Farë është WPA3, a është e sigurt dhe a duhet ta përdor?

Whatfarë është WPA3, a është e sigurt dhe a duhet ta përdor?


Farë është WPA3? Qasja e Mbrojtur Wi-Fi (WPA) shpesh është referuar si një standard sigurie ose protokoll i përdorur për të kriptuar dhe mbrojtur rrjetet wi-fi si ai që me siguri përdorni në shtëpi ose në punë, por në të vërtetë është një program certifikimi sigurie i zhvilluar nga Wi -Fi Aleanca për të siguruar rrjete kompjuterike pa tel.

WPA3, lëshuar në qershor 2018, është pasardhësi i WPA2, të cilin ekspertët e sigurisë e përshkruajnë si të “thyer”. Qëllimi i zhvillimit të WPA3 ishte përmirësimi i WPA për sa i përket thjeshtësisë së përdorimit dhe forcës së rritur kriptografike. Ashtu si paraardhësi i tij, ai vjen në Edicionet Personal dhe Enterprise, por ky version përmirësohet në WPA2 me më shumë autentifikime dhe veçori të encryption, dhe një zgjidhje për të metën e integruar në WPA2, KRACK. Ai gjithashtu përfshin funksionalitetin për të thjeshtuar dhe më të sigurt lidhjen e pajisjeve WiFi IoT.

Problemi

E meta e KRACK (Key Reinstallation Attack) mund të kategorizohet si një sulm i rishikimit të rëndë, dhe është një formë e një sulmi njeri-në-mes. Problemi thelbësor me WPA2, i theksuar nga zbulimi KRACK, është një defekt në vetë standardin e certifikimit WPA2 dhe jo një dobësi e shkaktuar nga konfigurimi i produktit të keq ose zbatimi i shërbimit.

Ne do të zhyten më thellë në KRACK më vonë, por në fund të fundit ndonjë zbatim i saktë i WPA2 ka të ngjarë të jetë i prekshëm; cënueshmëria është e natyrshme në protokollin WPA2.

Zgjidhja

Në përgjigje të këtij mosmarrëveshja, në qershor 2018, Wi-Fi Alliance® njoftoi futjen e sigurisë Wi-Fi CERTIFIED WPA3,, një standard i certifikimit wifi që:

  1. Adreson ndjeshmërinë e KRACK
  2. Përditëson WPA2 me veçori shtesë të sigurisës. Kjo është e rëndësishme sepse ka shumë vrima sigurie wifi që janë më tërheqëse për hakerat, dhe shumë më lehtë për tu shkelur sesa KRACK.

Farë është WPA3? Certifikimi WPA3 për pajisjet wifi mund të krahasohet lirshëm me një certifikatë të vlefshme për makinën tuaj. Pa certifikim, shitësit e pajisjeve nuk mund të pretendojnë pajtueshmërinë me standardet e sigurisë së Aleancës Wi-Fi.

Mund të jetë disa kohë para se WPA3 të marrë blerjen e plotë nga përdoruesit e wifi; ndërkohë, “pajisjet WPA2 do të vazhdojnë të bashkëveprojnë dhe sigurojnë siguri të njohur,” sipas Aleancës Wi-Fi. WPA2 vazhdon të jetë e detyrueshme për të gjitha pajisjet e çertifikuara me wifi gjatë periudhës së tranzicionit.

Farë është WPA3 dhe a është e sigurt?

Ky artikull do të shikojë se si WPA3 përmirësohet në sigurinë WPA2, dhe e vë KRACK në perspektivë. Ndërsa WPA3 është padyshim rruga e duhur e sigurisë për të marrë në të ardhmen, përdoruesit duhet të sigurojnë që ata të zbatojnë një strategji sigurie me shumë aspekte dhe shtresa për të mbrojtur të gjitha aspektet e rrjetit të tyre wifi. WPA3 nuk është e mjaftueshme për të mbrojtur plotësisht rrjetet wifi, megjithëse përmirësime të ndryshme nga copëza KRACK shkojnë shumë përpara drejt mbylljes së vrimave të tjera të sigurisë wifi. Ne gjithashtu do të diskutojmë disa nga kritikat që janë niveluar në WPA3. Më në fund, ne do të prekim disa nga mënyrat se si përdoruesit në shtëpi dhe bizneset mund të praktikojnë wifi të sigurt. A është i sigurt WPA3? Le ta zbulojmë.

Shkalla e cenueshmërisë së KRACK

Zbulimi i KRACK shkaktoi disa shqetësime në komunitetin e TI, arsyeja pse kaq shumë pajisje WiFi përdorin WPA2, dhe gjithnjë e më shumë njerëz po përdorin këto pajisje për t’u lidhur me internetin. Sipas Wigle, që nga janari i vitit 2018, kishte më shumë se 400 milion lidhje wireless në të gjithë botën. KRACK mund të bëjë që një përqindje e madhe e tyre të prekshme nga sulmet. (Nga rruga, nuk ka pasur ende sulme të dokumentuara KRACK në egra.)

Wshtë i sigurt WPA3

Qasje në internet pa tel sipas përdoruesve të internetit në të gjithë botën që nga qershori 2015, me pajisje (burim: Statista)

Sa të sigurt janë standardet aktuale të kriptimit të wifit?

