Ochrana Wi-Fi WPA2 prolomena

17.10.2017 16:37 | Pavel Trousil + Přidat komentář

Ochrana Wi-Fi WPA2 prolomena | foto: CHIP

Protokol WPA2 má vážnou bezpečnostní mezeru. Informace o tom Mathy Vanhoef z univerzity KU Leuven v Belgii. Bezdrátovou síť Wi-Fi tak mohou útočnici odposlouchávat. Záplaty se teprve připravují.

Zabezpečení bezdrátových sítí má zkratku WPA2 (Wi-Fi Protected Access), což znamená chráněný přístup k Wi-Fi. Tento standard byl zaveden po prolomení starších zabezpečení WEP a WPA. Nyní se ale zdá, že i tento standard má vážnou bezpečností mezeru. Informace o tom zveřejnil bezpečnostní expert Mathy Vanhoef z univerzity KU Leuven v Belgii a to na webové stránce a prostřednictvím videa na YouTube. Hack pojmenoval zkratkou KRACK (Key Reinstallation AttaCKs).

Útok, který popsal, zneužívá chyby během zřizování zabezpečeného spojení mezi Wi-Fi routerem a klientským zařízením, tedy například notebookem, smartphonem, nebo televizorem. Během navozování spojení si obě strany vyměňují šifrovací klíče (jde o tzv. 4-way handshake). Díky chybě ve standardu WPA2 je ovšem možné v jednom z těchto kroků klíč získat. Útočník, který je v dosahu Wi-Fi sítě pak může klíč využít a komunikaci odposlouchávat. Nezáleží přitom na tom, jaký operační systém je na zařízení nainstalovaný – postiženy jsou systémy systémy Android, Linux, iOS, Microsoft Windows, OpenBSD i macOS.

Jde o závažný problém, protože protokol WPA2 je v současné době nejpoužívanější a nebude možné ho tak rychle nahradit. Někteří výrobci síťových zařízení už sice připravují bezpečností záplatu, ale ta rozhodně nebude k dispozici pro všechna zařízení na trhu. Opravu už připravuje například Google a to pro zařízení s OS Android.

Před sledováním dat lze ovšem použít další vrstvu šifrování, tedy například HTTPS, VPN, nebo SSH. Alespoň to radí bezpečnostní firma ESET. „Pokud komunikace uživatele v rámci bezdrátové sítě není chráněna ještě jiným mechanizmem – například pomocí VPN – útočník může do této komunikace, kterou může pomocí dalších technik získat v otevřené formě i pro zabezpečené protokoly typu https, zasáhnout a manipulovat s ní. Útočník takto může ukrást citlivé či osobní informace, sledovat aktivity uživatele či je zneužít způsobem, který je známý jako ‚man-in-the-middle attack‘,“ říká Miroslav Dvořák, technický ředitel společnosti ESET.

„Uživatel může využít tzv. VPN, která vytvoří bezpečný šifrovaný tunel mezi ním a jeho či cílovou sítí. Tento ‚tunel‘ nemůže útočník napadnout, respektive nemá možnost číst probíhající komunikaci v čitelné formě. Dalším doporučením uživatelům je zkontrolovat si, zda je či bude v brzké době k dispozici bezpečnostní záplata pro jejich zařízení, která by tuto zranitelnost řešila. Ale pozor, některé z variant zranitelnosti se zdaleka netýkají pouze hardwaru, ale i například operačních systémů Android, Linux, Apple, Windows nebo OpenBSD,“ říká Miroslav Dvořák, technický ředitel společnosti ESET.