Co je WPA3, je bezpečný a mám ho používat?
Co je WPA3? Wi-Fi Protected Access (WPA) je často označován jako bezpečnostní standard nebo protokol používaný k šifrování a ochraně wi-fi sítí, jako je ta, kterou pravděpodobně používáte doma nebo v práci, ale ve skutečnosti se jedná o bezpečnostní certifikační program vyvinutý společností Wi-Fi Alliance pro zabezpečení bezdrátových počítačových sítí.
WPA3, vydaný v červnu 2018, je nástupcem WPA2, který bezpečnostní experti popisují jako „rozbitý“. Cílem vývoje WPA3 bylo zlepšit WPA z hlediska jednoduchosti použití a zvýšení kryptografické síly. Stejně jako jeho předchůdce se dodává v edicích Personal a Enterprise, ale tato verze vylepšuje WPA2 s robustnějšími funkcemi ověřování a šifrování a řešením vestavěné chyby v WPA2, KRACK. Zahrnuje také funkce pro zjednodušení a lepší zabezpečení připojení IoT wifi zařízení.
Obsah [ skrýt ]
- Jak bezpečné jsou současné standardy šifrování wifi?
- Předsdílený klíč (PSK)
- Čtyřstranné podání ruky
- Je WPA3 bezpečný? Jistě, ale existují také vylepšení WPA2
- WPA3-Osobní
- WPA3-Enterprise
- Čtyři oblasti zlepšení
- Simultaneous Authentication of Equals (SAE) proti útokům hrubou silou
- Device Provisioning Protocol (DPP) pro správu sítí a zařízení IoT
- Opportunistic Wireless Encryption (OWE) pro bezpečnější surfování po hotspotu
- Jaký software a zařízení jsou zranitelná vůči KRACK?
- Jaký druh zranitelnosti útoků odhalují nedostatečně zabezpečené sítě?
- Slova varování od nálezců chyby KRACK
- Co říkají cynici, včetně IT vývojářů, o WPA3?
- Jak se mohou firmy chránit? (vyřešeno)
- Tipy na zabezpečení Wifi pro domácí sítě a zařízení internetu věcí (Vyřešeno)
Problém
The KRACK (útok na přeinstalaci klíče) závadu lze klasifikovat jako závažnou přehrát útok , a je formou útoku typu man-in-the-middle. Základním problémem WPA2, na který upozornil objev KRACK, je chyba v samotném certifikačním standardu WPA2 a ne slabina způsobená špatnou konfigurací produktu nebo implementací služby.
Později se do KRACKu ponoříme hlouběji, ale podstatou je, že jakákoli správná implementace WPA2 bude pravděpodobně zranitelná; zranitelnost je vlastní protokolu WPA2.
Řešení
V reakci na tento debakl v červnu 2018 Wi-Fi Alliance® oznámila uvedení Wi-Fi CERTIFIED WPA3™ zabezpečení, wifi certifikační standard, který:
- Řeší zranitelnost KRACK
- Upgraduje WPA2 o další bezpečnostní funkci s. To je důležité, protože existuje několik bezpečnostních děr wifi, které jsou pro hackery atraktivnější a mnohem snazší je prolomit než KRACK.
Co je WPA3? Certifikaci WPA3 pro wifi zařízení lze volně přirovnat k certifikátu způsobilosti pro vaše auto. Bez certifikace nemohou dodavatelé hardwaru tvrdit, že splňují bezpečnostní standardy Wi-Fi Alliance.
Může to být nějaký čas předtím, než WPA3 získá kompletní buy-in uživateli wifi ; mezitím budou podle Wi-Fi Alliance „zařízení WPA2 nadále spolupracovat a poskytovat uznávané zabezpečení“. WPA2 je během přechodného období nadále povinný pro všechna zařízení s certifikací Wi-Fi.
Co je WPA3 a je to bezpečné?
Tento článek se podívá na to, jak WPA3 zlepšuje zabezpečení WPA2, a uvede KRACK do perspektivy. I když je WPA3 rozhodně tou správnou bezpečnostní cestou, kterou se v budoucnu vydat, uživatelé by se měli ujistit, že implementují a mnohostranná, vrstvená bezpečnostní strategie k ochraně všech aspektů jejich wifi sítě. WPA3 nestačí k úplné ochraně wifi sítí, i když jiná vylepšení než oprava KRACK jdou dlouhou cestu k zaplnění dalších děr zabezpečení wifi. Budeme také diskutovat o některých výtkách, které byly vzneseny na WPA3. Nakonec se dotkneme některých způsobů, jak mohou domácí uživatelé a podniky praktikovat bezpečnou wifi. Je WPA3 bezpečný? Pojďme to zjistit.
