Προειδοποίηση Κρυπτογραφημένα δίκτυα WPA2 Wi-Fi εξακολουθούν να είναι ευάλωτα στο Snooping
Μέχρι τώρα, οι περισσότεροι άνθρωποι γνωρίζουν ότι ένα ανοιχτό δίκτυο Wi-Fi επιτρέπει στους χρήστες να παρακολουθούν την κυκλοφορία σας. Η τυπική κρυπτογράφηση WPA2-PSK υποτίθεται ότι εμποδίζει την εμφάνιση της - αλλά δεν είναι τόσο απίστευτη όσο νομίζετε.
Δεν πρόκειται για τεράστια νέα ενημέρωση για ένα νέο σφάλμα ασφαλείας. Αντίθετα, αυτός είναι ο τρόπος με τον οποίο εφαρμόστηκε πάντα το WPA2-PSK. Αλλά είναι κάτι που οι περισσότεροι άνθρωποι δεν ξέρουν.
Άνοιγμα δικτύων Wi-Fi έναντι κρυπτογραφημένων δικτύων Wi-Fi
Δεν πρέπει να φιλοξενείτε ένα ανοιχτό δίκτυο Wi-Fi στο σπίτι, αλλά μπορείτε να βρείτε τον εαυτό σας χρησιμοποιώντας ένα στο κοινό - για παράδειγμα, σε ένα καφέ, ενώ περνάει από ένα αεροδρόμιο ή σε ένα ξενοδοχείο. Τα ανοιχτά δίκτυα Wi-Fi δεν έχουν κρυπτογράφηση, πράγμα που σημαίνει ότι τα πάντα που αποστέλλονται μέσω του αέρα είναι "ξεκάθαρα". Οι χρήστες μπορούν να παρακολουθήσουν τη δραστηριότητα περιήγησής σας και οποιαδήποτε δραστηριότητα ιστού που δεν είναι ασφαλής με την ίδια κρυπτογράφηση μπορεί να αναβληθεί. Ναι, αυτό ισχύει ακόμη και αν πρέπει να "συνδεθείτε" με όνομα χρήστη και κωδικό πρόσβασης σε μια ιστοσελίδα μετά τη σύνδεση στο ανοιχτό δίκτυο Wi-Fi.
Η κρυπτογράφηση - όπως η κρυπτογράφηση WPA2-PSK συνιστούμε να χρησιμοποιείτε στο σπίτι - διορθώνει κάπως αυτό. Κάποιος που βρίσκεται στη γύρω περιοχή δεν μπορεί απλώς να καταγράψει την επισκεψιμότητά σας και να σας καταλάβει. Θα πάρουν μια δέσμη κρυπτογραφημένης κίνησης. Αυτό σημαίνει ότι ένα κρυπτογραφημένο δίκτυο Wi-Fi προστατεύει την ιδιωτική σας κυκλοφορία από το να περιφρονεί.
Αυτό είναι αλήθεια - αλλά εδώ υπάρχει μεγάλη αδυναμία.
Το WPA2-PSK χρησιμοποιεί ένα κοινόχρηστο κλειδί
Το πρόβλημα με το WPA2-PSK είναι ότι χρησιμοποιεί ένα "προ-κοινόχρηστο κλειδί". Αυτό το κλειδί είναι ο κωδικός πρόσβασης ή η φράση πρόσβασης που πρέπει να πληκτρολογήσετε για να συνδεθείτε στο δίκτυο Wi-Fi. Ο καθένας που συνδέει χρησιμοποιεί την ίδια φράση πρόσβασης.
Είναι αρκετά εύκολο για κάποιον να παρακολουθεί αυτήν την κρυπτογραφημένη κίνηση. Το μόνο που χρειάζονται είναι:
- Η φράση πρόσβασης: Όλοι με άδεια σύνδεσης στο δίκτυο Wi-Fi θα έχουν αυτό.
- Η κυκλοφορία σύνδεσης για έναν νέο πελάτη: Αν κάποιος συλλαμβάνει τα πακέτα που αποστέλλονται μεταξύ του δρομολογητή και μιας συσκευής όταν συνδέεται, έχουν όλα όσα χρειάζονται για να αποκρυπτογραφήσουν την κίνηση (αν υποθέσουμε ότι έχουν και τη φράση πρόσβασης, φυσικά). Είναι επίσης ασήμαντο να λάβετε αυτήν την επισκεψιμότητα μέσω επιθέσεων "deauth" που αποσυνδέουν βίαια μια συσκευή από ένα δίκτυο Wi_Fi και την αναγκάζετε να επανασυνδεθεί, προκαλώντας τη συνέχιση της διαδικασίας σύνδεσης.
Πραγματικά, δεν μπορούμε να τονίσουμε πόσο απλό είναι αυτό. Το Wireshark διαθέτει μια ενσωματωμένη επιλογή για την αυτόματη αποκρυπτογράφηση της επισκεψιμότητας WPA2-PSK εφόσον έχετε το κοινόχρηστο κλειδί και έχετε καταγράψει την κίνηση για τη διαδικασία σύνδεσης.
Τι σημαίνει αυτό
Αυτό στην πραγματικότητα σημαίνει ότι το WPA2-PSK δεν είναι πολύ πιο ασφαλές από την παρακολούθηση, αν δεν εμπιστεύεστε όλους στο δίκτυο. Στο σπίτι, θα πρέπει να είστε ασφαλείς επειδή η φράση πρόσβασης Wi-Fi είναι μυστική.
