi-Fi routerom.
Jednoducho povedané, pri pripájaní používateľa k zabezpečenej Wi-Fi sieti prebieha 4-kroková autentifikácia, počas ktorej si zariadenia vymieňajú bezpečnostné kľúče. Pri výmene tretieho kľúča môže útočník vyvolať problém s viacnásobným odosielaním kľúča, zresetuje kľúče a následne vie dešifrovať posielané dáta. Ide o exploit (škodlivý kód) KRACK (Key Reinforcement Attacks).
Zaujímavosťou je, že útočník nevie získať heslo ani bezpečnostné kľúče Wi-Fi siete. Ide tak o prvý útok na WPA2, ktorý nie je namierený na získanie prístupových údajov. Aj napriek tomu dokáže ovplyvňovať komunikáciu medzi používateľom a Wi-Fi routerom. Napríklad dokáže upraviť zabezpečenú adresu webovej stránky (https://) na nezabezpečenú (http://).
Ohrozený najmä Android a Linux
Hoci problém sa týka hlavne Wi-Fi routerov a ich firmvéru, najväčší problém s KRACK-om majú operačné systémy Android verzie 6.0 a Linux, ktoré v spomínanom treťom kroku autentifikácie prijímajú kľúč aj viacnásobne. Využívajú na to softvér wpa_supplicant, ktorý po viacnásobnom spracovávaní tretieho kroku nastaví pre autentifikačný kľúč iba nuly.
Menej ohrozené sú systémy ako Windows, iOS a macOS, ktoré by mali vo väčšine prípadov ignorovať znovuposielanie tretej správy pri autentifikácii. To však neznamená, že nie sú ohrozené vôbec. Podľa Vanhoefa a jeho tímu je v súčasnosti zraniteľných až 50 percent zariadení s Androidom. Aj napriek tomu je útoku vystavená každá Wi-Fi sieť so zabezpečením WPA2.
Ako sa brániť?
Základom je nepanikáriť. Nie je dôvod, aby vašu Wi-Fi sieť v domácnosti zrazu hackovali útočníci. Takýto útok nie je vôbec jednoduchý, a kým vzniknú nástroje na jeho zjednodušenie, výrobcovia zariadení pripravia bezpečnostné záplaty.
V smartfónoch, tabletoch či počítačoch sa aktualizácie objavia automaticky, prípadne je ich jednoduché vyhľadať, no aktualizácia Wi-Fi routera je vo väčšine prípadov manuálna. To znamená, že musíte navštíviť webovú stránku výrobcu vášho routera, zadať jeho názov a vyhľadať súbor s novým firmvérom. Potom je nutné nainštalovať manuálne cez web rozhranie routera v domácej či firemnej WLAN sieti.
Ak však máte obavu o stratu dôležitých údajov, na internet sa môžete pripájať pomocou kábla. Dobré je tiež sledovať, či webová stránka využíva šifrovanú komunikáciu SSL (https://) a nie komunikáciu bez šifrovania (http://).
Ide hlavne o stránky, na ktoré sa prihlasujete s menom a heslom (sociálne siete, e-mail, e-banking a pod.). Aplikácie s prihlasovaním by ohrozené byť nemali.
Hackeri budú pravdepodobne aj tak útočiť na Wi-Fi siete určené pre veľké skupiny ľudí, ako sú bezplatné Wi-Fi v kaviarňach, hoteloch, reštauráciách, námestiach a podobne.
Tu sa síce do on-line bankingu prihlasuje minimálne množstvo používateľov, no útočník vie vďaka KRACK-u do zariadenia inštalovať škodlivé kódy.
Odporúčame preto v najbližších dňoch aktualizovať všetky svoje zariadenia pripájané k internetu cez Wi-Fi sieť, z ktorých sa prihlasujete na dôležité služby. Z tohto zoznamu je možné vylúčiť smart televízory či internetové rádiá. Na tých únik dát prakticky nehrozí.
Máte pripomienku alebo ste našli chybu? Prosíme, napíšte na [email protected].