Rozsah zranitelnosti KRACK
Objev KRACK způsobil určité znepokojení v IT komunitě, důvodem je to, že tolik wifi zařízení používá WPA2 a stále více lidí používá tato zařízení k připojení k internetu. Podle Kroutit , k lednu 2018 bylo celosvětově více než 400 milionů bezdrátových připojení. KRACK by mohl velké procento z nich učinit zranitelnými vůči útoku. (Mimochodem, ve volné přírodě zatím nebyly zdokumentovány žádné útoky KRACK.)
Bezdrátový přístup k internetu podle uživatelů internetu na celém světě k červnu 2015, podle zařízení (Zdroj: Státník )
Jak bezpečné jsou současné standardy šifrování wifi?
- Wired Equivalent Privacy (WEP) – Velmi nespolehlivé, ale stále se používá. Podle Kaspersky Labs by hackerům trvalo jen několik minut, než by prolomili sítě chráněné WEP.
- Otevřené sítě – Žádné zabezpečení.
- Wi-Fi Protected Access (WPA) – V roce 2002 měl být WPA pouze přechodným opatřením k nahrazení WEP a v roce 2004 byl nahrazen WPA2. Problémem WPA bylo použití neúčinného TKIP šifrovací protokol, který není bezpečný.
- Wi-Fi Protected Access 2 (WPA2)
- TheOsobníverze je přiměřeně bezpečná, ale zranitelná vůči útokům hrubou silou a slovníkovým útokům. Může umožnit zachycení komunikace (handshake) mezi přístupovým bodem a zařízením na začátku wifi relace.
- ThePodnikverze je do určité míry chráněna před zachycováním handshake, protože používá dodatečné firemní autorizační postupy.
- Wi-Fi Protected Access 3 (WPA3) – Nahrazuje WPA2 od ledna 2018, i když zavedení bude nějakou dobu trvat. Poskytuje v současnosti nejlepší zabezpečení Wi-Fi.
Mějte na paměti, že POUZE zařízení chráněná WPA2 jsou zranitelná konkrétně vůči útoku KRACK. Otevřená, nezabezpečená síť není šifrovaná a zranitelná téměř jakýmkoliv typem útoku, ale ne z hlediska KRACK, protože nepoužívá WPA2.
Typy šifrování používané v veřejné wifi hotspoty globálně (Zdroj: Kaspersky Security Network (KSN) )
KRACKING analogie
Jádrem zranitelnosti WPA2 jsou nedostatky ve vyjednávání typu handshaking – bod, kde se přístupový bod (AP) a router setkávají a vítají, aby potvrdily přihlašovací údaje klienta. V další části, kde prozkoumáme, co je WPA3, se podíváme podrobněji na to, proč.
Chcete-li nastavit scénu, zde je analogie k podání ruky proces (pokud dovolíte představivosti trochu licence.)
Ilustrace třícestného podání ruky, jak je popsáno v analogii níže (Zdroj: Wikipedie , s úpravami)
- Nechte nás předstírat, že jste v bance a pokladník vás požádá o jméno, heslo a telefonní číslo, než vám dá peníze. Vy a banka jste se dohodli na tomto bezpečnostním postupu, abyste mohli při výběru peněz prokázat, že jste tím, za koho se vydáváte.
- Pokladníkovi sdělíte své jméno, heslo a číslo mobilu. V této bance je dalším krokem v procesu, kdy banka odešle na váš telefon a tajný kód které použijete k potvrzení své totožnosti.
- Mezitím, aniž byste o tom věděli, někdo za vámi ve frontě odposlouchává a slyšel vaše jméno a heslo, a hlavně vaše tajný kód .
- Poté, co opustíte banku, odposlouchávač přiběhne k pokladníkovi, a dokud je váš tajný kód stále platný, vybere poslední peníze pomocí vašeho ukradeného jména, hesla a tajný kód .
Pravděpodobně jste si všimli slabé stránky výše uvedeného scénáře; zabezpečení bylo ohroženo v určité fázi při zřizování vašich přihlašovacích údajů; ne když byly vaše pověření nad hlavou, ale protože když jste opustili banku, váš tajný kód byl stále platný . Pokud by tomu tak nebylo, vaše jméno, heslo, číslo mobilního telefonu a tajný kód by byly pro odposlecha k ničemu.
V tomto příběhu je zvrat: pokladník a odposlouchávač jsou ve spojení. Tento falešný pokladník ve skutečnosti podvedl skutečného pokladníka (který je na obědě) a toto je a muž-in-the-middle útok . Oba zločinci nyní mají vaše pověření.
Tento problém, jak uvidíme, řeší WPA3.
Jak je WPA2 zranitelný?
Primární zranitelnost v WPA2 je čtyřsměrné podání ruky používá k zabezpečení wifi připojení pomocí a Předsdílený klíč (PSK) . (Ve WPA3 je PSK nahrazeno handshake Simultaneous Authentication of Equals (SAE).)
V této části použijeme analogii z předchozí části, abychom problém ilustrovali.