Ωστόσο, εάν βγαίνετε σε καφετέρια και χρησιμοποιείτε το WPA2-PSK αντί για ένα ανοιχτό δίκτυο Wi-FI, μπορεί να αισθανθείτε πολύ πιο ασφαλή στην ιδιωτική σας ζωή. Αλλά δεν πρέπει - όποιος έχει τη φράση Wi-Fi της καφετέριας να μπορεί να παρακολουθεί την κίνηση περιήγησης. Άλλοι άνθρωποι στο δίκτυο, ή απλώς άλλοι άνθρωποι με τη φράση πρόσβασης, θα μπορούσαν να σπρώξουν την κυκλοφορία σας, αν ήθελαν.
Βεβαιωθείτε ότι έχετε λάβει αυτό υπόψη. Το WPA2-PSK αποτρέπει τους ανθρώπους χωρίς πρόσβαση στο δίκτυο από το snooping. Ωστόσο, μόλις έχουν τη φράση πρόσβασης του δικτύου, όλα τα στοιχήματα είναι απενεργοποιημένα.
Γιατί το WPA2-PSK δεν προσπαθεί να σταματήσει αυτό?
Το WPA2-PSK προσπαθεί πραγματικά να σταματήσει αυτό με τη χρήση ενός "ζεύγους παροδικών κλειδιών" (PTK). Κάθε ασύρματος πελάτης διαθέτει ένα μοναδικό PTK. Ωστόσο, αυτό δεν βοηθά πολύ, επειδή το μοναδικό κλειδί ανά πελάτη προέρχεται πάντα από το κλειδί που είναι κοινόχρηστο (η φράση πρόσβασης Wi-Fi). Γι 'αυτό είναι ασήμαντο να καταγράφετε το μοναδικό κλειδί ενός πελάτη, αρκεί να έχετε πρόσβαση στο Wi- Fi και μπορεί να καταγράψει την κίνηση που αποστέλλεται μέσω της διαδικασίας σύνδεσης.
Το WPA2-Enterprise επιλύει αυτό ... Για μεγάλα δίκτυα
Για τους μεγάλους οργανισμούς που απαιτούν ασφαλή δίκτυα Wi-Fi, αυτή η αδυναμία ασφάλειας μπορεί να αποφευχθεί μέσω της χρήσης της αυτοματοποίησης του EAP με ένα διακομιστή RADIUS - μερικές φορές αποκαλούμενο WPA2-Enterprise. Με αυτό το σύστημα, κάθε πελάτης Wi-Fi λαμβάνει ένα πραγματικά μοναδικό κλειδί. Κανένας πελάτης Wi-Fi δεν έχει αρκετές πληροφορίες για να ξεκινήσει να σκοντάφτει σε άλλο πελάτη, οπότε αυτό παρέχει πολύ μεγαλύτερη ασφάλεια. Τα μεγάλα εταιρικά γραφεία ή κυβερνητικές υπηρεσίες πρέπει να χρησιμοποιούν το WPA2-Enteprise για το λόγο αυτό.
Αλλά αυτό είναι πολύ περίπλοκο και περίπλοκο για τη συντριπτική πλειονότητα των ανθρώπων - ή ακόμα και οι περισσότεροι geeks - για τη χρήση στο σπίτι. Αντί για μια φράση πρόσβασης Wi-FI πρέπει να εισέλθετε σε συσκευές που θέλετε να συνδεθείτε, θα πρέπει να διαχειριστείτε ένα διακομιστή RADIUS που χειρίζεται τον έλεγχο ταυτότητας και διαχείριση κλειδιών. Αυτό είναι πολύ πιο περίπλοκο για τους οικιακούς χρήστες να εγκατασταθούν.
Στην πραγματικότητα, δεν αξίζει τον κόπο σας αν εμπιστεύεστε όλοι στο δίκτυό σας Wi-Fi ή σε όλους όσους έχουν πρόσβαση στη φράση πρόσβασης Wi-Fi. Αυτό είναι απαραίτητο μόνο εάν είστε συνδεδεμένοι σε ένα κρυπτογραφημένο δίκτυο Wi-Fi WPA2-PSK σε μια δημόσια τοποθεσία - καφετέρια, αεροδρόμιο, ξενοδοχείο ή ακόμα και μεγαλύτερο γραφείο - όπου άλλοι άνθρωποι που δεν εμπιστεύεστε έχουν επίσης Wi- Φάση πρόσβασης του δικτύου FI.
Έτσι, ο ουρανός πέφτει; Οχι φυσικά όχι. Αλλά λάβετε υπόψη σας αυτό: Όταν είστε συνδεδεμένοι σε ένα δίκτυο WPA2-PSK, άλλα άτομα που έχουν πρόσβαση σε αυτό το δίκτυο θα μπορούν να παρακολουθούν εύκολα την επισκεψιμότητά σας. Παρά αυτό που οι περισσότεροι άνθρωποι μπορεί να πιστεύουν, αυτή η κρυπτογράφηση δεν παρέχει προστασία έναντι άλλων ατόμων που έχουν πρόσβαση στο δίκτυο.
Εάν πρέπει να έχετε πρόσβαση σε ευαίσθητους ιστότοπους σε ένα δημόσιο δίκτυο Wi-Fi - ειδικά στους ιστότοπους που δεν χρησιμοποιούν κρυπτογράφηση HTTPS - εξετάστε το ενδεχόμενο να το κάνετε μέσω ενός VPN ή ακόμα και ενός σήματος SSH. Η κρυπτογράφηση WPA2-PSK στα δημόσια δίκτυα δεν είναι αρκετά καλή.
Image Credit: Cory Doctorow στο Flickr, ομάδα τροφίμων στο Flickr, Robert Couse-Baker στο Flickr