Wi-Fi už možná není bezpečné. Šifrování WPA2 prý bylo prolomeno

4
Asus RT-AX88U

Bezpečnostní experti z US-CERT a KU Leuven dnes v 15:00 zveřejní detaily týkající se prolomení šifrovacího protokolu WPA2, dnes nejpokročilejší ochrany pro připojení k sítím Wi-Fi. Objevili deset zranitelností a vytvořili i exploit KRACK (Key Reinstallation AtaCKs), který dokáže díry zneužít. Pomocí KRACKu by tak mohli odposlouchávat síťovou komunikaci, měnit obsah HTTP apod.

Chyba se prý nachází v třetím kroku čtyřcestného handshaku, tedy technologie pro výměnu klíčů mezi klientem a přístupovým bodem. Podle Ars Techniky již Aruba, Ubiquiti nebo MikroTik vydaly záplaty, ale nelze čekat, že výrobce budou hromadně aktualizovat staré routery. Otázkou také je, jak bude oprava účinná do budoucna, když chyba byla nalezena v samotném protokolu, nikoliv konkrétních implementacích ve Wi-Fi routerech.

WPA2 by tak mohl následovat ochrany WEP nebo WPA-TKIP, které byly prolomeny již v roce 2001, respektive 2008. Náhrada za WPA2 ovšem není. Experti, jenž chybu objevili, tvrdí, že WPA3 zatím nebude potřeba. Chybu lze opravit, aniž by tím byla ovlivněna zpětná kompatibilita.

Je třeba se obávat? Jak kdy, jak kde. Komunikace je dnes zpravidla chráněná v několika vrstvách. Navštěvujete-li weby přes HTTPS nebo využíváte-li VPN, prolomení WPA2 vás příliš neohrozí. U webů běžících pouze přes HTTP by ale mohl „kdokoliv“ sledovat, co na internetu děláte a co píšete do formulářů (včetně hesel). Stejné riziko vám ovšem hrozí i u otevřených Wi-Fi v kavárnách a na jiných veřejných místech. Většina lidí se přitom vůbec nechrání a ani neví, že jim něco hrozí.

Větší problém budou mít ti, kteří o rizicích vědí, chtějí se bránit, ale zároveň bydlí například v paneláku, kde mají sítě dosah přes několik bytů…

Oživeno: Detaily ke KRACKu včetně praktických ukázek byly zveřejněny na krackattacks.com.

Ohodnoťte tento článek!

4 KOMENTÁŘE

  1. No, tak tvrdit, že s VPN a HTTPS nic nehrozí, to je hodně odvážné tvrzení. Už faktor samotné kompromitace sítě umožňuje např. zřídit vlastní DHCP server, pomocí něhož budu nutit počítače v síti používat vlastní DNS a proxy, pomocí nichž zase celkem efektivně zaútočím na šifrované protokoly.

    • Předpokládám, že autor článku použitím VPN neměl na mysli řešení kdy jediná komunikace realizovatelná skrze WiFi připojení je spojení s VPN serverem (OpenVPN, IpSec, ..). Takový případ by se asi jako zachování určité míry bezpečnosti (aspoň do prolomení použitého VPN řešení, či připojených klientů) snad dal chápat.

    • Kdyby to bylo tak jednoduché… dostat „svůj“ zelený certifikát je dnes celkem jednoduché, bumping na proxy pak prakticky nepoznáš, protože ti bumpnutý certifikát pro danou doménu podepíše pro počítač důvěryhodná autorita.

      Jediný rozdíl by byl u EV certů.