  • Intimitet ekuivalent i Wired (WEP) – Shumë e pasigurt, por akoma në përdorim. Sipas Kaspersky Labs, do të duheshin hakerat vetëm disa minuta për të goditur rrjetet e mbrojtura nga WEP.
  • Rrjete të hapura – Asnjë siguri fare.
  • Qasja e mbrojtur me Wi-Fi (WPA) – Në 2002, WPA synonte të ishte vetëm një masë ndërmjetëse për të zëvendësuar WEP, dhe u suprimua nga WPA2 në 2004. Problemi me WPA ishte përdorimi i protokollit joefektiv të kriptimit TKIP i cili nuk është i sigurt.
  • Qasja e Mbrojtur Wi-Fi 2 (WPA2)
    • personal versioni është mjaft i sigurt, por i prekshëm ndaj sulmeve brutale dhe fjalor. Mund të lejojë përgjimin e komunikimeve (shtrëngimet e duarve) midis pikës së hyrjes dhe pajisjes në fillim të një seance wifi.
    • Ndërmarrje versioni është në një masë të mbrojtur nga përgjimet e shtrëngimit të dorës sepse përdor procedura shtesë të autorizimit të kompanisë.
  • Qasja e Mbrojtur Wi-Fi 3 (WPA3) – Zëvendëson WPA2 që nga janari 2018 edhe pse do të duhet ca kohë për të dalë jashtë. Ajo siguron sigurinë më të mirë wifi për momentin.

Mbani në mend se VETM pajisjet e mbrojtura WPA2 janë të prekshme posaçërisht nga një sulm KRACK. Një rrjet i hapur, i pasigurt nuk është i koduar dhe i prekshëm nga shumë sulme, por jo për sa i përket KRACK pasi nuk përdor WPA2.

Wshtë i sigurt WPA3

Llojet e kodimit të përdorura në pikat e nxehta të WiFit publik globalisht (burim: Rrjeti i Sigurisë Kaspersky (KSN)

Një analogji KRACKing

Të metat në negociatat e bërjes dorë – pika ku pika e hyrjes (AP) dhe ruteri takohen dhe përshëndeten për të konfirmuar letrat kredenciale të një klienti – qëndrojnë në zemër të ndjeshmërisë së WPA2. Ne do të hedhim një vështrim më të thelluar se pse në pjesën tjetër, ku do të shqyrtojmë se çfarë është WPA3.

Për të vendosur skenën, këtu është një analogji për shtrëngimin e dorës proces (nëse lejoni imagjinatën pak licencë.)

3-rruga-p.sh.

Ilustrimi i një shtrëngimi duarsh të treanshëm siç përshkruhet në analogji më poshtë (burim: Wikipedia, me modifikime)

    1. Le të pretendojmë se je në bankë dhe treguesi kërkon emrin, fjalëkalimin dhe numrin e telefonit para se të të japin para. Ju dhe banka keni rënë dakord për këtë procedurë të sigurisë për të provuar se jeni ata që thoni se jeni kur tërheqni para.
    2. Ju i jepni treguesit emrin tuaj, fjalëkalimin dhe numrin e qelizës. Në këtë bankë, hapi tjetër në proces është që banka t’i dërgojë telefonit tuaj a Kodi sekret të cilat do të përdorni për të konfirmuar identitetin tuaj.
    3. Ndërkohë, i panjohur për ju, dikush pas jush në radhë po përgjon dhe ka dëgjuar emrin dhe fjalëkalimin tuaj, dhe më e rëndësishmja juaj Kodi sekret.
    4. Pasi të largoheni nga banka, scurries deri në tregues dhe, ndërsa kodi juaj sekret është akoma i vlefshëm, tërheq pjesën e fundit të fondeve tuaja duke përdorur emrin tuaj, fjalëkalimin dhe fjalën tuaj të vjedhur. Kodi sekret.

Me siguri keni vërejtur pikën e dobët në skenarin e mësipërm; siguria u rrezikua në një fazë kur përcaktoni letrat kredenciale; jo kur kredencialet tuaja ishin sipër, por sepse kur dilët nga banka, kodi juaj sekret ishte akoma i vlefshëm. Nëse nuk do të kishte qenë, emri juaj, fjalëkalimi, numri i celularit dhe kodi sekret nuk do të kishin ndonjë dobi të përgjuesit.

Ka një kthesë në këtë përrallë: rrëfyesi dhe përgjuesi janë në karrem. Ky tregimtar i rremë në fakt ka prishur rrëfyesin e vërtetë (kush është jashtë drekës) dhe kjo është një sulmi njeri-në-mes. Të dy kriminelët tani kanë kredencialet tuaja.

Ky problem, siç do të shohim, është ajo që zgjidh WPA3.

Si është e prekshme WPA2?

Dobësia kryesore në WPA2 është shtrëngim duarsh në katër drejtime ajo përdor për të siguruar lidhje WiFi duke përdorur një çelës të paracaktuar (PSK). (Në WPA3, PSK zëvendësohet nga një kontroll i njëkohshëm i Autentifikimit të Barabartë (SAE).)

Në këtë pjesë, ne do të përdorim analogjinë nga seksioni i mëparshëm për të ndihmuar në ilustrimin e problemit.

Keyelësi Paraprak (PSK)

Pjesa fillestare e kontrollit të sigurisë që keni kaluar në bankë, në analogji e mësipërme, mund të krahasohet lirshëm me WPA2-PSK, vërtetim e cila kërkon që një individ të lidhet me një rrjet wifi (kërkoni para në bankë në metaforën tonë) duke përdorur një frazë. Një PSK i referohet një “sekreti të përbashkët”, në këtë rast, një fjalëkalim.

Shënime:

  • WPA2 pa një PSK është një opsion i përdorur nëse doni të përdorni një server autentifikimi. Një biznes duhet të zgjedhë këtë mundësi nëse dëshiron të caktojë çelësa unikë në pajisjet e punonjësve. Nëse një çelës rrezikohet, biznesi do të duhet vetëm të gjenerojë një çelës të ri për një pajisje. Kjo gjithashtu do të parandalonte që pajisjet e tjera të komprometohen nga një çelës i humbur ose i vjedhur, i cili mund të jenë nëse të gjitha pajisjet përdorin të njëjtin çelës.
  • Çfarë është ndryshimi midis WPA2-PSK dhe WPA2-Personal? Termat përdoren në mënyrë të shkëmbyeshme edhe pse WPA2-Personal nënkupton përdorimi i AES, ndërsa WPA2-PSK nënkupton një zgjedhje midis TKIP më të vjetër dhe AES. Siç shpjegohet në një blog Cisco, disa pajisje lejojnë WPA me AES dhe WPA2 me TKIP. AES është opsionale në WPA por në WPA2, AES është i detyrueshëm dhe TKIP është opsional. Të dy termat i referohen përdorimit të PSK që është ajo që e dallon WPA2-Personal nga WPA2-Enterprise.