Předsdílený klíč (PSK)
Úvodní část bezpečnostní kontroly, kterou jste v bance procházeli analogií výše, lze volně přirovnat WPA2-PSK , autentizace což vyžaduje, aby se jednotlivec připojil k wifi síti (požádejte o peníze v bance v naší metafoře) pomocí přístupové fráze. PSK odkazuje na „ sdílené tajemství “, v tomto případě heslo.
Poznámky:
- WPA2 bez PSK je možnost, která se používá, pokud chcete použít ověřovací server. Firma by si tuto možnost měla vybrat, pokud chce zařízením zaměstnanců přiřadit jedinečné klíče. Pokud dojde ke kompromitaci klíče, firmě by pak stačilo vygenerovat nový klíč pro jedno zařízení. To by také zabránilo ohrožení jiných zařízení ztraceným nebo odcizeným klíčem, což by mohlo být, pokud by všechna zařízení používala stejný klíč.
- Co je rozdíl mezi WPA2-PSK a WPA2-osobní ? Termíny se používají zaměnitelně, ačkoli WPA2-Personal znamená použití AES, zatímco WPA2-PSK znamená výběr mezi staršími TKIP a AES. Jak je vysvětleno v a Cisco blog , některá zařízení umožňují WPA s AES a WPA2 s TKIP. AES je ve WPA volitelný, ale ve WPA2 je AES povinný a TKIP je volitelný. Oba termíny odkazují na použití PSK, což je to, co odlišuje WPA2-Personal od WPA2-Enterprise.
Čtyřstranné podání ruky
Ověření pověření v telekomunikacích se nazývá podání ruky . V bance jste si s pokladním potřásli rukou ve třech krocích, abyste získali své přihlašovací údaje, tajný kód byl posledním podáním ruky v procesu.
Všechny wifi sítě používají a čtyřsměrné podání ruky .
Na obrázku níže je podvržený přístupový bod wifi falešný pokladník, se kterým jste jednali v bance.
Ukázka toho, jak útok KRACK zachytí čtyřstranné podání ruky (Zdroj: Enis )
Dionýsa Rowella , psaní pro Paket6 , vysvětluje: „Útočník podvrhne skutečný přístupový bod a oklamat klienta, aby se připojil k podvodnému přístupovému bodu, ale umožňuje dokončit ověřování Wi-Fi . Aby útočník útok KRACK ukončil, přehraje zprávu v rámci 4-Way Handshake. Chyba je v tom, že zařízení oběti přijme přehrání jedné z těchto zpráv, když by nemělo. Tím pádem umožňující útočníkovi použít dříve použitý klíč . Klíč by měl být použit pouze jednou a to je chyba na cíle útoku KRACK.”
Dionicio pokračuje: „Technickou opravou KRACK Attack je zabránit opětovnému použití hodnot nonce. Zařízení nesmí přijímat dříve použité klíče .“
Přečtěte si techničtější vysvětlení opětovné použití nuncia Mathy Vanhoef, výzkumník KRACK.
Je WPA3 bezpečný? Jistě, ale existují také vylepšení WPA2
Oznámení WPA3 vyvolalo několik vln, ale jeho uvedení na trh bude nějakou dobu trvat. Mezitím budou také nasazena některá vylepšení WPA2:
- Vynucování přijetí chráněných rámců správy (PMF) na všech zařízeních „Wi-Fi CERTIFIED“
- Zajištění, aby prodejci prováděli pravidelné kontroly certifikovaných zařízení (Zdroja: Angažovaný )
- Standardizace 128bitové kryptografické sady (Zdroja: Angažovaný )
Jaké jsou dvě verze WPA3?
WPA je k dispozici ve dvou verzích, které jsou založeny na požadavcích koncového uživatele (domácí nebo firemní použití.) Na první pohled není velký rozdíl mezi WPA3-Personal a WPA3-Enterprise, i když ta druhá je bezpečnější. navržený k ochraně extrémně citlivých dat a velkých podniků.
Pojďme rychle shrnout obě verze, jak je popisuje Wi-Fi Alliance . Pro začátek obě verze:
- Používejte nejnovější metody zabezpečení
- Zakázat zastaralé starší protokoly
- Vyžadovat použití chráněných rámců správy (PMF). „Akční rámce správy unicast jsou chráněny před odposloucháváním i paděláním a akční rámce správy vícesměrového vysílání jsou chráněny před paděláním,“ uvádí Wi-Fi Alliance . Ve zkratce, Wikipedie popisuje rámce pro správu jako „mechanismy, které umožňují integritu dat, autentičnost původu dat a ochranu před přehráním“. Technický popis, jak fungují, najdete na Cisco webová stránka.
