Hvad er WPA3, er det sikkert og skal jeg bruge det?
Hvad er WPA3? Wi-Fi Protected Access (WPA) omtales ofte som en sikkerhedsstandard eller protokol, der bruges til at kryptere og beskytte wi-fi-netværk som det, du sandsynligvis bruger derhjemme eller på arbejdet, men det er faktisk et sikkerhedscertificeringsprogram udviklet af Wi-Fi Alliance til at sikre trådløse computernetværk.
WPA3, udgivet i juni 2018, er efterfølgeren til WPA2, som sikkerhedseksperter beskriver som 'brudt'. Målet med at udvikle WPA3 var at forbedre WPA i form af enkel brug og øget kryptografisk styrke. Ligesom sin forgænger kommer den i Personal- og Enterprise-udgaver, men denne version forbedres på WPA2 med mere robuste autentificerings- og krypteringsfunktioner og en løsning på den indbyggede fejl i WPA2, KRACK. Det inkluderer også funktionalitet til at forenkle og bedre sikre forbindelsen af IoT wifi-enheder.
Indhold [ skjule ]
- Hvor sikre er de nuværende wifi-krypteringsstandarder?
- Foruddelt nøgle (PSK)
- Fire-vejs håndtryk
- Er WPA3 sikker? Selvfølgelig, men der er også forbedringer til WPA2
- WPA3-Personlig
- WPA3-Enterprise
- Fire forbedringsområder
- Simultaneous Authentication of Equals (SAE) mod brute force-angreb
- Device Provisioning Protocol (DPP) til styring af netværk og IoT-enheder
- Opportunistisk trådløs kryptering (OWE) for sikrere hotspot-surfing
- Hvilken software og enheder er sårbare over for KRACK?
- Hvilken slags angrebssårbarheder afslører utilstrækkeligt sikrede netværk?
- Advarende ord fra finderne af KRACK-fejlen
- Hvad har kynikerne, inklusive it-udviklere, at sige om WPA3?
- Hvordan kan virksomheder beskytte sig selv? (Løst)
- Wifi-sikkerhedstip til hjemmenetværk og IoT-enheder (løst)
Problemet
Det KRACK (Key Reinstallation Attack) fejl kan kategoriseres som en alvorlig replay angreb , og er en form for et mand-i-midten-angreb. Det grundlæggende problem med WPA2, fremhævet af KRACK-opdagelsen, er en fejl i selve WPA2-certificeringsstandarden og ikke en svaghed forårsaget af dårlig produktkonfiguration eller serviceimplementering.
Vi vil dykke dybere ned i KRACK senere, men bundlinjen er, at enhver korrekt implementering af WPA2 sandsynligvis vil være sårbar; sårbarheden er iboende i WPA2-protokollen.
Løsningen
Som svar på dette debacle, i juni 2018, Wi-Fi Alliance® annoncerede introduktionen af Wi-Fi CERTIFIED WPA3™ sikkerhed, en wifi-certificeringsstandard, der:
- Løser KRACK-sårbarheden
- Opgraderer WPA2 med ekstra sikkerhedsfunktion s. Dette er vigtigt, fordi der er flere wifi-sikkerhedshuller, der er mere attraktive for hackere, og langt nemmere at bryde, end KRACK.
Hvad er WPA3? WPA3-certificering for wifi-enheder kan løseligt sammenlignes med et trafikdygtigt certifikat til din bil. Uden certificering kan hardwareleverandører ikke kræve overholdelse af Wi-Fi Alliances sikkerhedsstandarder.
Det kunne være noget tid før WPA3 får fuldstændig buy-in af wifi-brugere ; i mellemtiden vil 'WPA2-enheder fortsætte med at fungere sammen og give anerkendt sikkerhed,' ifølge Wi-Fi Alliance. WPA2 er fortsat obligatorisk for alle wifi-certificerede enheder i overgangsperioden.
Hvad er WPA3 og er det sikkert?
Denne artikel vil se på, hvordan WPA3 forbedrer WPA2-sikkerheden, og sætte KRACK i perspektiv. Selvom WPA3 absolut er den rigtige sikkerhedsrute at tage i fremtiden, bør brugerne sikre, at de implementerer en flersidet, lagdelt sikkerhedsstrategi for at beskytte alle aspekter af deres wifi-netværk. WPA3 er ikke nok til fuldstændig at beskytte wifi-netværk, selvom andre forbedringer end KRACK-patchen går langt i retning af at tilstoppe andre wifi-sikkerhedshuller. Vi vil også diskutere nogle af de kritikpunkter, der er blevet rejst mod WPA3. Til sidst vil vi komme ind på nogle af de måder, hjemmebrugere og virksomheder kan praktisere sikker wifi på. Er WPA3 sikker? Lad os finde ud af det.
