Odkrili hudo ranljivost v zaščiti Wi-Fi

Vdori v neposodobljene naprave bodo potekali brez vedenja ali interakcije žrtve.

tor, 17.10.2017, 17:09

Ljubljana – Znanstveniki so odkrili hudo ranljivost protokola WPA2, ki je leta 2004 prinesel revolucijo na področju zaščite brezžičnih omrežji in s tem tudi varnosti podatkov.

Če bi nepridipravi vedeli za ranljivost od leta 2006 edinega in za vse nove naprave obveznega protokola WPA2, namenjenega zaščiti brezžičnih omrežji, bi lahko vdrli v vse elektronske naprave (telefone, računalnike, pametne tablice in televizorje …), ki omogočajo Wi-Fi povezavo.

Druge možnosti kot posodobitev naprav ni

Ranljivost so v laboratoriju odkrili znanstveniki z belgijske univerze KU Leuven že pred časom, a so skladno z odgovornim razkrivanjem ranljivosti počakali z obveščanjem javnosti, dokler niso obvestili vseh proizvajalcev, da so ti lahko pripravili posodobitve.

Raziskovalci so ugotovili možnost manipulacije z nastavljanjem določenih elementov, ki so pomembni za vzpostavitev varne šifrirne povezave med dostopno točko in uporabnikom. Lahko prestrezajo omrežni promet, ga ponovijo ali ponaredijo – od posameznega sistema pa je odvisno, kako težko. Trenutno so najbolj izpostavljeni sistemi GNU/Linux in Android od različice 6.0 oziroma vse naprave, za katere proizvajalci ne izdajajo rednih posodobitev. Sistemi windows 7 in windows 10 so po podatkih raziskovalcev ranljivi zgolj na enega od tako imenovanih handshake protokolov (ti strežniku in klientu dopuščajo, da se overita in dogovorita za kriptografske ključe).

Uradno še ni natančno znano, katere pogoje mora izpolniti napadalec za uspešno dejanje, ker gre za orodja, razvita v laboratoriju, predstavljena pa bodo šele novembra, je za Delo pojasnil Tadej Hren iz nacionalnega centra za obravnavo omrežnih incidentov Si-Cert. »Poleg posodobitve naprav, ki jih bodo proizvajalci, če jih še niso, v kratkem izdali, ni drugih možnosti za preprečevanje napadov.«

Popravki naj bi po besedah sogovornika omogočali zadostno zaščito pred zlorabami, problematične bodo ostale naprave, za katere ne izdajajo več posodobitev, to pa so z redkimi izjemami skoraj vse starejše od enega ali dveh let. Te so še vedno ranljive in bodo, če zanje ne bodo izdane posodobitve in ne bodo avtomatsko ali ročno prenesene na napravo, tudi še naprej.

»Čeprav ni vzroka za paniko, je zadeva precej huda, ker gre za ranljivost protokola, torej ravni, katere prva naloga je zaščita. Ko so protokoli ranljivi, gre navadno za napako pri njihovi implementaciji, kar je veliko lažje zakrpati kot v primeru ranljivosti enega samega de facto protokola, za katerega ni alternative,« pojasnjuje sogovornik.

Sledljivosti napada ni

Tako Wi-Fi Alliance, ki je razvilo WPA2, kot tuji centri za obravnavo omrežnih incidentov poudarjajo, da po njim odstopnih podatkih še ni bilo primera izrabe ranljivosti. Kaj pa, če je napad povzročal škodo, ki ni opazna, recimo odkritje kraja poslovnih skrivnosti? »V teh primerih napadov ne moremo izključiti. Sledljivosti napada ni, torej je za nazaj težko ugotoviti, da si bil tarča, razen če bi natančno spremljal omrežni promet, česar pa nihče ne počne. Ker gre za napad na zelo nizki ravni, niti preverba vpisovanja v določene programe, ki so potencialno lahko cilj napada, ne pride v poštev,« pojasnjuje Hren.

Podatki na spletnih bankah in pri spletnih ponudnikih blaga, kjer hranimo podatke o kreditnih karticah, načelno niso ogroženi, ker so povezave med računalnikom in strežnikom banke dodatno šifrirane z digitalnimi potrdili, enkratnimi gesli in podobno. To pomeni, da z izrabo ranljivosti teh podatkov ni mogoče vključiti.

Lahko pa pride do odtujitve gesel za druge spletne storitve. Če so ta gesla enaka tistim za dostop do drugih vrednejših in pomembnejših hranilnic podatkov, kar običajno so, saj uporabniki še niso ozaveščeni o pomembnosti avtentičnih gesel, lahko pride tudi do napada v spletne banke. Prav tako je na povezavi z drugimi spletnimi ponudniki lahko odtujena številka kreditne kartice in varnostna koda CVV.

»Tehnično bolje podkovani uporabniki lahko na usmerjevalnike nastavijo skripte, a v večini primerov se za napad ne bo vedelo. Povprečni uporabnik ne bo vedel, da se napad izvaja pri njem, morda bi to lahko razbral le iz kakšnega neobičajnega dogajanja. Potencialno bi, na primer, med prijavo na facebook.com lahko opazil, da v naslovni vrstici ni zelene ključavnice, ali da pred naslovom spletne strani manjka https://, ali da se mu pri brskanju po spletnih straneh pojavi okno za nalaganje kakšne datoteke,« še pojasnjuje Hren. 

Prijavi sovražni govor