Shtypja e dorës me katër kahje

Autentifikimi kredencial në telekomunikacion quhet lëvizje dore. Në bankë, ju dhe treguesi shkëmbyen një shtrëngim duarsh në tre hapa për të vendosur letrat kredenciale, kodi sekret është shtrëngimi i dorës së fundit në proces.

Të gjitha rrjetet wifi përdorin një shtrëngim duarsh në katër drejtime.

Në ilustrimin më poshtë, pika e hyrjes wifi e prishur është treguesi i rremë që keni trajtuar në bankë.

Wshtë i sigurt WPA3

Ilustrim se si një sulm KRACK përgjon një shtrëngim duarsh në katër drejtime (burim: Enisa)

Rowell Dionicio, duke shkruar për Packet6, shpjegon: “Sulmuesi do të shkatërrojë një pikë të vërtetë të hyrjes dhe mashtroni një klient për t’u bashkuar në pikën e hyrjes mashtrues, por lejon që autentifikimi Wi-Fi të përfundojë. Për të tërhequr sulmin KRACK, sulmuesi do të rishikojë një mesazh brenda Shëmbëlltyrës me 4 Drejtime. E meta këtu është se pajisja e viktimës do të pranojë sërish njërën nga këto mesazhe kur nuk duhet. kështu duke lejuar sulmuesin të përdorë një çelës të përdorur më parë. Një çelës duhet të përdoret vetëm një herë dhe ky është objektivi i sulmit të gabuar KRACK. “

Dionicio vazhdon: “Fiks teknik i një sulmi KRACK është parandalimi i vlerave të ripërdorimit. Pajisjet nuk duhet të pranojnë çelësat e përdorur më parë.”

Lexoni një shpjegim më teknik të ripërdorimit jo të mirë nga Mathy Vanhoef, studiuese e KRACK.

A është i sigurt WPA3? Sigurisht, por ka përmirësime edhe në WPA2

Njoftimi WPA3 ka bërë disa valë, por do të duhet ca kohë për të dalë jashtë. Ndërkohë, disa përmirësime WPA2 do të vendosen gjithashtu:

  • Vendosja e miratimit të Kornizave të Mbrojtura të Menaxhimit (PMF) në të gjitha pajisjet ‘Wi-Fi CERTIFIED’
  • Sigurimi i shitësve të bëjnë kontrolle të rregullta në pajisjet e çertifikuar (source: Komisum)
  • Standardizimi i paketës kriptografike 128-bit (source: Komisum)

Cilat janë dy versionet WPA3?

WPA vjen në dy versione të cilat bazohen në kërkesat e përdoruesit fundorë (përdorimi i shtëpisë ose i biznesit.) Përballë saj, nuk ka shumë dallim midis WPA3-Personal dhe WPA3-Enterprise, megjithëse kjo e fundit është më e sigurt sikurse ishte të dizajnuara për të mbrojtur të dhënat ultra të ndjeshme dhe ndërmarrjet e mëdha.

Le të përmbledhim shpejt dy versionet siç përshkruhen nga Aleanca Wi-Fi. Për fillestarët, të dy versionet:

  • Përdorni metodat e fundit të sigurisë
  • Mos lejoni protokolle të vjetruara të trashëgimisë
  • Kërkoni përdorimin e Kornizave të Mbrojtura të Menaxhimit (PMF). “Kornizat e veprimit të menaxhimit unicast mbrohen nga përgjimi dhe farkëtimi, dhe kornizat e veprimit të menaxhimit multicast mbrohen nga falsifikimi,” sipas Aleancës Wi-Fi. Me pak fjalë, Wikipedia përshkruan kornizat e menaxhimit si, “mekanizma që mundësojnë integritetin e të dhënave, origjinalitetin e origjinës së të dhënave dhe mbrojtjen e rishfaqjes”. Ju mund të gjeni një përshkrim teknik se si funksionojnë ato në faqen e internetit të Cisco.

WPA3-Personal

Ky version siguron vërtetimin e bazuar në fjalëkalim me siguri të mirë edhe kur përdoruesit zgjedhin fjalëkalime të shkurtra ose të dobëta. Ai nuk kërkon një server autentikimi dhe është përdoruesi bazë i protokollit dhe përdorimi i bizneseve të vogla.

  • Përdor encryption 128-bit
  • Bën përdorimin e një konfiskimi të njëkohshëm të Autorizimit të Barabartë (SAE) i cili mbron nga sulmet e forcës brutale
  • Përfshinë sekretin e përparimit do të thotë që një grup i ri i çelësave të kriptimit krijohen çdo herë që të bëhet një lidhje WPA3, kështu që nëse fjalëkalimi fillestar rrezikohet, nuk do të ketë rëndësi
  • Mbron sigurinë në rrjetet publike
  • Menaxhon me lehtësi pajisjet e lidhura
  • Lejon Zgjedhjen e Fjalëkalimit Natyror, për të cilin pretendon Aleanca Wi-Fi do ta bëjë më të lehtë për përdoruesit të mbajnë mend frazat

WPA3-Enterprise

Siguron mbrojtje shtesë për rrjetet e ndërmarrjeve që transmetojnë të dhëna të ndjeshme, për shembull, qeveritë, organizatat e kujdesit shëndetësor dhe institucionet financiare. Përfshin modalitetin e sigurisë minimale të forcës 192-bit opsionale, e përafruar me Algoritmin Tregtar të Sigurisë Kombëtare (CNSA) Suite nga Komisioni për Sistemet e Sigurisë Kombëtare. Kjo ishte një kërkesë e qeverisë amerikane.