Omfanget af KRACK-sårbarheden
Opdagelsen af KRACK forårsagede en vis uro i it-samfundet, grunden til, at så mange wifi-enheder bruger WPA2, og flere og flere mennesker bruger disse enheder til at oprette forbindelse til internettet. Ifølge Vrikke , fra januar 2018 var der mere end 400 millioner trådløse forbindelser på verdensplan. KRACK kan gøre en stor procentdel af dem sårbare over for angreb. (Der har i øvrigt ikke været dokumenteret KRACK-angreb i naturen endnu.)
Trådløs internetadgang ifølge internetbrugere over hele verden fra juni 2015, efter enhed (Kilde: Statsmand )
Hvor sikre er de nuværende wifi-krypteringsstandarder?
- Wired Equivalent Privacy (WEP) – Meget upålidelig, men stadig i brug. Ifølge Kaspersky Labs ville det tage hackere blot et par minutter at knække WEP-beskyttede netværk.
- Åbne netværk – Ingen sikkerhed overhovedet.
- Wi-Fi Protected Access (WPA) – I 2002 var WPA kun beregnet til at være en mellemliggende foranstaltning til at erstatte WEP, og blev afløst af WPA2 i 2004. Problemet med WPA var brugen af den ineffektive TKIP krypteringsprotokol, som ikke er sikker.
- Wi-Fi Protected Access 2 (WPA2)
- DetPersonligversion er rimelig sikker, men sårbar over for brute-force og ordbogsangreb. Det kan tillade aflytning af kommunikation (håndtryk) mellem adgangspunktet og enheden i begyndelsen af en wifi-session.
- DetEnterpriseversion er til en vis grad beskyttet mod aflytning af håndtryk, fordi den bruger yderligere virksomhedsgodkendelsesprocedurer.
- Wi-Fi Protected Access 3 (WPA3) – Erstatter WPA2 fra januar 2018, selvom det vil tage noget tid at rulle ud. Det giver den bedste wifi-sikkerhed i øjeblikket.
Husk, at KUN WPA2-beskyttede enheder er særligt sårbare over for et KRACK-angreb. Et åbent, usikret netværk er ikke krypteret og sårbart over for stort set enhver form for angreb, men ikke med hensyn til KRACK, da det ikke bruger WPA2.
Krypteringstyper brugt i offentlige wifi-hotspots globalt (Kilde: Kaspersky Security Network (KSN) )
En KRAKKELIG analogi
Fejl i håndtryksforhandlinger – det punkt, hvor adgangspunktet (AP) og routeren mødes og hilser på for at bekræfte en klients legitimationsoplysninger – ligger i hjertet af WPA2-sårbarheden. Vi vil tage et mere dybdegående kig på hvorfor i næste afsnit, hvor vi vil udforske, hvad der er WPA3.
For at sætte scenen, her er en analogi til håndtrykket proces (hvis du tillader fantasien lidt licens.)
Illustration af et tre-vejs håndtryk som beskrevet i analogien nedenfor (Kilde: Wikipedia , med ændringer)
- Lad os lade som om, du er i banken, og kassen beder om dit navn, adgangskode og telefonnummer, før de giver dig penge. Du og banken har aftalt denne sikkerhedsprocedure for at bevise, at du er den, du siger, du er, når du hæver penge.
- Du giver tælleren dit navn, adgangskode og mobilnummer. I denne bank er næste trin i processen, at banken sender et til din telefon hemmelig kode som du vil bruge til at bekræfte din identitet.
- I mellemtiden, uden at du ved, er der nogen bag dig i køen, der aflytter og har hørt dit navn og adgangskode, og vigtigst af alt hemmelig kode .
- Når du har forladt banken, skynder aflytteren op til kassen, og mens din hemmelige kode stadig er gyldig, hæver den sidste af dine penge ved at bruge dit stjålne navn, adgangskode og hemmelig kode .
Du har sikkert set det svage punkt i ovenstående scenarie; sikkerheden blev kompromitteret på et tidspunkt, da du etablerede dine legitimationsoplysninger; ikke når dine legitimationsoplysninger var overhead, men fordi da du forlod banken, var din hemmelige kode stadig gyldig . Hvis det ikke havde været det, ville dit navn, adgangskode, mobiltelefonnummer og hemmelige kode ikke have været til nogen nytte for aflytteren.
