Злом WPA2 - вразливість KRACK в Wi-Fi мережі

1. Як захиститися від нового виду злому протоколу WPA2?
2. Хороші новини про випуск апдейтів проти KRACK
3. Найбільш важливі факти про нову уразливість KRACK

Якщо ви до цих пір думали, що ваша домашня Wi-Fi мережу досить добре захищена від злому, то прийшов час розчаруватися. Виявляється, практично всі бездротові Wi-Fi пристрої на ринку сьогодні можуть бути скомпрометовані через нову «дірку» в безпеці, експлойт під назвою KRACK. Нова WPA2 вразливість дозволяє здійснити злом пароля до будь-якої Wi-Fi мережі, що використовує даний вид шифрування даних.

До сьогодні найважливішим і поширеним правилом захисту домашньої Wi-Fi мережі була установка складного і унікального пароля доступу. Будь-яка інструкція до роутера рекомендує придумати і внести в настройки технології захисту Wi-Fi Protected Access 2 (WPA2) складний пароль. Цей стандарт з'явився ще в 2004 році, до цього дня застосовувався повсюдно і вважався відносно безпечним для публічних і домашніх мереж. Але, так само, як і замок в дверях вашого житла, пароль WPA2 є лише заспокійливим і стримуючим фактором, нездатним повністю захистити вас.

Зараз хочу звернути вашу увагу на найбільш тривожний момент в новому вигляді атаки. Вона зачіпає практично будь-яку реалізацію технології WPA2, а найголовніше - без злому пароля Wi Fi мережі зловмисник отримує доступ не до точки доступу, а безпосередньо до даних бездротових пристроїв, підключених до неї.

На веб-сайті компанії, що виявила таку страшну діру для злому мережі Wi Fi, написано наступне: «Android, Linux, Apple, Windows, OpenBSD, MediaTek, Linksys і інші платформи, все схильні до однієї з версій атаки KRACK». Зазначу, що більшість пристроїв на одній з актуальних версій Windows і iOS не так серйозно схильні атаці KRACK, так як Microsoft і Apple дуже серйозно підійшли до захисту бездротових технологій і захисту від вразливості технології WPA2. А ось Linux і Android більш уразливі проти KRACK.

Як захиститися від нового виду злому протоколу WPA2?

Що ж можна зробити для свого захисту прямо зараз? Точно можу сказати вам, що не варто нервувати і відмовлятися від протоколу WPA2 в своїй мережі. Він все ще залишається найбільш захищеною технологією, доступною для більшості бездротових мереж.

Отже, що ж можна зробити прямо зараз, щоб убезпечити свою Wi-Fi мережу від злому? Оновлення прошивки всіх своїх мережевих пристроїв і операційні системи до останніх версій програмного забезпечення. На даний момент - це найефективніший засіб, перевірити наявність «свіжих» оновлень і переконатися, що ви вже оновилися для закриття уразливості WPA2. У ситуації, що склалася користувачі знаходяться повністю у владі виробників і залежать від їх готовності своєчасно оновлювати свої продукти. Microsoft, наприклад, вже випустила пакет оновлень безпеки, який закриває виявлену уразливість. Google теж в найближчі тижні планує вирішити проблему на всіх постраждалих пристроях. Для Linux патч теж вже готовий.

Відразу хочу звернути увагу - зміна паролів доступу вам ніяк не допоможе. Звичайно, ніколи не зайве зробити пароль більш складним і стійким до атаки шляхом перебору, але це ніяк не врятує від KRACK. Новий вид атаки просто ігнорує пароль, так що його зміна не допоможе.

Ще один момент, який необхідно знати! KRACK є локальною вразливістю, і тому хакер повинен перебувати в зоні покриття вашої бездротової точки доступу. Але не варто розслаблятися і радіти, що ваша домашня мережа знаходиться поза зоною небезпеки. Дійсно, активність цього виду атаки в домашніх мережах сильно знижується через свого локально-обмеженого принципу дії, але ви з нею зіткнетеся з більшою часткою ймовірності при роботі в публічній мережі. Вам від цього стало легше?

Хороші новини про випуск апдейтів проти KRACK

Дуже радує, що багато компаній оперативно зреагували на масове виявлення уразливості і швидко розробили виправлення для свого програмного забезпечення.

Нижче наведено невеликий список, який підтверджує мої слова. Наступні компанії вже готові захистити вас від нового злому мережі Wi Fi на WPA2.

• Apple вже розробила бета-версію патча для iOS, MacOS, WatchOS і TVOS
• Aruba випустила патчі для ArubaOS, Aruba Instant, Clarity Engine і іншого ПО
• Cisco приготувала патчі, щоб закрити уразливості в деяких своїх мережевих пристроях, і продовжує роботи
• Expressif Systems пофиксил всі свої чіпсети, включаючи ESP-IDF, ESP8266 і ESP32
• FreeBSD Project в даний час працює над створенням свого патча
• Intel розробила і опублікувала інструкції, як оновити схильні атаці пристрої
• MicroTik RouterOS версій 6.93.3, 6.40.4 і 6.41rc вже захищені він нової атаки. І так далі…

Список виробників, які ще не пропатчити своє обладнання, і тих, які це вже зробили, можна подивитися на сайті CERT .

Найбільш важливі факти про нову уразливість KRACK

На щастя, є ще кілька позитивних моментів у виявленні нової можливості злому Wi Fi мережі з активним протоколом WPA2. Сподіваюся, вони вас втішать!

Всесвітній альянс Wi-Fi Alliance, який об'єднує найбільших виробників мережевої інфраструктури і регламентує роботу мереж в стандарті Wi-Fi, ще 16 вересня заявив про те, що «замовив всеосяжне тестування нової уразливості через свої лабораторії глобальної мережі сертифікації». Такий план може допомогти повернути до життя багато бездротові пристрої, які вже покладені користувачами на полиці. Альянс планує створити незабаром набір інструментів для виявлення уразливості, який буде поширений серед членів Wi-Fi Alliance, з метою тестування мережевого обладнання.

Тепер, увага! Резюмуємо, що допоможе захистити ваші дані від крадіжки на даному етапі?

1. Використання віртуальної приватної мережі (VPN) дозволить зашифрувати ваш інтернет трафік і захистить вас від злому WPA2. Незалежно від поточних ризиків, практика використання VPN з'єднання в усі часи вважалася хорошим способом для забезпечення конфіденційності даних.
2. Намагайтеся відвідувати тільки ті сайти, які використовують розширений протокол HTTPS. Вбудовані в нього механізми шифрування допоможуть захистити вас від KRACK. Але не варто вважати цей протокол ідеальним захистом або панацеєю.
3. Перевіряйте і встановлюйте всі оновлення апаратних прошивок і софта, що усувають уразливість технології WPA2.

Даний перелік не є вичерпним, якщо з'явиться нова інформація про захист від злому Wi-Fi мережі, що не потребує підбору пароля WPA2, я додам її в цій статті пізніше.