Jak zabránit krádeži dat skrze Wi-Fi připojení

Takzvaný chráněný přístup, který měl zajistit bezpečné surfování na internetu i v případě využívání Wi-Fi, má problémy hned na několika místech a může tak být prolomen. Útok byl nazván KRACK a umožňuje hackerovi číst všechnu komunikaci, která probíhá mezi koncovým zařízením a routerem. Informační náskok pomohl některým firmám, aby potíže rychle odstranily.

Minulý týden byla zveřejněna informace, že v protokolu Wi-Fi Protected Acces 2 (WPA2) je několik bezpečnostních nedostatků. Chyby v jednotlivých krocích šifrování způsobují, že útočník může po napadnutí systému číst komunikační tok mezi koncovým zařízením a routerem. Tento útok byl pojmenován Key Reinstallation Attacks (KRACK). Konkrétní detaily byly zveřejněny na webu www.krackattacks.com, ale technologické společnosti byly informovány několik týdnů před zveřejněním a dostaly tak slušný náskok. Apple nebo Microsoft díky němu například už na svých zařízeních chybu opravili.

Protokol WPA2 používá téměř každý router a tak každé připojení na internet pomocí Wi-Fi signálu může znamenat, že útočník získá kompletní přehled vašeho pohybu na stránkách (zadávání hesel, čísla účtů, osobních informací), ale také může získat všechny soubory, které budete posílat jako přílohu a nebo s nimi pracovat na cloudovém uložišti. Stejně tak, může vidět aktivitu v aplikacích, které využívají připojení na internet (internet banking, Facebook, …) – ohroženy jsou tedy i mobily, tablety a další mobilní zařízení. Z firemních zařízení může útočník získat mnoho informací a použít je například k vydírání. Potíže ale mohou jít mnohem dál. V době Internet of Things, kdy je na internet připojeno mnoho různých zařízení může být přečtení údajů jen začátkem. Útočník může na základě zjištěných dat získat přístup k zařízením, která pak může ovládat. Ke KRACK napadení může dojít pouze tehdy, pokud je útočník v dosahu signálu stejné Wi-Fi, na kterou jste zrovna připojeni, tedy cca 10 metrů.

Wi-Fi protected access neboli chráněný přístup k Wi-Fi vznikl v roce 2002 na základě prolomení jeho předchůdce, WEP. WPA bylo zavedeno jen jako zajištění co nejrychlejší náhrady. Už při jeho spuštění se pracovalo na lepší verzi – WPA2. Ta vydržela až do současnosti.

Podle odborníků z Trend Micro – společnosti soustřeďující se na kybernetickou bezpečnost, není nutné vyvíjet nový WPA systém. Stačí, aby byly vyvinuty „záplaty“ na jednotlivé díry v zabezpečení a každé zařízení pak updatovalo svůj firmware. Například Apple i Microsoft už takové „záplaty“ udělali a přidali je do nových aktualizací na své systémy. Pro ochranu tedy stačí povolit aktualizace na svých zařízeních. Těžší to ale mají uživatelé Androidu, tam bude vývoj řešení trvat déle a uživatelé by tedy měli být opatrnější. Výzkumníci tvrdí, že až 41 % zařízení Android je náchylných k variantám systému KRACK. Nejvíce zranitelné jsou Linuxové systémy. Zařízení OpenBSD, MediaTek a Linksys byla také označena jako zranitelná.

Pro ochranu zařízení, nejen, než budou chyby na všech zařízeních odstraněny, doporučuje Trend Micro:

• Pravidelně aktualizovat Wi-Fi router a firmware hardwaru, kdykoli je to možné; alternativně přepněte na ethernetové / kabelové propojení alespoň do doby, než budou chyby odstraněny,
• nakonfigurovat identifikátor sady služeb (SSID) tak, abyste minimalizovali možnost připojení ostatních uživatelů k vaší síti Wi-Fi,
• povolit firewallu, aby do zařízení přidal další vrstvu zabezpečení,
• používat privátní síť (VPN), zejména při vzdáleném přístupu k podnikovým aktivitám.

Nejlepší ochranou obecně jsou ale vzdělaní uživatelé. Tím nejzákladnějším pravidlem je nepovolit žádné neznámé aplikaci, aby změnila cokoli ve vašem chytrém zařízení. Stejně tak neotvírat podezřelé přílohy emailů, nebo neznámé odkazy. Za další pak zavírat vyskakovací okna, která chtějí abyste na něco klikli a následně je dobré se čas od času podívat, zda stránka, kterou spouštíte, nabíhá jako zabezpečená a že má certifikát podepsaný certifikační autoritou. Zjednodušeně, začíná-li url stránky písmeny https a že písmena nejsou přeškrtnutá. I tak je ale potřeba přemýšlet nad důvěryhodností stránky. Zvláště pak víte-li, že budete zadávat hesla, údaje k vašemu účtu a podobné citlivé údaje.