Der er et twist i denne fortælling: tælleren og aflytteren står i ledtog. Denne falske tæller har faktisk forfalsket den rigtige tæller (som er ude til frokost), og dette er en mand-i-midten angreb . Begge kriminelle har nu dine legitimationsoplysninger.
Dette problem, som vi skal se, er, hvad WPA3 løser.
Hvordan er WPA2 sårbart?
Den primære sårbarhed i WPA2 er fire-vejs håndtryk den bruger til at sikre wifi-forbindelser ved hjælp af en Foruddelt nøgle (PSK) . (I WPA3 er PSK erstattet af et SAE-håndtryk (Simultaneous Authentication of Equals).)
I dette afsnit vil vi bruge analogien fra det foregående afsnit til at illustrere problemet.
Foruddelt nøgle (PSK)
Den indledende del af det sikkerhedstjek, du gennemgik i banken i analogien ovenfor, kan løst sammenlignes med WPA2-PSK , Godkendelse hvilket kræver, at en person opretter forbindelse til et wifi-netværk (spørg om penge i banken i vores metafor) ved hjælp af en adgangssætning. En PSK refererer til en ' delt hemmelighed ”, i dette tilfælde en adgangskode.
Bemærkninger:
- WPA2 uden PSK er en mulighed, der bruges, hvis du ønsker at bruge en godkendelsesserver. En virksomhed bør vælge denne mulighed, hvis den ønsker at tildele unikke nøgler til medarbejderens enheder. Hvis en nøgle er kompromitteret, behøver virksomheden kun at generere en ny nøgle til én enhed. Dette ville også forhindre, at andre enheder kompromitteres af en mistet eller stjålet nøgle, hvilket de kunne være, hvis alle enheder brugte den samme nøgle.
- Hvad er forskel mellem WPA2-PSK og WPA2-Personlig ? Begreberne bruges i flæng, selvom WPA2-Personligt indebærer brugen af AES, mens WPA2-PSK indebærer et valg mellem den ældre TKIP og AES. Som forklaret i a Cisco blog , nogle enheder tillader WPA med AES og WPA2 med TKIP. AES er valgfrit i WPA, men i WPA2 er AES obligatorisk, og TKIP er valgfrit. Begge udtryk refererer til brugen af PSK, som er det, der adskiller WPA2-Personal fra WPA2-Enterprise.
Fire-vejs håndtryk
Legitimationsgodkendelse i telekommunikation kaldes håndtryk . I banken udvekslede du og kassereren et tre-trins håndtryk for at fastslå dine legitimationsoplysninger, hvor den hemmelige kode er det sidste håndtryk i processen.
Alle wifi-netværk bruger en fire-vejs håndtryk .
I illustrationen nedenfor er det forfalskede wifi-adgangspunkt den falske teller, du handlede med i banken.
Illustration af hvordan et KRACK-angreb opsnapper et fire-vejs håndtryk (Kilde: Enis )
Dionysus Rowell , skriver for Pakke 6 , forklarer: 'Angriberen vil forfalske et rigtigt adgangspunkt og narre en klient til at slutte sig til det useriøse adgangspunkt, men tillader Wi-Fi-godkendelse at fuldføre . For at udføre KRACK-angrebet vil angriberen genafspille en besked i 4-vejs håndtrykket. Fejlen her er, at ofrets enhed vil acceptere genafspilning af en af disse beskeder, når den ikke burde. Dermed giver angriberen mulighed for at bruge en tidligere brugt nøgle . En nøgle bør kun bruges én gang, og dette er fejlen KRACK angrebsmål.'
Dionicio fortsætter: 'Den tekniske rettelse til et KRACK-angreb er at forhindre genbrug af nonce-værdier. Enheder må ikke acceptere tidligere brugte nøgler .'
Læs en mere teknisk forklaring på nuntius genbrug af Mathy Vanhoef, KRACK-forsker.
Er WPA3 sikker? Selvfølgelig, men der er også forbedringer til WPA2
WPA3-meddelelsen har lavet et par bølger, men det vil tage noget tid at rulle ud. I mellemtiden vil nogle WPA2-forbedringer også blive implementeret:
- Påtvinger vedtagelsen af Protected Management Frames (PMF) på alle 'Wi-Fi CERTIFIED' enheder
- Sikre, at leverandører foretager regelmæssig kontrol af certificerede enheder (Kildeog: Engageret )
- Standardisering af den 128-bit kryptografiske suite (Kildeog: Engageret )
Hvad er de to WPA3-versioner?
