7

Niebezpieczny protokół WPA2 w routerach – jak się zabezpieczyć?

Wczorajszy materiał na temat niebezpiecznych routerów wykorzystując obecny od 13 lat na rynku mechanizm WPA2 zyskał ogromne zainteresowanie. Nic w tym dziwnego, bowiem tę metodę wykorzystujemy bardzo szeroko w wielu klasach urządzeń. Dobrze jednak wiedzieć o tym, że nawet dopóki nie jesteśmy w stanie załatać wszystkich swoich sprzętów, to możemy zrobić coś, aby nie dać się złapać w sidła cyberprzestępców, którzy postanowią zrobić użytek z ataku KRACK.

Atak KRACK na WPA2 – najważniejsze fakty

Atak KRACK pozwala atakującemu na odszyfrowanie danych lub zmienić ich treść (podszywając się pod wysyłającego informacje) lub wprowadzać własne. Wszystko to jest możliwe w ramach złamania protokołu WPA2 za pomocą odtworzenia pewnych wstępnych informacji wymienianych między klientem, a access pointem. Szczególnie wskazuje się tu proces „4-way handshake”, kiedy to obydwa sprzęty muszą sobie „przedstawić dowody” na to, że są w posiadaniu prawidłowego klucza dzielonego – ale musi się to odbyć bez jego jawnego użycia. Dlatego też tworzy się klucz tymczasowy. Tyle, że klucz szyfrujący, jak udowodniono można wysłać kilka razy, co już stwarza możliwość skonstruowania udanego ataku. Nie polega on natomiast na tym, by odsłonić przed cyberprzestępcą hasła otwierającego drogę do WiFi. Ale możliwe jest podsłuchiwanie wszelkiej niezaszyfrowanej komunikacji (danych wysyłanych na strony w plain text) bez użycia protokołu HTTPS.

Atak można przeprowadzać jedynie wtedy, gdy mamy fizyczny dostęp do danej sieci. Oznacza to, że ktoś musiałby mieć mocny interes w tym, aby nas podsłuchiwać i modyfikować ruch sieciowy w czasie rzeczywistym. Zdalne wykonanie ataku jest zasadniczo niemożliwe (chociaż snuje się domysły na temat ustawiania „fejkowych” urządzeń korzystających z sieci bezprzewodowych w zasięgu infrastruktury ofiary po to, aby móc przeprowadzić atak zdalnie).

Powodem do sporego niepokoju jest fakt, iż podatnych jest multum sprzętów, które wykorzystujemy na co dzień. I to zaczynając od routerów WiFi, a skończywszy na sprzętach IoT – nawet takich jak żarówki. Wady w protokole WPA2 muszą wystąpić zarówno na access poincie, jak i na urządzeniu klienckim tak, aby możliwe było przechwycenie zaszyfrowanych danych. Oczywiście, pięknie by było, gdyby access pointy jak jeden mąż zaczęły otrzymywać stosowne poprawki. Ale jak wiadomo – jest to nieco… trudne. Zresztą, z urządzeniami IoT, smartfonami może być podobny kłopot.

Co możemy zrobić teraz, żeby uchronić się przed atakiem KRACK?

Przede wszystkim nie panikuj i przemyśl, czy ktokolwiek miałby interes w tym, żeby podejść pod Twój dom, czy blok i próbować deszyfrować Twoje dane. :) Nawet, jeżeli odpowiedź brzmi przecząco powinieneś jednak zrobić coś, żeby podnieść swój poziom bezpieczeństwa. Na początek, zorientuj się, czy dla Twoich urządzeń w domu znajdują się poprawki związane z atakiem KRACK. Pięknie będzie, jeśli router zgłosi obecność aktualizacji dotyczących ataku KRACK. Wtedy – nawet, jeżeli inne sprzęty w domu – telewizor, lodówka (tak, lodówka), inteligentny głośnik nie zostaną załatane i tak będą bezpieczne – tylko w obrębie załatanej sieci. Sprawdź także swój telefon komórkowy i zasięgnij pomocy Google w poszukiwaniu poprawek związanych z KRACK. Producenci różnych urządzeń już teraz deklarują opracowywanie konkretnych uaktualnień.

krack wpa2

Musicie jednak wiedzieć, że jeżeli weźmiecie niezałatane urządzenie ze sobą i podłączycie się do niezabezpieczonej przed tym atakiem sieci, jesteście potencjalnie zagrożeni odszyfrowaniem Waszych danych. Mówi się o tym, że najbardziej na to mogą być narażone publicznie dostępne access pointy.

Pamiętaj o tym, że połączenia via HTTPS są dodatkowo szyfrowane, co znacznie utrudni cyberprzestępcom dostęp do danych wymienianych po tym protokole. Nawet, jeżeli Twoja sieć jest niezałatana, urządzenie klienckie także – nie masz się czego obawiać, o ile działasz w ramach tego protokołu. Aby zapewnić sobie dodatkowe bezpieczeństwo również dla innych witryn, skorzystaj z dobrego VPN-a.

Atak jest poważny, ale… zasadniczo nie jest tak źle, jakby mogło być

Co bardzo ważne, producenci wszelkiej maści urządzeń mocno przejęli się tą kwestią i zgłosili swoją gotowość do załatania luki. Podziękujmy za to szumowi medialnemu, który wytworzył się wokół tego tematu. Nie oznacza to, że wszyscy producenci jak jeden mąż zaktualizują swoje urządzenia – z tym może być pewien kłopot. W szczególnie złej sytuacji są smartfony, które już od dawna nie widziały stosownych uaktualnień. W podobnież niekorzystnym położeniu znajdują się routery mniej renomowanych producentów lub po prostu stare modele.

  • gom1

    Bye bye BB (OS).

    • Ło, Panie. My się pożegnaliśmy… już dawno, dawno temu. :)

    • gom1

      Jestem post-hipsterem – zacząłem używać kiedy przestało być modne ;-)

    • Planowałem kupić w tym miesiącu Passporta ze względu na HUB i obsługę skrzynek mailowych.;)

  • Grubas

    To nie protokół, tylko jego implementacje, i to nie wszystkie. Protokół nie został „złamany”. Nie odszyfrowywanie a podsłuchiwanie, czyli poznanie transmisji nieszyfrowanej. I urządzenia klienckie, a nie każdy AP.

    Jakieś sprostowanie może?

  • Magnum44pl

    Przecież już są łatki na Windowsa i Linuxy, które eliminują tą podatność. Jedyne urządzenia na prawdę narażone, to te z Androidem (za wyjątkiem LineageOS’a – tam od wczoraj jest załatane, ale ile osób ma go na telefonie?) i tyle. Czemu nie ma wspomniane o tym?

    • Michał

      Ponieważ na tytuł „kolejna niezałatana dziura w androidzie” nikt by nie kliknął :)