Úvodná » ako » Upozornenie Šifrované WPA2 Wi-Fi siete sú stále zraniteľné ako Snooping

    Upozornenie Šifrované WPA2 Wi-Fi siete sú stále zraniteľné ako Snooping

    Väčšina ľudí teraz vie, že otvorená sieť Wi-Fi umožňuje ľuďom odhaliť vašu návštevnosť. Štandardné šifrovanie WPA2-PSK má zabrániť tomu, aby sa to stalo - ale nie je to tak bezpečné, ako si myslíte.

    Toto nie je obrovská novinka o novom bezpečnostnom nedostatku. Skôr je to tak, ako bol WPA2-PSK vždy implementovaný. Ale je to niečo, čo väčšina ľudí nevie.

    Otvorené siete Wi-Fi vs. šifrované siete Wi-Fi

    Nemali by ste hostiť otvorenú sieť Wi-Fi doma, ale môžete sa sami používať na verejnosti - napríklad v kaviarni, pri prechode cez letisko alebo v hoteli. Otvorené siete Wi-Fi nemajú žiadne šifrovanie, čo znamená, že všetko, čo bolo odoslané cez internet, je "jasné." Ľudia môžu sledovať vašu aktivitu prehliadania a akékoľvek aktivity na webe, ktoré nie sú zabezpečené samotným šifrovaním, môžu byť snoopované. Áno, platí to aj vtedy, ak sa po prihlásení do otvorenej siete Wi-Fi musíte na webovej stránke prihlásiť pomocou používateľského mena a hesla.

    Šifrovanie - ako šifrovanie WPA2-PSK, ktoré odporúčame používať doma - to mierne opraví. Niekto v okolí nemôže jednoducho zachytiť vašu návštevnosť a snoop na vás. Získajú veľa šifrovanej prevádzky. To znamená, že šifrovaná sieť Wi-Fi chráni vašu súkromnú prevádzku pred tým,.

    Je to pravda - ale tu je veľká slabosť.

    WPA2-PSK používa zdieľaný kľúč

    Problém s nástrojom WPA2-PSK spočíva v tom, že používa "predbežne zdieľaný kľúč". Tento kľúč je heslo alebo prístupová fráza, ktorú musíte zadať pre pripojenie k sieti Wi-Fi. Každý, kto spája, používa rovnakú prístupovú frázu.

    Je ľahké, aby niekto sledoval túto šifrovanú prevádzku. Všetko, čo potrebujú, je:

    • Prístupová fráza: Každý má povolenie na pripojenie k sieti Wi-Fi.
    • Asociačná návštevnosť pre nového klienta: Ak niekto zachytilo pakety odosielané medzi smerovačom a zariadením, keď sa pripája, majú všetko, čo potrebujú na dešifrovanie prevádzky (za predpokladu, že majú aj prístupovú frázu, samozrejme). Je tiež triviálne získať túto návštevnosť prostredníctvom útokov typu "deauth", ktoré násilne odpojujú zariadenie od siete Wi-Fi a nútia ho opätovne pripojiť, čo spôsobí, že proces združovania sa stane znovu.

    Naozaj nemôžeme zdôrazniť, aké to je jednoduché. Wireshark má zabudovanú možnosť automaticky dešifrovať prevádzku WPA2-PSK, ak máte predbežne zdieľaný kľúč a ste zachytili prevádzku procesu pridruženia.

    Čo vlastne znamená

    Čo vlastne znamená, že WPA2-PSK nie je oveľa bezpečnejší proti odposluchu, ak neveríte každému v sieti. Doma by ste mali byť chránení, pretože prístupová fráza Wi-Fi je tajná.

    Ak však idete do kaviarne a používate WPA2-PSK namiesto otvorenej siete Wi-FI, môžete sa cítiť oveľa bezpečnejšie vo vašom súkromí. Ale nemali by ste - ktokoľvek s prístupovou frázou kaviarne Wi-Fi by mohol sledovať návštevnosť vášho prehliadania. Iní ľudia v sieti, alebo len ľudia s prístupovou frázou, by sa mohli pozerať na vašu návštevnosť, ak by chceli.

    Nezabudnite to vziať do úvahy. Služba WPA2-PSK zabraňuje ľuďom, ktorí nemajú prístup do siete, pred snoopovaním. Keď však majú prístupovú frázu siete, všetky stávky sú vypnuté.

    Prečo sa tým WPA2-PSK nezastaví??

    WPA2-PSK sa to skutočne pokúša zastaviť pomocou "dvojicového prechodného kľúča" (PTK). Každý bezdrôtový klient má jedinečnú PTK. To však veľmi nepomôže, pretože unikátny kľúč na klienta je vždy odvodený z predbežne zdieľaného kľúča (prístupová fráza Wi-Fi.) Preto je triviálne to, aby ste získali jedinečný kľúč klienta, ak máte Wi- Fi a môže zachytiť návštevnosť odoslanú prostredníctvom procesu pridruženia.

    WPA2-Enterprise rieši túto ... Pre veľké siete

    Pri veľkých organizáciách, ktoré vyžadujú zabezpečené siete Wi-Fi, je možné vyhnúť sa tejto slabosti zabezpečenia pomocou používania systému EAP na server RADIUS - niekedy nazývaný WPA2-Enterprise. Vďaka tomuto systému dostane každý klient Wi-Fi skutočne jedinečný kľúč. Žiadny klient Wi-Fi nemá dostatok informácií na to, aby začal snoopovať na inom klientovi, takže poskytuje oveľa väčšiu bezpečnosť. Veľké firemné kancelárie alebo vládne agentúry by mali z tohto dôvodu používať službu WPA2-Enteprise.

    To je však príliš zložité a zložité pre veľkú väčšinu ľudí - alebo dokonca pre väčšinu geekov - na použitie doma. Namiesto prístupovej frázy Wi-Fi musíte vstúpiť na zariadenia, ktoré chcete pripojiť, musíte spravovať server RADIUS, ktorý spravuje autentifikáciu a správu kľúčov. To je pre domácich používateľov oveľa komplikovanejšie.

    V skutočnosti to ani nestojí za váš čas, ak máte dôveru všetkým vo vašej sieti Wi-Fi alebo všetkým, ktorí majú prístup k vašej prístupovej fráte Wi-Fi. Toto je potrebné len vtedy, ak ste pripojení k šifrovanej sieti Wi-Fi WPA2-PSK na verejnom mieste - kaviarni, letisku, hoteli alebo dokonca väčšej kancelárii - kde ostatní ľudia, ktorým nedôverujete, majú aj Wi- FI prístupovej fázy siete.


    Takže klesá obloha? Nie, samozrejme, že nie. Majte však na pamäti: Keď ste pripojení k sieti WPA2-PSK, ostatní ľudia s prístupom k tejto sieti môžu ľahko sledovať vašu návštevnosť. Napriek tomu, čo sa môže u väčšiny ľudí domnievať, šifrovanie neposkytuje ochranu proti iným ľuďom s prístupom do siete.

    Ak musíte pristupovať k citlivým webovým stránkam vo verejnej sieti Wi-Fi - najmä na webových stránkach, ktoré nepoužívajú šifrovanie HTTPS - zvážte to prostredníctvom VPN alebo dokonca tunelu SSH. Šifrovanie WPA2-PSK na verejných sieťach nie je dosť dobré.

    Image Credit: Cory Doctorow na Flickr, Food Group na Flickr, Robert Couse-Baker na Flickr