WPA kommer i to versioner, som er baseret på slutbrugerens krav (hjemme- eller virksomhedsbrug). Umiddelbart er der ikke den store forskel mellem WPA3-Personal og WPA3-Enterprise, selvom sidstnævnte er mere sikker, som den var. designet til at beskytte ultrafølsomme data og store virksomheder.
Lad os hurtigt opsummere de to versioner som beskrevet af Wi-Fi Alliance . Til at begynde med, begge versioner:
- Brug de nyeste sikkerhedsmetoder
- Tillad ikke forældede ældre protokoller
- Kræv brug af Protected Management Frames (PMF). 'Unicast management action frames er beskyttet mod både aflytning og smedning, og multicast management action frames er beskyttet mod smedning,' ifølge Wi-Fi Alliance . I en nøddeskal, Wikipedia beskriver ledelsesrammer som 'mekanismer, der muliggør dataintegritet, dataoprindelsesægthed og genafspilningsbeskyttelse.' Du kan finde en teknisk beskrivelse af, hvordan de fungerer på Cisco internet side.
WPA3-Personlig
Denne version giver adgangskodebaseret godkendelse med god sikkerhed, selv når brugere vælger korte eller svage adgangskoder. Det kræver ikke en godkendelsesserver og er den grundlæggende protokol, som hjemmebrugere og små virksomheder bruger.
- Bruger 128-bit kryptering
- Gør brug af et SAE-håndtryk (Simultaneous Authentication of Equals), som beskytter mod brute force-angreb
- Inkorporerer Forward Secrecy betyder, at et nyt sæt krypteringsnøgler genereres, hver gang der oprettes en WPA3-forbindelse, så hvis den oprindelige adgangskode er kompromitteret, er det ligegyldigt
- Styrker sikkerheden på offentlige netværk
- Administrerer nemt tilsluttede enheder
- Tillader Natural Password Selection, som Wi-Fi Alliance hævder vil gøre det nemmere for brugere at huske adgangssætninger
WPA3-Enterprise
Giver ekstra beskyttelse til virksomhedsnetværk, der transmitterer følsomme data, for eksempel regeringer, sundhedsorganisationer og finansielle institutioner. Indeholder valgfri 192-bit minimumsstyrke sikkerhedstilstand, tilpasset til Commercial National Security Algorithm (CNSA) Suite fra Committee on National Security Systems. Dette var en anmodning fra den amerikanske regering.
Den største forskel mellem WPA3-Personal og WPA3-Enterprise er på godkendelsesniveauet. Den personlige version bruger PSK og Enterprise-versionen en cocktail af funktioner, der erstatter IEEE 802.1X fra WPA2-Enterprise. Besøg Wi-Fi Alliance for den tekniske specifikation.
For mere Eric Geier , skriver for Cisco Press , forklarer, hvordan virksomheder kan gå over til WPA3-Enterprise.
Nye WPA3-funktioner
Fire forbedringsområder
Fire nye funktioner i WPA3 er designet til at forbedre WPA2. Imidlertid, kun én af disse er obligatorisk for WPA3-certificering: dragens håndtryk. Nedenfor er en kort oversigt over hovedfunktionerne. Vi vil gå mere i detaljer senere i dette afsnit.
- Mere sikkert håndtryk – Simultaneous Authentication of Equals (SAE)-protokol (alias Dragonfly-håndtrykket) kræver en ny interaktion med netværket, hver gang en enhed anmoder om en krypteringsnøgle, hvilket sænker hastigheden af et angrebsforsøg og gør en adgangskode mere modstandsdygtig over for ordbog og brute force angreb. Det forhindrer også offline dekryptering af data.
- Udskiftning af wi-fi beskyttet opsætning (WPS) – en enklere måde at sikkert tilføje nye enheder til et netværk ved hjælp af Wi-Fi Device Provisioning Protocol (DPP), som giver dig mulighed for sikkert at tilføje nye enheder til et netværk ved hjælp af en QR-kode eller en adgangskode.Nem tilslutninggør opsætningen særlig nem for tilsluttet hjem og IoT-enheder.
- Uautoriseret kryptering – Bedre beskyttelse ved brug af offentlige hotspotsWi-Fi Enhanced Opensom giver uautoriseret kryptering, en standard kaldet Opportunistic Wireless Encryption (OWE).