WPA3-Osobní
Tato verze poskytuje autentizaci na základě hesla s dobrým zabezpečením, i když uživatelé zvolí krátká nebo slabá hesla. Nevyžaduje ověřovací server a je základním protokolem, který používají domácí uživatelé a malé podniky.
- Používá 128bitové šifrování
- Využívá Simultaneous Authentication of Equals (SAE) handshake, který chrání před útoky hrubou silou
- Incorporates Forward Secrecy znamená, že se při každém připojení WPA3 vygeneruje nová sada šifrovacích klíčů, takže pokud dojde ke kompromitaci původního hesla, nezáleží na tom.
- Posiluje bezpečnost na veřejných sítích
- Snadno spravuje připojená zařízení
- Umožňuje přirozený výběr hesla, o kterém Wi-Fi Alliance tvrdí, že uživatelům usnadní zapamatování přístupových frází
WPA3-Enterprise
Poskytuje extra ochranu podnikovým sítím přenášejícím citlivá data, například vládám, zdravotnickým organizacím a finančním institucím. Zahrnuje volitelný 192bitový režim minimální síly zabezpečení v souladu se sadou Commercial National Security Algorithm (CNSA) od Výboru pro národní bezpečnostní systémy. Byl to požadavek vlády USA.
Hlavní rozdíl mezi WPA3-Personal a WPA3-Enterprise je v úrovni ověřování. Osobní verze používá PSK a verze Enterprise koktejl funkcí, které nahrazují IEEE 802.1X od WPA2-Enterprise. Návštěva Wi-Fi Alliance pro technickou specifikaci.
Pro více Eric Geier , psaní pro Cisco Press , vysvětluje, jak mohou podniky přejít na WPA3-Enterprise.
Nové funkce WPA3
Čtyři oblasti zlepšení
Čtyři nové funkce v WPA3 jsou navrženy tak, aby zlepšily WPA2. Nicméně, pouze jeden z nich je povinný pro certifikaci WPA3: dračí stisk ruky. Níže je uveden stručný přehled hlavních funkcí. Podrobněji se budeme věnovat později v této části.
- Bezpečnější podání ruky – Protokol Simultaneous Authentication of Equals (SAE) (známý také jako handshake Dragonfly) vyžaduje novou interakci se sítí pokaždé, když zařízení požaduje šifrovací klíč, čímž se zpomaluje rychlost pokusu o útok a heslo je odolnější vůči slovníku a hrubé síle. útoky. Zabraňuje také offline dešifrování dat.
- Výměna wi-fi chráněného nastavení (WPS) – jednodušší způsob, jak bezpečně přidávat nová zařízení do sítě pomocí protokolu DPP (Wi-Fi Device Provisioning Protocol), který umožňuje bezpečně přidávat nová zařízení do sítě pomocí QR kódu nebo hesla.Snadné připojeníusnadňuje nastavení zejména pro připojenou domácnost a zařízení internetu věcí.
- Neověřené šifrování – Lepší ochrana při používání veřejných hotspotůWi-Fi Enhanced Openkterý poskytuje neověřené šifrování, standard nazvaný Opportunistic Wireless Encryption (OWE).
- Větší velikosti klíčů relace – WPA3-Enterprise bude během fáze ověřování podporovat velikosti klíčů ekvivalentní 192bitovému zabezpečení, které bude obtížnější prolomit.
Podívejme se podrobněji na výše zmíněnou litanii zkratek.
Simultaneous Authentication of Equals (SAE) proti útokům hrubou silou
SAE je bezpečná výměna klíčů založená na heslech používá verze WPA3-Personal k ochraně uživatelů před útoky hrubou silou . Dobře se hodí pro mesh sítě, které dostaly své jméno podle způsobu, jakým vytvářejí pokrytí wifi. Comparitech popisuje nastavení jednoduše: „Umístěním několika zařízení kolem vašeho domova, z nichž každé vysílá bezdrátový signál, vytvoříte ‚síť‘ neboli síť bezdrátového pokrytí kolem vašeho domova. To pomáhá odstranit mrtvá nebo slabá místa.“
Výhody SAE:
- Založeno na Výměna klíčů IEFT Dragonfly , kryptografický model pro autentizaci pomocí hesla nebo přístupové fráze, který je odolný vůči aktivním i pasivním útokům a offline slovníkovým útokům.
- Povolí Forward Secrecy který zakáže útočníkovi zaznamenat šifrovaný přenos, který by mohl být potenciálně dekódován později, pokud by bylo v budoucnu prozrazeno heslo bezdrátové sítě
- Pouze povoluje jeden odhad hesla na relaci . I když útočníci ukradnou data s nadějí, že prolomí heslo ve svém volném čase offline, funkce jednoho odhadu je zbrzdí, protože se pokaždé musí „zeptat“ wifi routeru, zda byl jejich odhad správný. V podstatě to omezuje útočníka na útoky v reálném čase. Existuje určitá otázka, zda by tato funkce mohla omezit i legitimní uživatele. V reálném světě je nepravděpodobné, že by legitimní uživatelé provedli 100 automatických po sobě jdoucích odhadů během sekundy, stejně jako hackeři, a aplikaci lze kódovat tak, aby umožňovala omezený počet odhadů, než začne službu zpomalovat. Tato funkce také posiluje zabezpečení slabých hesel.