Dallimi kryesor midis WPA3-Personal dhe WPA3-Enterprise është në nivelin e vërtetimit. Versioni personal përdor PSK dhe versionin Enterprise një koktej karakteristikash që zëvendësojnë IEEE 802.1X nga WPA2-Enterprise. Vizitoni Aleancën Wi-Fi për specifikimet teknike.

Për më shumë Eric Geier, duke shkruar për Cisco Press, shpjegon se si bizneset mund të bëjnë lëvizjen në WPA3-Enterprise.

Karakteristika të reja WPA3

Katër fusha të përmirësimit

Katër karakteristika të reja në WPA3 janë krijuar për tu përmirësuar në WPA2. megjithatë, vetëm njëra nga këto është e detyrueshme për certifikimin WPA3: shtrëngimi i dorës së dragoit. Më poshtë është një përmbledhje e shkurtër e karakteristikave kryesore. Ne do të shkojmë në më shumë detaje më vonë në këtë seksion.

  1. Lëvore më e sigurt – Protokolli i Autentifikimit të Njëkohshëm i të Barabartëve (SAE) (me emrin shtrëngimi i Dragonfly) kërkon një ndërveprim të ri me rrjetin sa herë që një pajisje kërkon një çelës encryption, duke ngadalësuar shkallën e një sulmi në përpjekje dhe duke e bërë një fjalëkalim më rezistent ndaj fjalorit dhe forcës brutale sulmeve. Ajo gjithashtu parandalon deshifrimin offline të të dhënave.
  2. Zëvendësimi i konfigurimit të mbrojtur me wi-fi (WPS) – një mënyrë më e thjeshtë për të shtuar me siguri pajisje të reja në një rrjet duke përdorur Protokollin e Sigurimit të Pajisjes Wi-Fi (DPP), i cili ju lejon të shtoni me siguri pajisje të reja në një rrjet duke përdorur një kod QR ose një fjalëkalim. Lidhu lehtë e bën konfigurimin veçanërisht të lehtë për pajisjet e lidhura shtëpiake dhe IoT.
  3. Kriptimi i paautorizuar – Mbrojtje më e mirë kur përdorni pikat publike duke përdorur Wi-Fi i zgjeruar i hapur i cili siguron kriptim të paautorizuar, një standard i quajtur Encryption Wireless Opportunistic (OWE).
  4. Madhësitë më të mëdha të sesionit – WPA3-Ndërmarrja do të mbështesë madhësitë kryesore të ekuivalentit të sigurisë 192-bit gjatë fazës së autentifikimit, e cila do të jetë më e vështirë për të goditur.

Le të hedhim një vështrim më të hollësishëm në sferën e akronimeve të përmendura më lart.

Autentifikimi i njëkohshëm i barabartë (SAE) kundër sulmeve brutale të forcës

SAE është një shkëmbim i sigurt, me bazë fjalëkalimi e përdorur nga versioni WPA3-Personal për të mbrojtur përdoruesit nga sulmet brutale të forcës. Shtë i përshtatshëm për rrjetet rrjetë, të cilat marrin emrin e tyre nga mënyra se si krijojnë mbulim wifi. Comparitech përshkruan vendosjen thjesht: “Duke vendosur disa pajisje rreth shtëpisë tuaj, secila duke dërguar një sinjal pa tel, ju krijoni një” rrjetë “ose rrjet të mbulimit pa tel rreth shtëpisë tuaj. Kjo ndihmon në eliminimin e pikave të vdekura ose të dobëta. “

Përfitimet e SAE:

  • Bazuar në shkëmbimin e çelësave IEFT Dragonfly, një model kriptografik për vërtetimin duke përdorur një fjalëkalim ose fjalëkalim, i cili është i qëndrueshëm si për sulme aktive ashtu edhe pasive, dhe sulmeve të fjalorit offline.
  • mundëson Sekreti i Parë i cili nuk lejon një sulmues të regjistrojë një transmetim të koduar që mund të deshifrohet më vonë nëse fjalëkalimi i rrjetit pa tel komprometohet në të ardhmen
  • Lejon vetëm një fjalëkalim me mend për seancë. Edhe nëse sulmuesit vjedhin të dhëna me shpresën për të goditur fjalëkalimin në offline të lirë të tyre, ata do të stimohen nga tipari i një supozimi sepse duhet të “kërkojnë” ruterin wifi çdo herë nëse supozimi i tyre ishte i saktë. Në thelb, kjo e kufizon një sulmues në sulme në kohë reale. Ka pasur disa pyetje nëse kjo veçori mund të kufizojë gjithashtu përdoruesit e ligjshëm. Në botën e vërtetë, përdoruesit e ligjshëm nuk kanë gjasa të bëjnë 100 supozime të automatizuara të njëpasnjëshme brenda një sekondari, siç bëjnë hakerat, dhe një aplikacion mund të kodifikohet për të lejuar një numër të kufizuar të supozimeve para se të fillojë ngadalësimin e shërbimit. Kjo veçori gjithashtu forcon sigurinë e fjalëkalimeve të dobëta.

Protokolli i Sigurimit të Pajisjeve (DPP) për menaxhimin e rrjeteve dhe pajisjeve IoT

Wi-Fi CERTIFIED Easy Connect (i cili zëvendëson Shërbimin e Sigurimit WiFi të WPA2 të WPA2) ju ndihmon të lidhni të gjitha pajisjet tuaja, madje edhe ato që nuk kanë një ndërfaqe miqësore për përdoruesin për të shtypur fjalëkalimin tuaj (p.sh. Google Home ose frigoriferin tuaj të zgjuar), duke përdorur një pajisje të vetme të ndërmjetme.

