Glavni nasvet za vsakogar, ki si postavlja domače brezžično internetno omrežje wifi, je: uporabimo geslo za dostop. S pomočjo protokola WPA2 določimo šifrirano geslo in ga zaupamo le domačim. Šifrirni standard WPA2 velja za varnega in priporočljivega že od splovitve leta 2003, ko je nasledil ranljivi protokol WEP. A tako kot pri vseh varovanih stvareh so tudi najboljši varnostni ukrepi dobri le toliko, kolikor je dobro geslo ali dokler kdo ne najde kakšne varnostne luknje v sistemu.
Pri nas še brez prijav Pri slovenskem nacionalnem odzivnem centru SI-CERT na srečo še niso bili obveščeni o primeru, da bi se ranljivost KRACK uporabila v dejanskem hekerskem napadu. |
In prav to se je zgodilo letošnjo jesen, ko so varnostni strokovnjaki našli ranljivost v protokolu WPA2 in jo poimenovali KRACK (Key Reinstallation Attack). Ta v najhujši obliki napadalcu, ki je v neposredni bližini omrežja wifi, omogoča izvedbo napada s t. i. posrednikom (MITM – Man-In-The-Middle), pri čemer lahko napadalec beleži in spreminja omrežni promet, tako pa lahko ukrade tako rekoč vse občutljive osebne podatke, kot so uporabniška imena, gesla, številke kreditnih kartic, elektronska sporočila pa tudi fotografije.
Ogroženi smo vsi!
Najbolj strašljivo pri vsem skupaj je, da smo ogroženi prav vsi, ki uporabljamo brezžična internetna omrežja wifi s protokolom WPA2, pri čemer ni ranljiva sama dostopna točka, ampak vse naprave, s katerimi dostopamo do brezžičnega omrežja. Kakor opozarjajo strokovnjaki, so ranljivi vsi: od operacijskih sistemov android, windows, linux, openbsd, ios in osx do proizvajalcev opreme, s pomočjo katere dostopamo do wifija. Dodajajo, da so novejše različice iosa in windowsov manj dojemljive za napade, operacijska sistema android in linux pa sta najbolj ranljiva za KRACK.
Čeprav varnostna luknja KRACK ogroža prav vsa omrežja wifi na svetu, pa stvari le niso tako strašne. Za začetek mora biti potencialni napadalec v dosegu brezžičnega internetnega omrežja, se pravi blizu našega stanovanja ali hiše, tako da ni možnosti za globalni hekerski napad. Poleg tega bi napadalec potreboval posebna programska orodja, ki bi mu omogočala izrabo katere od ranljivosti, a ta še niso javno dostopna.
Kakor poudarja združenje Wi-Fi Alliance, ki izdaja certifikate wifi in skrbi za standarde wifi, gre za programsko luknjo, ki se jo da zakrpati z varnostnim popravkom ali nadgradnjo. Velike družbe, ki izdelujejo omrežno opremo in operacijske sisteme, že izdajajo popravke, s katerimi se ranljivost odpravi, ali pa bodo to storile kmalu.
Kaj lahko storimo sami?
V slovenskem nacionalnem odzivnem centru za obravnavo incidentov s področja varnosti elektronskih omrežij SI-CERT vsem uporabnikom interneta svetujejo, naj namestijo varnostne posodobitve za svoje naprave in omrežno opremo (usmerjevalnik oziroma ruter) takoj, ko bodo na voljo. Na večini operacijskih sistemov, za katere proizvajalci izdajajo varnostne popravke, se bodo ti naložili samodejno med rednim posodabljanjem sistema. Na naprave, ki nimajo samodejnega posodabljanja, kot so, denimo, ruterji, jih bo treba naložiti ročno. Eden od načinov, kako lahko preprečimo napade na kakršnem koli omrežju wifi, je uporaba VPN-povezave oziroma navideznega zasebnega omrežja, s katerim se ustvari šifriran tunel, prek katerega poteka celotni promet, to pa onemogoči prestrezanje prometa.
Nekateri varnostni strokovnjaki uporabnikom poleg tega predlagajo, naj se v vmesnem času izogibajo uporabi javnih brezžičnih omrežij. In ne, gesla ni treba zamenjati, prav tako ni priporočljivo uporabiti drugega šifrirnega protokola kot WPA2. Treba je le malce počakati.
Dodatna pojasnila in nasveti so na voljo tudi na spletni povezavi https://www.varninainternetu.si/2017/kaj-moram-vedeti-o-wpa2-ranljivosti-v-wi-fi-omrezjih/. |
Pri nas še brez prijav Pri slovenskem nacionalnem odzivnem centru SI-CERT na srečo še niso bili obveščeni o primeru, da bi se ranljivost KRACK uporabila v dejanskem hekerskem napadu. |