Device Provisioning Protocol (DPP) pro správu sítí a zařízení IoT
Wi-Fi CERTIFIED Easy Connect™(která nahrazuje službu WPA2 WiFi Provisioning Service) vám pomůže připojit všechna vaše zařízení, dokonce i ta, která nemají uživatelsky přívětivé rozhraní pro zadání hesla (např. Google Home nebo vaše chytrá lednička), pomocí jediného zprostředkujícího zařízení.
Wi-Fi Alliance popisuje, jak to funguje: Vlastník sítě vybere jedno zařízení jako centrální bod konfigurace. Zatímco zařízení s pěkným GUI je nejjednodušší, můžete použít jakékoli zařízení schopné naskenovat kód rychlé odezvy (QR) nebo použít NFC jako konfigurátor zařízení. Spuštění DPP – univerzální procedura registrace – z tohoto zařízení se připojí všechna naskenovaná zařízení a poskytne jim přihlašovací údaje potřebné pro přístup k síti. Poznámka: Toto je volitelná funkce a je k dispozici pouze na zařízeních sSnadné připojení.
Poté, co bylo zařízení Wi-Fi zaregistrováno, použije svou konfiguraci k vyhledání a připojení k síti prostřednictvím přístupového bodu (Zdroj: Wi-Fi Alliance )
Opportunistic Wireless Encryption (OWE) pro bezpečnější surfování po hotspotu
OWE je řidič zaWiFi Enhanced Openvlastnost, implementovaná do chránit uživatele ve veřejných / hostujících hotspotech a zabránit odposlechu . Nahrazuje staré 802,11 „otevřený“ autentizační standard. S OWE jsou vaše data šifrována, i když jste nezadali heslo. Byl navržen tak, aby poskytoval šifrovaný přenos dat a komunikaci v sítích, které nepoužívají hesla (nebo používají sdílené heslo) pomocí individualizované ochrany dat (IDP); v podstatě, každá autorizovaná relace má svůj vlastní šifrovací token . To znamená, že data každého uživatele jsou chráněna ve vlastním trezoru. Funguje to však i v sítích chráněných heslem, což zajišťuje, že pokud se útočník dostane k síťovému heslu, stále nebude mít přístup k šifrovaným datům na síťových zařízeních (viz SAE výše.)
Jste zranitelní vůči KRACKovi?
Všechno není zkáza a ponura. Každý, kdo používá wifi, je zranitelný, ale uveďme problém z perspektivy. Hacker může zachytit pouze nešifrovaný provoz mezi vaším zařízením a routerem. Pokud byla data správně zašifrována pomocí HTTPS, útočník je nemůže přečíst.
Nějaké ujištění od Brendana Fitzpatricka, viceprezidenta, Cyber Risk Engineering, píšícího pro Axio:
- Útok nelze spustit vzdáleně, útočník musí být ve fyzickém dosahu konkrétní wifi sítě.
- K útoku dochází pouze během čtyřcestného podání ruky.
- Přístupová fráze wifi není během útoku odhalena a útočníkovi není povoleno připojit se k síti.
- Pouze pokud je útok úspěšný, může útočník potenciálně dešifrovat provoz mezi obětí a jejich přístupovým bodem.
- V současné době je útok zaměřen pouze na klientskou stranu podání ruky.
V blogový příspěvek , Robert Graham poznámky, KRACK „nedokáže porazit SSL/TLS ani VPN“. Dodává: „Vaše domácí síť je zranitelná. Mnoho zařízení bude používat SSL/TLS, takže jsou v pořádku, jako vaše Amazon echo, které můžete nadále používat, aniž byste se museli obávat tohoto útoku. Jiná zařízení, jako jsou vaše žárovky Phillips, nemusí být takto chráněna.“ Řešení? Opravte aktualizacemi od vašeho dodavatele.
Jaký software a zařízení jsou zranitelná vůči KRACK?
Podle Matty Vanhoef , Android, Linux, Apple, Windows, OpenBSD, MediaTek, Linksys a další, všechny by mohly být ovlivněny nějakou variantou útoků. Linux a Android verze 6.0 a vyšší jsou obzvláště zranitelné.
Seznam dotčených dodavatelů naleznete na webové stránce Cert Software Engineering Institute, Databáze poznámek o zranitelnosti . Tato stránka poskytuje odkazy na informace o dodavatelích o záplatách a opravách.
Jaký druh zranitelnosti útoků odhalují nedostatečně zabezpečené sítě?