Aleanca Wi-Fi përshkruan se si funksionon: Një pronar i rrjetit zgjedh një pajisje si pikë qendrore të konfigurimit. Ndërsa një pajisje me një GUI të këndshme është më e lehtë, ju mund të përdorni çdo pajisje të aftë të skanojë një kod përgjigjeje të shpejtë (QR) ose të përdorni NFC si pajisjen konfiguruese. Drejtimi i DPP – një procedurë e regjistrimit me të gjitha madhësitë – nga kjo pajisje lidh të gjitha pajisjet e skanuara dhe u jep atyre kredencialet e nevojshme për të hyrë në rrjet. Shënim: Ky është një tipar opsional dhe i disponueshëm vetëm në pajisjet me Lidhu lehtë.

Wshtë i sigurt WPA3

Pasi të jetë regjistruar një pajisje Wi-Fi, ajo përdor konfigurimin e saj për të zbuluar dhe lidhur me rrjetin përmes një pike hyrjeje (burim: Aleanca Wi-Fi)

Kriptimi Opportunistic Wireless (OWE) për shfletim të zonave të nxehta

OWE është shoferi pas WiFi e zgjeruar e hapur tipar, i zbatuar për të mbroni përdoruesit në pikat e nxehta publike / të ftuar dhe parandaloni përgjimin. Ai zëvendëson standardin e vjetër të autentifikimit “të hapur” 802.11. Me OWE, të dhënat tuaja janë të koduara edhe nëse nuk keni futur fjalëkalim. Wasshtë krijuar për të siguruar transferimin dhe komunikimin e të dhënave të koduara në rrjete që nuk përdorin fjalëkalime (ose përdorin një fjalëkalim të përbashkët) duke përdorur Mbrojtjen e të Dhënave të Personalizuar (IDP); në esencë, çdo seancë e autorizuar ka shenjën e vet të kodimit. Kjo do të thotë që të dhënat e secilit përdorues mbrohen në kasafortën e vet. Por, gjithashtu funksionon në rrjetet e mbrojtura me fjalëkalim, duke siguruar që nëse një sulmues do të mbajë fjalëkalimin e rrjetit, ata ende nuk do të kenë qasje në të dhënat e koduara në pajisjet e rrjetit (shiko SAE më lart.)

A jeni i prekshëm ndaj KRACK?

E gjitha nuk është dënim dhe errësirë. Kushdo që përdor wifi është i prekshëm, por le ta vendosim problemin në perspektivë. Një haker mund të përgjojë vetëm trafikun e pakriptuar midis pajisjes tuaj dhe ruterit. Nëse të dhënat janë koduar siç duhet duke përdorur HTTPS, një sulmues nuk mund t’i lexojë ato.

Disa siguri nga Brendan Fitzpatrick, Zëvendës President, Inxhinieria e Riskut Kibernetik, duke shkruar për Axio:

  • Një sulm nuk mund të fillohet nga distanca, një sulmues duhet të jetë në rang fizik të një rrjeti të veçantë wifi.
  • Një sulm zhvillohet vetëm gjatë shtrëngimit të dorës me katër kahje.
  • Fjalëkalimi wifi nuk zbulohet gjatë sulmit dhe sulmuesi nuk është i lejuar të bashkohet me rrjetin.
  • Vetëm nëse sulmi është i suksesshëm, sulmuesi mund të deshifrojë potencialisht trafikun midis viktimës dhe pikës së tyre të hyrjes.
  • Aktualisht, sulmi është përqendruar vetëm në anën e klientit të shtrëngimit të dorës.

Në një postim në blog, Robert Graham shënon, KRACK “nuk mund të mposht SSL / TLS ose VPN”. Ai shton: «Rrjeti juaj në shtëpi është i prekshëm. Shumë pajisje do të përdorin SSL / TLS, kështu që janë mirë, si jehona juaj Amazon, të cilën mund të vazhdoni t’i përdorni pa u shqetësuar për këtë sulm. Pajisjet e tjera, si dritat e dritës tuaj Phillips, mund të mos jenë aq të mbrojtura. ” Zgjidhja? Patch me azhurnime nga shitësi juaj.

Softwarefarë softuerësh dhe pajisje janë të ndjeshëm ndaj KRACK?

Sipas Matty Vanhoef, Android, Linux, Apple, Windows, OpenBSD, MediaTek, Linksys, dhe të tjerët, të gjithë mund të preken nga një variant i sulmeve. Versionet Linux dhe Android 6.0 dhe më të larta janë veçanërisht të prekshme.

Ju mund të gjeni një listë të shitësve të prekur në faqen e internetit të Institutit për Inxhinieri Inxhinierike Softuerësh, Baza e të dhënave të shënimeve të prekshmërisë. Sajti ofron lidhje me informacionin e shitësit në lidhje me arna dhe rregullimet.

Whatfarë lloj dobësish të sulmit ekspozojnë rrjetet e siguruar jo mjaftueshëm?

