Dne 16.10.2017 bezpečnostní analytik Mathy Vanhoef zveřejnil široké veřejnosti vážnou bezpečnostní chybu ve WPA2 protokolu. WPA2 protokol se běžně používá k šifrování komunikace při použití Wi-Fi, jeho předchůdci jsou WPA a WEP.
I po objevení této chyby nedoporučujeme, abyste měnili nastavení na svých routerech na jakýkoliv ze starších protokolů (WPA a WEP). Zároveň není nutný nový protokol (např. WPA3), stačí, aby byla opravena specifikace a jednotlivé implementace WPA2 protokolu na platformách.
Změnou hesla nedokážete zabránit útoku v případě, že je váš router náchylný na tuto chybu. Zároveň však při zneužití této chyby útočník nedokáže získat vaše Wi-Fi heslo.
Útočník dokáže odchytit a dešifrovat data posílaná mezi připojenými zařízeními a Wi-Fi routerem. Na zneužití útoku však musí být útočník v blízkosti dané Wi-Fi, nemůže být vzdálený na kilometry daleko. V případě používání HTTPS komunikace však není možné, aby útočník přečetl tuto další vrstvu šifrování, proto doporučujeme sledovat, zda při návštěvě webových stránek komunikace probíhá přes tento protokol.
Chyba se nachází při inicializaci spojení mezi zařízením a Wi-Fi routerem (během tzv. WPA2 four-way-handshake-u), kdy útočník může i po inicializaci jeden z kroků vícenásobně zopakovat, a tak reinicializovat stav a klíč. Samotná specifikace WPA2 však jasně určuje, že na zaručení bezpečnosti by měl být kryptografický klíč inicializován pouze jednou.
Útočníci dokáží zneužít tuto chybu, a tak přečíst data posílaná zařízeními připojenými přes Wi-Fi. V případě používání další vrstvy šifrování např. prostřednictvím protokolu HTTPS se však jednotlivci a firmy nemusí obávat, protože tato data nebude možné útočníkem dešifrovat. Jednotlivcům a firmám radíme, aby se drželi následujících doporučení
Doporučujeme aktualizovat software na všech zařízeních (router, počítače, mobily), a tím získat opravu této chyby. Na následujícím blogu je možné sledovat, na kterých platformách již můžete najít opravy této chyby: https://char.gd/blog/2017/wifi-has-been-broken-heres-the-companies-that-have-already-fixed-it Hrozbu zneužití této chyby do aktualizace zařízení můžete eliminovat prostřednictvím připojení přes ethernetový kabel namísto připojení přes Wi-Fi. V případě mobilních zařízení je místo toho možné používat datové připojení namísto Wi-Fi připojení a zároveň možnost Wi-Fi na mobilu vypnout
Doporučujeme sledovat, zda komunikace probíhá přes HTTPS protokol. To se dá vysledovat v prohlížeči tím, že je při návštěvě webové stránky zobrazena ikona zámku a navštívená linka začíná textem “https: //”.
Ideální však je instalace HTTPS Everywhere rozšíření do prohlížeče. Postup jak na to, najdete popsán v našem předchozím článku: “Ako zlepšiť svoje súkromie a pohodlie on-line inštaláciou troch rozšírení do prehliadača Google Chrome (video návod)”
V případě návštěvy stránek s velmi citlivými údaji (např. Internet banking) obecně doporučujeme zapnutí dvoufaktorové autentizace (2FA).
Marek Takáč, etický hacker Citadelo