Nejde jen o nebezpečí být KRACK’d. Nezabezpečená wifi síť prosí o napadení a WPA3 pomůže tato rizika zmírnit. US-Cert popisuje možné scénáře útoku:
- Připojování – Typický vnitřní dosah Wi-Fi je 150 – 300 stop. Pokud bydlíte blízko svého souseda, vaše připojení by mohlo být otevřené pro útočníky… nebo dokonce pro syna geeka od vedle, který používá vaši wifi ke stahování filmů.
- Wardriving – Typ navazování, kdy potenciální útočníci jezdí po čtvrtích s anténou a hledají nezabezpečené bezdrátové sítě.
- Útoky zlých dvojčat – Ve zlém dvojím útoku útočník napodobuje přístupový bod veřejné sítě a nastavuje svůj vysílací signál tak, aby byl silnější než ten, který generuje legitimní přístupový bod. Uživatelé se přirozeně připojují k silnějšímu signálu, ke zločinci. Hacker pak snadno přečte data oběti. Před připojením vždy zkontrolujte název a heslo wifi hotspotu.
- Bezdrátové čichání – Vyhněte se veřejným přístupovým bodům, které nejsou zabezpečené a kde data nejsou šifrována. Zločinci používají „ čichači ” k vyhledání citlivých informací, jako jsou hesla nebo čísla kreditních karet.
- Neoprávněný přístup k počítači – Nezabezpečený hotspot by mohl útočníkovi umožnit přístup ke všem adresářům a souborům, které jste neúmyslně zpřístupnili pro sdílení. Vždy blokujte sdílení souborů na veřejnosti.
- Ramenní surfování – Ve veřejných prostorách si dávejte pozor na číhající, útočníky, kteří vás sledují, jak píšete, když procházejí kolem nebo natáčí vaši relaci. Abyste tomu zabránili, můžete si zakoupit ochrannou fólii na displej.
Krádeže mobilních zařízení – Není to jen síť, která představuje riziko pro vaše data. Pokud je vaše zařízení odcizeno, když pracujete na hotspotu, je to pro zločince bonanza den. Ujistěte se, že jsou vaše data vždy chráněna heslem a citlivé informace jsou zašifrovány. To zahrnuje data na přenosných úložných zařízeních.
Některá upozornění
Slova varování od nálezců chyby KRACK
Mathy Vanhoef, postdoktorandský výzkumník v oblasti počítačové bezpečnosti na KU Leuven a jeden z výzkumníků, kteří objevili KRACK, na svém webová stránka má několik varovných poznámek o WPA3, které stojí za zamyšlení.
- SAE podání ruky – Pokud není postup SAE proveden pečlivě, může být zranitelný na útoky postranním kanálem , které Wikipedie popisuje jako útoky založené na informacích o softwarové implementaci. Zdá se, že zneužitelným zranitelnostem vyplývajícím z nesprávných konfigurací se nelze vyhnout ani pomocí WPA3.
- Neověřené šifrování – I když použití Opportunistic Wireless Encryption (OWE) posílí soukromí uživatelů v otevřených sítích, Vanhoef navrhuje, aby bylo možné zabránit pouze pasivním útokům (takovým, při kterých hackeři čuchají provoz). Aktivní útoky (ty, které používají fiktivní přístupové body k oklamání uživatelů) stále umožní protivníkovi zachytit provoz. Vanhoef vysvětluje:
Jedním z nedostatků OWE je, že neexistuje žádný mechanismus, který by přístupovému bodu důvěřoval při prvním použití . Porovnejte to například s SSH: při prvním připojení k serveru SSH můžete veřejnému klíči serveru důvěřovat. Tím se zabrání tomu, aby protivník v budoucnu zachytil provoz. U OWE však neexistuje možnost důvěřovat konkrétnímu AP při prvním použití. Takže i když jste se dříve připojili ke konkrétnímu AP, protivník může stále nastavit falešný AP a přimět vás, abyste se k němu v budoucnu připojili.
- Promarněná příležitost – Pouze jedna ze čtyř funkcí nabízených Wi-Fi Alliance při vytváření WPA3 je ve skutečnosti povinná pro WPA3. „Certifikační program WPA3 bohužel nařizuje pouze podporu nového podání ruky vážkou. A je to. Ostatní funkce jsou buď volitelné, nebo jsou součástí jiných certifikačních programů. Obávám se, že v praxi to znamená, že výrobci pouze implementují nový handshake, umisťují na něj štítek „certifikovaný WPA3“ a budou s tím hotovi,“ říká Vanhoef. Konečným výsledkem bude, že koncový uživatel ve skutečnosti neví, jaké funkce jsou zahrnuty a jak jsou bezpečné.
Co říkají cynici, včetně IT vývojářů, o WPA3?