Nuk është vetëm rreziku për të qenë KRACK. Një rrjet Wi-Fi i pasigurt po lyp që të sulmohet dhe WPA3 do të ndihmojë në zbutjen e këtyre rreziqeve. Certifikata e SHBA përshkruan skenarët e mundshëm të sulmit:

  • Piggybacking – Gama tipike wifi shtëpie është 150 – 300 këmbë. Nëse jetoni afër fqinjit, lidhja juaj mund të jetë e hapur për sulmuesit … ose edhe djali geek në vendin tjetër që përdor wifi tuaj për të shkarkuar filmat e tij.
  • wardriving – Një lloj konfirmimi ku sulmuesit e mundshëm lëvizin nëpër lagje me një antenë që kërkojnë rrjete pa tela të pasigurta.
  • Sulmet binjake të këqija – Në një sulm binjak të keq, një sulmues imiton një pikë të qasjes në rrjetin publik, duke vendosur sinjalin e tyre të transmetimit të jetë më i fortë se ai i gjeneruar nga pika e ligjshme e hyrjes. Natyrisht, përdoruesit lidhen me sinjalin më të fortë, kriminelin. Të dhënat e viktimës pastaj lexohen lehtësisht nga hakeri. Kontrolloni gjithmonë emrin dhe fjalëkalimin e një hotspot WiFi përpara se të lidheni.
  • Kërcitje pa tela – Shmangni pikat e hyrjes publike që nuk janë të sigurta dhe ku të dhënat nuk janë të koduara. Kriminelët përdorin “sniffers” për të gjetur informacione të ndjeshme siç janë fjalëkalimet ose numrat e kartave të kreditit.
  • Qasje e paautorizuar në kompjuter – Një pikë e pasigurt mund të lejojë një sulmues të hyjë në çdo direktori dhe skedarë që i keni bërë pa dashje në dispozicion për shpërndarje. Gjithmonë bllokoni ndarjen e skedarëve në publik.
  • Shëtitje në sup – Në hapësirat publike, kini kujdes për sulmuesit, sulmuesit që ju shikojnë duke shtypur ndërsa ecin para ose videon seancën tuaj. Ju mund të blini një mbrojtës të ekranit për të shmangur këtë.

Vjedhja e pajisjeve mobile – Nuk është vetëm rrjeti që paraqet një rrezik për të dhënat tuaja. Nëse pajisja juaj është vjedhur kur jeni duke punuar në një pikë të nxehtë, është një ditë e shpërblimit për kriminelët. Sigurohuni që të dhënat tuaja janë gjithnjë të mbrojtur me fjalëkalim dhe informacioni i ndjeshëm është i koduar. Kjo përfshin të dhëna për pajisjet e ruajtjes portative.

Disa paralajmërime

Fjalë paralajmërimi nga gjetësit e të metës KRACK

Mathy Vanhoef, Studiuese Postdoktorale në Sigurinë e Kompjuterave në KU Leuven dhe një nga studiuesit që zbuloi KRACK, në faqen e tij të internetit ka disa vërejtje paralajmëruese në lidhje me vlerën e WPA3 për të medituar.

  1. Shtrëngim duarsh SAE – Nëse shtrëngimi i dorës SAE nuk zbatohet me kujdes, mund të jetë i ndjeshëm ndaj sulmeve të kanalit anësor, të cilat Wikipedia i përshkruan si sulme të bazuara në informacione në lidhje me zbatimin e softuerit. Duket se dobësitë shfrytëzuese që vijnë nga konfigurimet e pasakta nuk mund të shmangen as nga WPA3.
  2. Kriptimi i paautorizuar – Ndërsa përdorimi i Encryption Opportunistic Wireless (OWE) do të forcojë privatësinë e përdoruesit në rrjete të hapura, Vanhoef sugjeron që vetëm sulmet pasive (ato në të cilat hakerat trafikojnë nuhatës) mund të parandalohen. Sulmet aktive (ato që përdorin pikat e hyrjes së gjumit për të mashtruar përdoruesit) do të mundësojnë akoma një kundërshtar të përgjojë trafikun. Vanhoef shpjegon:

    Një e metë e OWE është se nuk ka asnjë mekanizëm për t’i besuar një Pike hyrjeje për përdorimin e parë. Kontrastoni këtë me, për shembull, SSH: herën e parë që lidheni me një server SSH, mund t’i besoni çelësit publik të serverit. Kjo parandalon që një kundërshtar të ndërpresë trafikun në të ardhmen. Sidoqoftë, me OWE nuk ka mundësi të besosh një AP të veçantë për përdorimin e parë. Pra, edhe nëse keni qenë të lidhur me një AP të veçantë më parë, një kundërshtar ende mund të vendosë një AP të rreme dhe të bëjë që të lidhesh me të në të ardhmen.

  3. Mundësia e humbur – Vetëm një nga katër tiparet e kërkuara nga Aleanca Wi-Fi në ndërtimin e WPA3 është në të vërtetë e detyrueshme për WPA3. “Fatkeqësisht, programi i certifikimit WPA3 vetëm mandaton mbështetjen e shtrëngimit të dorës së re të dragoit. Kjo eshte. Karakteristikat e tjera janë ose opsionale ose një pjesë e programeve të tjera të çertifikimit. Kam frikë se në praktikë kjo do të thotë që prodhuesit thjesht do të zbatojnë shtrëngimin e dorës së re, do të lëshojnë një etiketë “WPA3 të certifikuar” dhe do të bëhen me të, “thotë Vanhoef. Rezultati përfundimtar do të jetë që përdoruesi përfundimtar nuk di se cilat tipare përfshihen dhe sa janë të sigurta.

(Burimi: Mathy Vanhoef dhe Frank Piessens. 2017. Sulmet e Rinstalimit Kryesor: Forcimi Ripërdorimi i Nonce në WPA2. Në Procedimet e Konferencës së 24-të të ACM-së për Sigurinë e Kompjuterave dhe Komunikimeve (CCS). ACM.)

Dofarë duhet të thonë cinistët, përfshirë zhvilluesit e IT, për WPA3?