- Større sessionsnøglestørrelser – WPA3-Enterprise vil understøtte nøglestørrelser, der svarer til 192-bit sikkerhed under godkendelsesfasen, hvilket vil være sværere at knække.
Lad os tage et mere detaljeret kig på litanien af akronymer nævnt ovenfor.
Simultaneous Authentication of Equals (SAE) mod brute force-angreb
SAE er en sikker, adgangskodebaseret nøgleudveksling bruges af WPA3-Personal-versionen til at beskytte brugere mod brute force-angreb . Den er velegnet til mesh-netværk, som får deres navn fra den måde, de skaber wifi-dækning på. Comparitech beskriver opsætningen enkelt: “Ved at placere flere enheder rundt i dit hjem, der hver sender et trådløst signal ud, skaber du et ’mesh’ eller netværk af trådløs dækning rundt om i dit hjem. Dette hjælper med at eliminere døde eller svage punkter.'
Fordelene ved SAE:
- Baseret på IEFT Dragonfly nøgleudveksling , en kryptografisk model til godkendelse ved hjælp af en adgangskode eller adgangssætning, som er modstandsdygtig over for både aktive og passive angreb og offline ordbogsangreb.
- Aktiverer Forward Secretary som forhindrer en angriber i at optage en krypteret transmission, der potentielt kan blive afkodet senere, hvis adgangskoden til det trådløse netværk skulle blive kompromitteret i fremtiden
- Kun tillader én adgangskode gæt pr session . Selvom angribere stjæler data med håbet om at knække adgangskoden i deres fritid offline, vil de blive forhindret af funktionen ét gæt, fordi de hver gang skal 'spørge' wifi-routeren, om deres gæt var korrekt. I bund og grund begrænser dette en angriber til angreb i realtid. Der har været et spørgsmål om, hvorvidt denne funktion også kunne begrænse legitime brugere. I den virkelige verden er det usandsynligt, at legitime brugere foretager 100 automatiske fortløbende gæt inden for et sekund, ligesom hackere, og en applikation kan kodes til at tillade et begrænset antal gæt, før den begynder at bremse tjenesten. Denne funktion hærder også sikkerheden for svage adgangskoder.
Device Provisioning Protocol (DPP) til styring af netværk og IoT-enheder
Wi-Fi-certificeret Easy Connect™(som erstatter WPA2s WiFi Provisioning Service) hjælper dig med at forbinde alle dine enheder, selv dem der ikke har en brugervenlig grænseflade til at indtaste din adgangskode (f.eks. Google Home eller dit smarte køleskab), ved hjælp af en enkelt mellemliggende enhed.
Wi-Fi Alliance beskriver, hvordan det virker: En netværksejer vælger én enhed som det centrale konfigurationspunkt. Mens en enhed med en god GUI er nemmest, kan du bruge en hvilken som helst enhed, der er i stand til at scanne en hurtig svarkode (QR) eller bruge NFC som konfiguratorenhed. Kører DPP – en én-størrelse-pas-alle-tilmeldingsprocedure – fra denne enhed forbinder alle scannede enheder og giver dem de nødvendige legitimationsoplysninger for at få adgang til netværket. Bemærk: Dette er en valgfri funktion og kun tilgængelig på enheder medNem tilslutning.
Når en Wi-Fi-enhed er blevet tilmeldt, bruger den sin konfiguration til at opdage og oprette forbindelse til netværket via et adgangspunkt (Kilde: Wi-Fi Alliance )
Opportunistisk trådløs kryptering (OWE) for sikrere hotspot-surfing
OWE er driveren bagWiFi forbedret åbenfunktion, implementeret til beskytte brugere i offentlige/gæstehotspots og forhindre aflytning . Det erstatter det gamle 802.11 'åben' autentificeringsstandard. Med OWE er dine data krypteret, selvom du ikke har indtastet en adgangskode. Det blev designet til at give krypteret dataoverførsel og kommunikation på netværk, der ikke bruger adgangskoder (eller bruger en delt adgangskode) ved hjælp af Individualized Data Protection (IDP); i det væsentlige, hver autoriseret session har sit eget krypteringstoken . Dette betyder, at hver brugers data er beskyttet i sin egen boks. Men det virker også på adgangskodebeskyttede netværk, hvilket sikrer, at hvis en angriber får fat i netværksadgangskoden, vil de stadig ikke have adgang til krypterede data på netværkets enheder (se SAE ovenfor.)
Er du sårbar over for KRACK?
