If-Koubou

Avertisment: Rețelele WPA2 Wi-Fi criptate sunt încă vulnerabile la Snooping

Avertisment: Rețelele WPA2 Wi-Fi criptate sunt încă vulnerabile la Snooping (Cum să)

Până acum majoritatea oamenilor știu că o rețea Wi-Fi deschisă permite oamenilor să asculte traficul. Se presupune că criptarea standard WPA2-PSK împiedică acest lucru să se întâmple - dar nu este la fel de sigur cum credeți.

Nu este o veste uriașă despre un nou defect de securitate. Mai degrabă, acesta este modul în care WPA2-PSK a fost întotdeauna implementat. Dar este ceva ce majoritatea oamenilor nu știu.

Deschideți rețelele Wi-Fi față de rețelele criptate Wi-Fi

Nu ar trebui să găzduiți o rețea Wi-Fi deschisă la domiciliu, dar puteți să vă aflați utilizând unul în public - de exemplu, la o cafenea, în timp ce treceți printr-un aeroport sau într-un hotel. Rețelele Wi-Fi deschise nu au nicio criptare, ceea ce înseamnă că totul trimis peste aer este "clar". Oamenii pot monitoriza activitatea dvs. de navigare, iar orice activitate web care nu este protejată prin criptare poate fi snoată. Da, acest lucru este valabil și dacă trebuie să vă conectați cu un nume de utilizator și o parolă pe o pagină Web după conectarea la rețeaua Wi-Fi deschisă.

Criptarea - cum ar fi criptarea WPA2-PSK pe care o recomandăm să o utilizați acasă - remediază acest lucru oarecum. Cineva din apropiere nu poate pur și simplu să vă capteze traficul și să vă sune pe tine. Vor lua o grămadă de trafic criptat. Aceasta înseamnă că o rețea criptată Wi-Fi vă protejează traficul privat de a nu fi supus.

Acest lucru este cam adevărat - dar aici există o mare slăbiciune.

WPA2-PSK utilizează o cheie partajată

Problema cu WPA2-PSK este că utilizează o cheie "Pre-partajată". Această cheie este parola sau fraza de acces pe care trebuie să o introduceți pentru a vă conecta la rețeaua Wi-Fi. Toți cei care le conectează utilizează aceeași expresie de acces.

Este destul de ușor pentru cineva să monitorizeze traficul criptat. Tot ce au nevoie este:

  • Fraza de acces: Toată lumea care are permisiunea de a se conecta la rețeaua Wi-Fi va avea aceasta.
  • Traficul de asociere pentru un nou client: Dacă cineva captează pachetele trimise între router și un dispozitiv atunci când se conectează, au tot ce au nevoie pentru a decripta traficul (presupunând că au și fraza de acces, desigur). Este, de asemenea, banal să obțineți acest trafic prin atacuri "deauth" care deconectează cu forța un dispozitiv dintr-o rețea Wi-Fi și îl forțează să se reconecteze, provocând din nou procesul de asociere.

Într-adevăr, nu putem sublinia cât de simplu este acest lucru. Wireshark are o opțiune încorporată pentru a decripta automat traficul WPA2-PSK atâta timp cât aveți cheia pre-distribuită și ați capturat traficul pentru procesul de asociere.

Ce înseamnă asta în realitate

De fapt, acest lucru înseamnă că WPA2-PSK nu este mult mai sigur împotriva interceptărilor, dacă nu aveți încredere în toată lumea în rețea. La domiciliu, ar trebui să fii sigur, deoarece fraza de acces Wi-Fi este un secret.

Cu toate acestea, dacă ieșiți la o cafenea și utilizați WPA2-PSK în locul unei rețele Wi-FI deschise, s-ar putea să vă simțiți mult mai sigur în confidențialitatea dvs. Dar nu ar trebui - cineva cu fraza de acces Wi-Fi de la magazinul de cafea ar putea monitoriza traficul dvs. de navigare. Alte persoane din rețea, sau doar alte persoane cu fraza de acces, ar putea să vă spună traficul, dacă doreau.

Asigurați-vă că luați în considerare acest lucru. WPA2-PSK împiedică persoanele care nu au acces la rețea de la snooping. Cu toate acestea, odată ce au fraza de acces a rețelei, toate pariurile sunt dezactivate.

De ce nu încearcă WPA2-PSK să oprească acest lucru?

WPA2-PSK încearcă să oprească acest lucru prin utilizarea unei "chei tranzitorii pereche" (PTK). Fiecare client wireless are un PTK unic. Cu toate acestea, acest lucru nu ajută prea mult, deoarece cheia unică pentru fiecare client este întotdeauna derivată din cheia pre-distribuită (fraza de acces Wi-Fi). De aceea este banal să capturați cheia unică a unui client atâta timp cât aveți Wi- Fi și poate capta traficul trimis prin procesul de asociere.

WPA2-Enterprise rezolvă acest ... Pentru rețele mari

Pentru organizațiile mari care solicită rețele Wi-Fi securizate, această slăbiciune de securitate poate fi evitată prin utilizarea automată a EAP cu un server RADIUS - uneori numit WPA2-Enterprise. Cu acest sistem, fiecare client Wi-Fi primește o cheie cu adevărat unică. Niciun client Wi-Fi nu are suficiente informații pentru a începe snooping pe un alt client, astfel încât acesta oferă o securitate mult mai mare. Întreprinderile mari sau agenții guvernamentale ar trebui să utilizeze WPA2-Enteprise din acest motiv.

Dar acest lucru este prea complicat și complex pentru marea majoritate a oamenilor - sau chiar cei mai mulți geeks - de a folosi acasă. În loc de o frază de acces Wi-FI trebuie să introduceți pe dispozitivele pe care doriți să le conectați, va trebui să gestionați un server RADIUS care gestionează autentificarea și gestionarea cheilor. Acest lucru este mult mai complicat pentru utilizatorii de acasă să înființeze.

De fapt, nu merită niciodată timpul dacă aveți încredere în toată lumea din rețeaua Wi-Fi sau oricine are acces la fraza de acces Wi-Fi. Acest lucru este necesar numai dacă sunteți conectat (ă) la o rețea Wi-Fi criptată WPA2-PSK într-o locație publică - cafenea, aeroport, hotel sau chiar un birou mai mare - în cazul în care alte persoane cărora nu aveți încredere aveți și Wi- Fișa de acces a rețelei FI.

Deci, cerul cădea? Nu, desigur că nu. Dar, rețineți acest lucru: când sunteți conectat (ă) la o rețea WPA2-PSK, alte persoane care au acces la rețeaua respectivă ar putea să observe cu ușurință traficul dvs. În ciuda faptului că majoritatea oamenilor cred că această criptare nu oferă protecție împotriva altor persoane care au acces la rețea.

Dacă trebuie să accesați site-uri sensibile dintr-o rețea publică Wi-Fi - în special site-uri care nu utilizează criptarea HTTPS - luați în considerare acest lucru printr-un VPN sau chiar un tunel SSH. Criptarea WPA2-PSK pe rețelele publice nu este suficient de bună.

Image Credit: Cory Doctorow pe Flickr, Food Group pe Flickr, Robert Couse-Baker pe Flickr