Zapojte se do konverzací Blog Bruce Schneinera , DD-WRT , Výměna zásobníku zabezpečení nebo Komunitní koření za nějaký zajímavý příspěvek o tom, zda je WPA3 skutečně dokonalým všelékem na slabá místa zabezpečení wifi. A zda tato zranitelnost stojí za to strávit příliš mnoho spánku. Nějaké příspěvky:
- 'Myslím, že WPA3 pomůže.' Na chvíli - dokud zlí chlapci nenajdou jinou díru .“
- 'A skvělý zdroj příjmů pro prodejce hardwaru kdo přestane opravovat stávající zařízení a bude trvat na tom, abyste si koupili nové WAPy, pokud chcete WPA3.“
- „Největším zklamáním na WPA3 je, že stejně jako všechny předchozí wifi standardy (WEP, WPA, WPA2, dokonce i WPS) byl tento vyvinuté uzavřeným konsorciem pouze pro členy […] Vše, co oznámení WPA3 slibuje, je, že uzavřený proces na WPA4 může nyní začít.“
- “ Vektor útoku pomocí KRACK je prostě příliš malý (a bude i nadále klesat), aby se tyto útoky rozšířily.“ Otevřené sítě například nejsou zranitelné vůči KRACK, ale jsou mnohem více ohroženy škodlivými útoky než sítě WPA2. V době psaní tohoto článku nebyly ve skutečnosti zdokumentovány žádné útoky KRACK; odborníci tvrdí, že je to proto, že úsilí je pro kyberzločince příliš velké, když je kolem tolik měkčích cílů.
Na tuto cynickou notu, praktikujte bezpečnou wifi, zůstaňte informováni a začněte šetřit na nový router . Podle Dion Phillips , psaní pro InfiniGate „…je pochybné, že současná bezdrátová zařízení budou aktualizována tak, aby podporovala WPA3, a mnohem pravděpodobnější je, že další vlna zařízení projde certifikačním procesem. Jak již bylo řečeno, klientská zařízení budou také muset být certifikována stejným způsobem, aby mohla využívat výhod nové certifikace.“
Experti souhlasíte s tím, že zavedení bude až do konce roku 2019. Budete si muset koupit nový router, ale WPA3 je zpětně kompatibilní, takže možná nebudete muset upgradovat všechna svá připojená zařízení, pokud nejsou opravdu stará.
Jak se můžete chránit?
Jak se mohou firmy chránit? (vyřešeno)
Mathew Hughes má několik praktických návrhů zmírněných několika slovy opatrnosti.
- Nainstalujte zpětně kompatibilní opravu – Bohužel, říká Hughes, nejen, že se mnoho lidí instaluje pomalu náplasti s, mnoho výrobců je vydává pomalu.
- Nainstalujte a VPN , šifrovaný tunel mezi zařízeními, který zabraňuje odposlechu cizími osobami – pro některé lidi to může být podle něj nepraktické, protože nebudou mít přístup k dalším připojeným zařízením ve své síti.
- Použití SSL/TLS – To poskytuje další vrstvu šifrování pro maření zlodějů a odposlechů, protože šifruje pakety na vrstvě relace spíše než na síťové vrstvě (na kterou by se mohli zaměřit útočníci KRACK.)
- Aktualizujte zařízení a software – Zajistěte, aby vaše IT oddělení zavádělo pravidelné aktualizace softwaru a záplaty pro všechna firemní zařízení včetně BYOD. Kontaktujte výrobce, abyste se ujistili, že skutečně vydali opravy, které řeší chybu KRACK.
navíc zabezpečte router – Zajistěte, aby byl váš router uzamčen a chráněn před vnitřními hrozbami nebo cizími osobami, které navštíví budovu. Na vašem routeru je také řada výchozích nastavení, která můžete změnit, abyste posílili zabezpečení, např. omezení příchozího provozu, deaktivace nepoužívaných služeb, změna výchozích přihlašovacích údajů a změna SSID na starších zařízeních. Zkontrolujte, zda je povolena brána firewall vašeho routeru (ne vždy se to děje automaticky.) Použijte SSID k vytvoření samostatných přístupových bodů pro vaše zaměstnance a zákazníky. Vypněte WiFi Protected Setup (WPS), který se používá k usnadnění párování zařízení.
Níže si také přečtěte související tipy pro domácí sítě.
Tipy na zabezpečení Wifi pro domácí sítě a zařízení internetu věcí (Vyřešeno)
- Procvičte si základní smysl zabezpečení wifi – Přečtěte si příručku Comparitech zabezpečení vaší domácí wifi sítě .
- Přestaňte používat wifi – Připojte se k internetu přes ethernet nebo datové (3/4G) připojení doma nebo použijte mobilní data, zejména pro citlivé transakce.
- Aktualizujte zařízení a software – To zahrnuje všechna vaše zařízení i váš router. Kontaktujte výrobce, abyste se ujistili, že skutečně vydali opravy, které řeší chybu KRACK.