Alt er ikke undergang og dysterhed. Enhver, der bruger wifi, er sårbar, men lad os sætte problemet i perspektiv. En hacker kan kun opsnappe ukrypteret trafik mellem din enhed og router. Hvis data er blevet korrekt krypteret ved hjælp af HTTPS, kan en angriber ikke læse dem.
Noget tryghed fra Brendan Fitzpatrick, Vice President, Cyber Risk Engineering, der skriver for Axio:
- Et angreb kan ikke udføres eksternt, en angriber skal være inden for fysisk rækkevidde af et bestemt wifi-netværk.
- Et angreb finder kun sted under fire-vejs håndtrykket.
- Wifi-adgangssætningen afsløres ikke under angrebet, og angriberen er ikke aktiveret til at tilslutte sig netværket.
- Kun hvis angrebet lykkes, kan angriberen potentielt dekryptere trafik mellem offeret og deres adgangspunkt.
- I øjeblikket er angrebet kun fokuseret på klientsiden af håndtrykket.
I en blogindlæg , Robert Graham noter, KRACK 'kan ikke besejre SSL/TLS eller VPN'er.' Han tilføjer: 'Dit hjemmenetværk er sårbart. Mange enheder vil bruge SSL/TLS, så det er fint, ligesom dit Amazon-ekko, som du kan fortsætte med at bruge uden at bekymre dig om dette angreb. Andre enheder, som dine Phillips-pærer, er muligvis ikke så beskyttede.' Løsningen? Patch med opdateringer fra din leverandør.
Hvilken software og enheder er sårbare over for KRACK?
Ifølge Matty Vanhoef , Android, Linux, Apple, Windows, OpenBSD, MediaTek, Linksys og andre, kan alle blive påvirket af en eller anden variant af angrebene. Linux og Android versioner 6.0 og nyere er særligt sårbare.
Du kan finde en liste over berørte leverandører på Cert Software Engineering Institutes webside, Database med sårbarhedsnoter . Siden indeholder links til leverandøroplysninger om patches og rettelser.
Hvilken slags angrebssårbarheder afslører utilstrækkeligt sikrede netværk?
Det er ikke kun faren ved at blive KRACK’d. Et usikret wifi-netværk tigger om at blive angrebet, og WPA3 vil hjælpe med at mindske disse risici. US-Cert skitserer de potentielle angrebsscenarier:
- Piggybacking – Typisk indendørs wifi rækkevidde er 150 – 300 fod. Hvis du bor tæt på din nabo, kan din forbindelse være åben for angribere ... eller endda den nørde søn ved siden af, der bruger din wifi til at downloade sine film.
- Krigskørsel – En form for piggybacking, hvor potentielle angribere kører rundt i kvarterer med en antenne på udkig efter usikrede trådløse netværk.
- Onde tvillinger angreb – I et ondt tvillingangreb efterligner en angriber et offentligt netværksadgangspunkt, og indstiller deres udsendelsessignal til at være stærkere end det, der genereres af det legitime adgangspunkt. Naturligvis forbinder brugerne sig til det stærkere signal, den kriminelles. Offerets data læses derefter nemt af hackeren. Tjek altid navnet og adgangskoden på et wifi-hotspot, før du opretter forbindelse.
- Trådløs snusning – Undgå offentlige adgangspunkter, der ikke er sikret, og hvor data ikke er krypteret. Kriminelle bruger ' sniffere ” for at finde følsomme oplysninger såsom adgangskoder eller kreditkortnumre.
- Uautoriseret computeradgang – Et usikret hotspot kan give en hacker adgang til alle mapper og filer, som du utilsigtet har gjort tilgængelige til deling. Bloker altid fildeling offentligt.
- Skuldersurfing – I offentlige områder skal du passe på, om de lurer, angribere, der ser dig skrive, mens de går forbi, eller videoer din session. Du kan købe en skærmbeskytter for at undgå dette.
Tyveri af mobile enheder – Det er ikke kun netværket, der udgør en risiko for dine data. Hvis din enhed bliver stjålet, når du arbejder på et hotspot, er det en bonanza-dag for kriminelle. Sørg for, at dine data altid er adgangskodebeskyttet, og at følsomme oplysninger er krypteret. Det inkluderer data på bærbare lagerenheder.
Nogle advarsler
Advarende ord fra finderne af KRACK-fejlen
Mathy Vanhoef, postdoc-forsker i computersikkerhed ved KU Leuven og en af de forskere, der opdagede KRACK, på sin internet side har nogle advarende bemærkninger om WPA3, der er værd at overveje.