Bashkohuni bisedave në blogun e Bruce Schneiner, DD-WRT, Security Stack Exchange, ose Spiceworks të Komunitetit për disa informacion interesant nëse WPA3 është me të vërtetë panacea përfundimtare për dobësitë e sigurisë në wifi. Dhe, nëse dobësia ia vlen të harxhoni shumë gjumë. Disa kontribute:

  • “Unë dyshoj se WPA3 do të ndihmojë. Për një kohë – derisa djemtë e këqij të gjejnë një vrimë tjetër.”
  • “Një rrjedhë e madhe e të ardhurave për shitësit e pajisjeve i cili do të ndalojë patch pajisjet e tanishme dhe të insistojë të blini WAP-të e reja nëse dëshironi WPA3. “
  • “Aspekti më zhgënjyes i WPA3 është se si të gjitha standardet e mëparshme wifi (WEP, WPA, WPA2, madje WPS), edhe ky ka qenë zhvilluar nga një konsorcium i mbyllur, vetëm anëtarëve […] Të gjitha premtimet e njoftimit WPA3 janë që procesi i mbyllur në WPA4 tani mund të fillojë. “
  • Vektori i sulmit duke përdorur KRACK është thjesht shumë i vogël (dhe do të vazhdojë të ulet) për t’i bërë këto sulme të përhapura. “Rrjetet e hapura, për shembull, nuk janë të ndjeshme ndaj KRACK, por janë shumë më të rrezikuara nga sulmet me qëllim të keq sesa rrjetet WPA2. Në kohën e shkrimit, në të vërtetë, asnjë sulm KRACK nuk është dokumentuar; ekspertët argumentojnë, kjo është për shkak se përpjekja është shumë e madhe për kriminelët në internet kur ka aq shumë synime më të buta përreth.

Në atë shënim cinik, praktikoni wifi të sigurt, qëndroni të informuar dhe filloni të kurseni për një ruter të ri. Sipas Dion Phillips, duke shkruar për InfiniGate, “… është e dyshimtë që pajisjet e tanishme wireless do të azhurnohen për të mbështetur WPA3 dhe shumë më shumë të ngjarë që vala tjetër e pajisjeve do të futet gjatë procesit të certifikimit. Duke u thënë kështu, pajisjet e klientit gjithashtu do të duhet të certifikohen në të njëjtën mënyrë për të qenë në gjendje të përfitojnë nga certifikimi i ri. “

Ekspertët pajtohen që pjesa më e madhe do të jetë deri në fund të vitit 2019. Ju do të duhet të blini një ruter të ri por WPA3 është i pajtueshëm me prapa, kështu që mund të mos keni nevojë të azhurnoni të gjitha pajisjet tuaja të lidhura, përveç nëse ato janë me të vërtetë të vjetra.

Si mund të mbroheni?

Si mund ta mbrojnë biznesin? (Solved)

Mathew Hughes ka disa sugjerime praktike të zbutura me disa fjalë kujdes.

  • Instaloni një copë toke të pajtueshme – Fatkeqësisht, thotë Hughes, jo vetëm që shumë njerëz janë të ngadalshëm për të instaluar arna, shumë prodhues janë të ngadaltë në lëshimin e tyre.
  • Instaloni një VPN, një tunel i koduar midis pajisjeve, duke parandaluar përgjimin nga të huajt – Për disa njerëz, thotë ai, kjo mund të jetë jopraktike pasi ata nuk do të kenë mundësi të përdorin pajisje të tjera të lidhura në rrjetin e tyre.
  • përdorim SSL / TLS – Kjo siguron një shtresë shtesë të enkriptimit për të penguar hajdutët dhe përgjimet, pasi kodon pako në shtresën e sesionit sesa në shtresën e rrjetit (i cili mund të jetë i synuar nga sulmuesit KRACK.)
  • Azhurnoni pajisjet dhe softuerin – Sigurohuni që departamenti juaj i IT-së të nxjerrë azhurnime të rregullta të softuerëve dhe arna për të gjitha pajisjet e kompanisë, përfshirë BYOD-et. Kontaktoni me prodhuesit për t’u siguruar që ata kanë lëshuar arna që adresojnë të metën KRACK.

Përveç kësaj, siguroni ruterin tuaj – Sigurohuni që ruteri juaj të jetë i mbyllur, i sigurt nga kërcënimet e brendshme ose të jashtmit që vizitojnë ndërtesën. Ekzistojnë gjithashtu një numër parazgjedhjesh në ruterin tuaj që mund t’i ndryshoni për të forcuar sigurinë, p.sh. kufizimi i trafikut në hyrje, paaftësia e shërbimeve të papërdorura, ndryshimi i informacionit të paracaktuar të hyrjes dhe ndryshimi i SSID në pajisjet e vjetra. Kontrolloni që zjarri i routerit tuaj të jetë aktivizuar (jo gjithmonë bëhet automatikisht.) Përdorni SSID për të krijuar pika të veçanta të hyrjes për stafin dhe klientët tuaj. Fikni Setupin e Mbrojtur WiFi (WPS), të përdorur për të ndihmuar me pajisjet çiftuese.

Gjithashtu, lexoni këshilla të lidhura për rrjetet shtëpiake më poshtë.

Këshilla për sigurinë Wifi për rrjetet shtëpiake dhe pajisjet IoT (Zgjedhur)