- Zakázat sdílení souborů - I když je lákavé sdílet fotografie s přáteli a rodinou, snažte se tomu vyhnout na veřejném místě. Měli byste také vytvořit adresář pro sdílení souborů a omezit přístup k jiným adresářům. Vše, co sdílíte, vždy chraňte heslem.
- Neprovádějte citlivé transakce na veřejných místech – Udělejte si online bankovnictví z domova.
- Nainstalujte HTTPS Everywhere – HTTPS všude od Electronic Frontier Foundation (EFF) je open source rozšíření pro Firefox, Chrome a Opera, které šifruje komunikaci s většinou webových stránek. Rozšíření není bezpečnou možností, pokud web nenabízí šifrování HTTPS, ale pokud je k dispozici, HTTPS Everywhere zajistí, že toto je obsah, který poskytuje.
- Použijte a VPN – Přestože VPN poskytují skvělé zabezpečení vašich dat, ujistěte se, že váš poskytovatel je stejně bezpečný jako vy a uznává vaše právo na soukromí. Nahlášeno Bryan Clark v Další webový článek , PureVPN, který tvrdil, že neuchovává protokoly ani identifikační údaje svých uživatelů, se záhadně zdálo, že přišel s dostatečným množstvím zaznamenaných informací, aby umožnil FBI sledovat a zatknout stalkera. Uchovává vaše VPN protokoly? V hloubkové studii Comparitech odhaluje pravdu o 123 zásadách protokolování VPN.
- Nastavte si domácí wifi router – Virtuální router vám umožňuje sdílet vaše internetové připojení s ostatními zařízeními v okolí. Je to jednodušší, než si myslíte, podobně jako nastavení wifi hotspotu na vašem smartphonu.
- Zabezpečte svůj router – Na vašem routeru je řada výchozích nastavení, která můžete změnit, abyste posílili zabezpečení, např. omezení příchozího provozu, deaktivace nepoužívaných služeb a změna SSID na starších zařízeních.
- Potvrďte, že váš ISP je aktuální – Mnoho domácích uživatelů wifi používá router dodaný jejich ISP. Pokud tak učiníte, potvrďte, že váš ISP opravil všechna svá zařízení.
- Vyhněte se veřejným wifi hotspotům – Nebo se alespoň naučte, jak minimalizovat rizika používání veřejné wifi.
- Ručně zkontrolujte, zda jsou adresy URL bezpečné – HTTP URL používají k ochraně návštěvníků jejich stránek šifrování SSL. HTTP URL ne. V adresním řádku můžete zjistit, zda je adresa URL bezpečná. Také povolteVždy používejte zabezpečené připojení(HTTPS) na vašem zařízení.
- Používejte bezpečná hesla – Comparitech má nějaké návrhy vytváření silných hesel . Vždy měňte výchozí hesla, například „Admin“ nebo „123“.
- Udržujte antivirový software aktuální – Vyberte si renomovaný antivirový software a udržujte jej opravený. V okolí je také spousta bezplatných antivirových aplikací.
- Vypněte - Vypněte wifi připojení když jej nepoužíváte a vypněte automatické opětovné připojení.
- Používejte vícevrstvé zabezpečení – Udržujte bránu firewall operačního systému aktualizovanou a používejte ji dvoufaktorové ověřování pro přístup k vašim internetovým účtům.
- Použijte šifrování Advanced Encryption Standard (AES). – Zkontrolujte, zda vaše domácí síť používá WPA2 se šifrováním AES , nikoli TKIP. Obě možnosti šifrování jsou zranitelné vůči dešifrování provozu prostřednictvím KRACK, ale AES není zranitelné vůči vkládání paketů.
Potřebuji WPA3?
Je lepší být v bezpečí, než litovat, takže ano, děláš. Ale během přechodného období (období, ve kterém budou prodejci certifikovat svá zařízení) můžete opravit WPA2.
Změna hesla WPA2 vás neochrání proti útoku KRACK, který se zaměřuje na správu klíčů. Je však rozumné volit vždy silná hesla.
Ale stačí to?
John Wu , v an článek na LinkedIn , říká, že WPA3 nestačí k zajištění úplné bezpečnosti wifi, protože hackeři používají jiné metody k napadení metod wifi. 'Nedávný Virus VPNFilter nevyužívá žádný z nedostatků WPA2. Místo toho se útok zaměřuje na známé zranitelnosti webového rozhraní WiFi routerů, vzdálené porty, které jsou otevřené pomocí pevně zakódovaných hesel, neaktualizovaný software a zranitelná připojená zařízení IoT.
Řešení? Použijte kontrolní seznamy výše o tom, jak chránit vaše wifi připojení jako vodítko k vytvoření a vrstvený přístup k zabezpečení wifi . Na začátek seznamu? Zůstaňte v obraze pomocí záplat.