- SAE håndtryk – Hvis SAE-håndtrykket ikke implementeres omhyggeligt, kan det være sårbart til sidekanalangreb , som Wikipedia beskriver som angreb baseret på information om en softwareimplementering. Det ser ud til, at sårbarheder, der kan udnyttes, som følge af forkerte konfigurationer, ikke kan undgås selv med WPA3.
- Uautoriseret kryptering – Mens brugen af Opportunistic Wireless Encryption (OWE) vil styrke brugernes privatliv i åbne netværk, foreslår Vanhoef, at kun passive angreb (dem hvor hackere sniffer trafik) kan forhindres. Aktive angreb (dem, der bruger dummy-adgangspunkter til at narre brugere) vil stadig gøre det muligt for en modstander at opsnappe trafik. Vanhoef forklarer:
En mangel ved OWE er, at der ikke er nogen mekanisme til at stole på et adgangspunkt ved første brug . Sammenlign dette med for eksempel SSH: første gang du opretter forbindelse til en SSH-server, kan du stole på serverens offentlige nøgle. Dette forhindrer en modstander i at opsnappe trafik i fremtiden. Men med OWE er der ingen mulighed for at stole på et bestemt AP ved første brug. Så selvom du tidligere har oprettet forbindelse til et bestemt AP, kan en modstander stadig oprette et falsk AP og få dig til at oprette forbindelse til det i fremtiden.
- Forpasset mulighed – Kun én af de fire funktioner, der er udråbt af Wi-Fi Alliance i opbygningen til WPA3, er faktisk obligatorisk for WPA3. 'Desværre kræver WPA3-certificeringsprogrammet kun støtte til det nye guldsmedehåndtryk. Det er det. De andre funktioner er enten valgfrie eller en del af andre certificeringsprogrammer. Jeg frygter, at det i praksis betyder, at producenterne bare vil implementere det nye håndtryk, smække et 'WPA3-certificeret' mærke på det og være færdige med det, siger Vanhoef. Slutresultatet vil være, at slutbrugeren faktisk ikke ved, hvilke funktioner der er inkluderet, og hvor sikre de er.
Hvad har kynikerne, inklusive it-udviklere, at sige om WPA3?
Deltag i samtalerne på Bruce Schneiner's blog , DD-WRT , Udveksling af sikkerhedsstak , eller Community Spiceworks for nogle interessante input om, hvorvidt WPA3 virkelig er det ultimative universalmiddel for wifi-sikkerhedssårbarheder. Og om sårbarheden er værd at bruge for meget søvn på. Nogle bidrag:
- 'Jeg formoder, at WPA3 vil hjælpe. For en stund - indtil de dårlige drenge finder et andet hul .'
- 'EN stor indtægtsstrøm for hardwareleverandører som vil stoppe med at patche det nuværende udstyr og insistere på, at du køber de nye WAP'er, hvis du vil have WPA3.'
- 'Det mest skuffende aspekt ved WPA3 er, at ligesom alle tidligere wifi-standarder (WEP, WPA, WPA2, endda WPS), har denne været udviklet af et lukket, kun medlemmer, konsortium [...] Alt hvad WPA3-meddelelsen lover er, at den lukkede proces på WPA4 nu kan begynde.'
- “ Angrebsvektoren ved hjælp af KRACK er simpelthen for lille (og vil fortsætte med at falde) for at gøre disse angreb udbredt.“ Åbne netværk, for eksempel, er ikke sårbare over for KRACK, men er meget mere udsatte for ondsindede angreb end WPA2-netværk. I skrivende stund er der faktisk ikke dokumenteret nogen KRACK-angreb; eksperter hævder, at det er fordi indsatsen er for stor for cyberkriminelle, når der er så mange blødere mål rundt omkring.
På den kyniske note, øv sikker wifi, hold dig informeret og begynde at gemme til en ny router . Ifølge Dion Phillips , skriver for InfiniGate , '... det er tvivlsomt, at nuværende trådløse enheder vil blive opdateret til at understøtte WPA3 og langt mere sandsynligt, at den næste bølge af enheder vil blive sat gennem certificeringsprocessen. Når det er sagt, skal klientenheder også certificeres på samme måde for at kunne drage fordel af den nye certificering.'
Eksperter enig udrulning vil være så sent som i slutningen af 2019. Du bliver nødt til at købe en ny router, men WPA3 er bagudkompatibel, så du behøver muligvis ikke at opgradere alle dine tilsluttede enheder, medmindre de er rigtig gamle.
Hvordan kan du beskytte dig selv?