    • Praktikoni sensin themelor të sigurisë wifi – Lexoni udhëzimin e Comparitech për të siguruar rrjetin tuaj WiFi në shtëpi.
    • Ndaloni të përdorni wifi – Lidhuni në internet përmes një lidhjeje me Ethernet ose të dhëna (3 / 4G) në shtëpi, ose përdorni të dhëna celulare, veçanërisht për transaksione të ndjeshme.
    • Azhurnoni pajisjet dhe softuerin – Kjo përfshin të gjitha pajisjet tuaja, si dhe ruterin tuaj. Kontaktoni me prodhuesit për t’u siguruar që ata kanë lëshuar arna që adresojnë të metën KRACK.
    • Disaktivizoni ndarjen e skedarëve – Ndërsa është joshëse të ndani fotografi me miqtë dhe familjen, përpiquni të shmangni bërjen e kësaj në një vend publik. Ju gjithashtu duhet të krijoni një drejtori për ndarjen e skedarëve dhe të kufizoni qasjen në drejtoritë e tjera. Gjithmonë mbrojeni me fjalëkalim çdo gjë që ndani.
    • Mos kryeni transaksione të ndjeshme në vende publike – Bëni banking në internet në shtëpi.
    • Instaloni HTTPS Kudo – HTTPS Kudo nga Fondacioni Elektronik Kufitar (EFF) është një burim i hapur Firefox, Chrome, dhe shtrirje Opera që kodon komunikimet me shumicën e faqeve të internetit. Zgjatja nuk është një mundësi e gabuar nëse një uebfaqe nuk ofron kriptim HTTPS, por nëse është i disponueshëm, HTTPS Everywhere do të sigurojë që kjo është përmbajtja që jep.
    • Perdor nje VPN – Ndërsa VPN ofrojnë siguri të madhe për të dhënat tuaja, sigurohuni që ofruesi juaj të jetë po aq i vetëdijshëm sa jeni dhe pranon të drejtën tuaj për privatësi. Raportuar nga Bryan Clark në artikullin Next Web, PureVPN, i cili pretendoi se nuk mban regjistrat ose identifikimin e informacionit të përdoruesve të tij, në mënyrë misterioze dukej se kishte dalë me një informacion të mjaftueshëm të regjistruar për t’i mundësuar FBI-së të gjurmonte dhe arrestojë një stalker. A mban regjistrat tuaj VPN? Në një studim të thelluar, Comparitech zbulon të vërtetën në lidhje me 123 politika të prerjeve VPN.
    • Vendosni një router wifi në shtëpi – Një ruter virtual ju lejon të ndani lidhjen tuaj të internetit me pajisjet e tjera të afërta. Shtë më e lehtë se sa mendoni, e ngjashme me vendosjen e një pikë të nxehtë WiFi në smartphone tuaj.
    • Siguroni ruterin tuaj – Ekzistojnë një numër parazgjedhjesh në ruterin tuaj që mund t’i ndryshoni për të forcuar sigurinë, p.sh. kufizimi i trafikut në hyrje, paaftësia e shërbimeve të papërdorura dhe ndryshimi i SSID në pajisjet e vjetra.
    • Konfirmoni ISP-në tuaj të azhurnuar – Shumë përdorues wifi në shtëpi përdorin ruterin e furnizuar nga ISP-ja e tyre. Nëse e bëni këtë, konfirmoni se ISP-ja juaj ka patched të gjitha pajisjet e tyre.
    • Shmangni pikat e nxehta publike të wifi – Ose, të paktën mësoni se si të minimizoni rreziqet e përdorimit të WiFit publik.
    • Kontrolloni me dorë URL-të janë të sigurta – URL-të e HTTP-së përdorin encryption SSL për të mbrojtur vizitorët në faqen e tyre. URL-të HTTP jo. Ju mund të shihni nëse një URL është e sigurt në shiritin e adresave. Gjithashtu, aktivizoni Përdorni gjithmonë një lidhje të sigurt (HTTPS) opsion në pajisjen tuaj.
    • Përdorni fjalëkalime të sigurta – Comparitech ka disa sugjerime për krijimin e fjalëkalimeve të forta. Gjithmonë ndryshoni fjalëkalimet e paracaktuar, si “Admin” ose “123”.
    • Mbani të azhurnuar programin antivirus – Zgjidhni një program antivirus me reputacion dhe mbajeni atë të rregulluar. Ka gjithashtu shumë aplikacione antivirus falas përreth.
    • Fike – Fikni lidhjen tuaj wifi kur nuk jeni duke e përdorur atë dhe çaktivizoni lidhjen automatike.
    • Përdorni siguri me shumë shtresa – Mbani të azhurnuar firewall-in e sistemit tuaj operativ dhe përdorni autentifikimin me dy faktorë për të hyrë në llogaritë tuaja në internet.
    • Përdorni encryption Advanced Standard Encryption (AES) – Kontrolloni që rrjeti juaj në shtëpi përdor WPA2 me kriptimin AES, jo TKIP. Të dy opsionet e kriptimit janë të ndjeshme ndaj deshifrimit të trafikut përmes KRACK, por AES nuk është e ndjeshme ndaj injeksionit të paketave.

A kam nevojë për WPA3?

Shtë më mirë të jesh i sigurt se sa i vjen keq, kështu që po, ju bëni. Por, gjatë periudhës së tranzicionit (periudha në të cilën shitësit do të certifikojnë pajisjet e tyre) ju mund të bashkoni WPA2.

Ndryshimi i fjalëkalimit tuaj WPA2 nuk do t’ju mbrojë nga një sulm KRACK i cili përqendrohet në menaxhimin e tasteve. Sidoqoftë, ka kuptim sigurie që gjithmonë të zgjidhni fjalëkalime të forta.

Por, a mjafton?

John Wu, në një artikull në LinkedIn, thotë se WPA3 nuk është e mjaftueshme për të siguruar sigurinë totale të wifi sepse hakerat përdorin metoda të tjera për të sulmuar metodat wifi. “Virusi i fundit VPNFilter nuk përfiton nga asnjë prej mangësive WPA2. Në vend të kësaj, sulmi është duke synuar dobësitë e njohura në ndërfaqen në internet të ruterave WiFi, porte të largëta që janë të hapura me fjalëkalime të koduar me vështirësi, softuer që nuk janë azhurnuar dhe pajisjet e IoT të lidhura me ndjeshmëri. “

Zgjidhja? Përdorni listat e kontrollit më lart se si të mbroni lidhjet tuaja wifi si një udhëzues për krijimin e një qasje e shtresuar ndaj sigurisë WiFi. Në krye të listës? Qëndroni deri në datën me arna.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map