Vlákno názorů k článku Šifrování WPA2 prolomeno, Wi-Fi sítě je možné odposlouchávat (aktualizováno) od highway - Nevím, zda tomu rozumím správně, prosím o potvrzení/odmítnutí: Doma...
-
highway (neregistrovaný)
Nevím, zda tomu rozumím správně, prosím o potvrzení/odmítnutí:
- Doma mám wifi zabezpečnou WPA2. Po tomto novém průšvihu je moje domácí wifi na úrovni připojení do veřejné nezaheslované sítě (kavárna, vlak, obchodní centrum, ap). Tedy o něco líp: útočník se sice nepřipojí, ale může odposlouchávat.
- Ve veřejné sítí musíme být obezřetní, kdokoli může číst naši nezašifrovanou komunikaci. Pokud používám důsledně stránky přes https:// tak se nemusím bát odposlechu.
- Ve veřejné sítí se připojím do banky, mám v řádku zelený zámek s názvem banky. Podávám příkaz k úhradě, banka posílá potvrzení přes sms. Penízky jsou v bezpečí.
-
Všechny tři body máte v zásadě správně.
První bod je trošku jinak, bezpečnostně se k tomu sice musíte chovat jako k veřejné síti, ale přeci jen není úplně pravděpodobné, že by útočník zaútočil zrovna na vaši síť, protože ten útok snad ještě není úplně na lusknutí prstu. Na druhou stranu není pravda, že by útok umožnil data jenom odposlouchávat, v některých případech může do komunikace i vstupovat (v lepším případě vám jen ukončí spojení, v horším případě vám vloží něco ošklivého do načítané webové stránky nebo vás přesměruje na svůj web).
Akorát bych i před tímto útokem považoval domácí síť za bezpečnostně srovnatelnou s tou veřejnou nezaheslovanou sítí (kavárna, vlak, obchodní centrum). Protože v té domácí síti máte nejspíš zařízení, o kterých z bezpečnostního hlediska nic nevíte. Nejspíš tam budete mít nějaké telefony nebo tablety své a svých příbuzných, možná i nějakých přátel. Asi si nemůžete být jist, že někdo na tom telefonu nemá nainstalovanou nějakou havěť, protože bůhví, jak s tím telefonem zachází. Nejspíš v té domácí síti máte také nějaké počítače s Windows, kde je každý sám sobě administrátorem – pokud jsou to alespoň Windows 10 se zapnutými aktualizacemi a jsou tam zodpovědní uživatelé, kteří neinstalují všechno, co najdou na internetu, možná by se o nějaké bezpečnosti dalo mluvit – ale jste si opravdu jistí, že se tak chovají všichni doma? No a pak v té síti také můžete mít nějaká další síťová zařízení, router, Wi-Fi AP, NAS, webovou kameru – a ta byla nejspíš velmi děravá už v době, kdy jste si je kupoval.
Takže i v domácí síti se chovejte obezřetně. Pokud kontrolujete webovou adresu a jméno certifikátu, odposlechu se bát nemusíte – za předpokladu, že útočník nenapadl váš prohlížeč nebo operační systém. Pokud třeba nainstalujete s administrátorským oprávněním nějaký útočníkův trojský kůň, může prohlížeč klidně upravit tak, že vám namaluje zelený certifikát se zlatým písmem, ale nebude to mít nic společného s tím, co prohlížeč dělá doopravdy.
Druhý nezávislý kanál pro potvrzení operace (SMS s potvrzovacím kódem) je velmi dobrý způsob zabezpečení, útočník by musel ovládnout oba kanály. Ale pozor na to, že to opravdu musí být dva nezávislé kanály – pokud do banky polezete z mobilního prohlížeče na tom stejném mobilu, na který vám pak přijde ta potvrzovací SMS, ty dva „nezávislé“ kanály jste zase zpátky sloučil do jednoho.
-
> v lepším případě vám jen ukončí spojení
To je asi nejméně zajímavé využití KRACKu, toto může útočník mnoha způsoby i bez nněj
BTW, jakkoli zabezpečená síť je celkem k ničemu, pokud si nejste jist, že jste připojen ke správné síti. (Vizte třeba https://www.wifipineapple.com/ ). A i pokud to ověříte a zajistíte po celou dobu spojení, měl byste vyloučit útoky jako browser cache poisoning. Takže jinými slovy, většinou nemá smysl se na bezpečnost sítě spoléhat a je tp lepší řešit na jiné vrstvě.
-
Sten (neregistrovaný)
To záleží, jaký algoritmus v tom WPA2 používáte. Pokud AES a váš klient neobsahuje workaround proti tomuto útoku (nové verze wpasupplicant jej již mají), tak všechny body platí. Pokud něco jiného, tak útočník může pakety i podvrhávat a v zásadě se může i připojit, pokud sežene klienta, za kterého se může vydávat.
ČLÁNKY DO MAILU