Hvordan kan virksomheder beskytte sig selv? (Løst)
Mathew Hughes har et par praktiske forslag dæmpet med et par advarende ord.
- Installer en bagudkompatibel patch – Desværre, siger Hughes, er mange mennesker ikke kun langsomme til at installere plastre s, mange producenter er langsomme til at udstede dem.
- Installer en VPN , en krypteret tunnel mellem enheder, der forhindrer aflytning af udenforstående – For nogle mennesker, siger han, kan dette være upraktisk, da de ikke vil være i stand til at få adgang til andre tilsluttede enheder på deres netværk.
- Brug SSL/TLS – Dette giver et ekstra lag af kryptering for at modvirke tyve og aflytning, da det krypterer pakker på sessionslaget i stedet for på netværkslaget (som kan være målrettet af KRACK-angribere).
- Opdater enheder og software – Sørg for, at din it-afdeling udruller regelmæssige softwareopdateringer og patches til alle virksomhedens enheder inklusive BYOD'er. Kontakt producenterne for at sikre, at de faktisk har udstedt patches, der løser KRACK-fejlen.
Ud over, sikre din router – Sørg for, at din router er låst væk, sikker mod interne trusler eller udefrakommende, der besøger bygningen. Der er også en række standardindstillinger på din router du kan ændre for at hærde sikkerheden, f.eks. begrænsning af indgående trafik, deaktivering af ubrugte tjenester, ændring af standardloginoplysninger og ændring af SSID på ældre enheder. Tjek, at din router-firewall er aktiveret (det sker ikke altid automatisk). Brug SSID til at oprette separate adgangspunkter for dine medarbejdere og kunder. Deaktiver WiFi Protected Setup (WPS), der bruges til at hjælpe med parring af enheder.
Læs også relaterede tips til hjemmenetværk nedenfor.
Wifi-sikkerhedstip til hjemmenetværk og IoT-enheder (løst)
- Øv grundlæggende wifi-sikkerhedssans – Læs Comparitechs guide til sikring af dit wifi-netværk i hjemmet .
- Stop med at bruge wifi – Opret forbindelse til internettet via en ethernet- eller dataforbindelse (3/4G) derhjemme, eller brug mobildata, især til følsomme transaktioner.
- Opdater enheder og software – Det inkluderer alle dine enheder såvel som din router. Kontakt producenterne for at sikre, at de faktisk har udstedt patches, der løser KRACK-fejlen.
- Deaktiver fildeling – Selvom det er fristende at dele billeder med venner og familie, så prøv at undgå at gøre dette på et offentligt sted. Du bør også oprette en mappe til fildeling og begrænse adgangen til andre mapper. Beskyt altid alt, hvad du deler med adgangskode.
- Udfør ikke følsomme transaktioner på offentlige steder – Lav din netbank derhjemme.
- Installer HTTPS overalt – HTTPS overalt fra Electronic Frontier Foundation (EFF) er en open source Firefox-, Chrome- og Opera-udvidelse, der krypterer kommunikation med de fleste websteder. Udvidelsen er ikke en fejlsikker mulighed, hvis en hjemmeside ikke tilbyder HTTPS-kryptering, men hvis den er tilgængelig, vil HTTPS Everywhere sikre, at det er det indhold, den leverer.
- Brug en VPN – Mens VPN'er giver stor sikkerhed for dine data, skal du sørge for, at din udbyder er lige så sikkerhedsbevidst, som du er, og anerkender din ret til privatliv. Rapporteret af Bryan Clark i Den næste webartikel , PureVPN, der hævdede, at det ikke fører logfiler eller identificerende oplysninger om sine brugere, syntes på mystisk vis at have fundet nok logget information til at gøre det muligt for FBI at spore og arrestere en stalker. Fører din VPN logs? I en dybdegående undersøgelse afslører Comparitech sandheden om 123 VPN-logningspolitikker.
- Konfigurer en wifi-router til hjemmet – En virtuel router giver dig mulighed for at dele din internetforbindelse med andre enheder i nærheden. Det er nemmere end du tror, ligesom at oprette et wifi-hotspot på din smartphone.
- Sikre din router – Der er en række standardindstillinger på din router, du kan ændre for at hærde sikkerheden, f.eks. begrænsning af indgående trafik, deaktivering af ubrugte tjenester og ændring af SSID på ældre enheder.
- Bekræft, at din internetudbyder er opdateret – Mange wifi-brugere til hjemmet bruger den router, der leveres af deres internetudbyder. Hvis du gør det, skal du bekræfte, at din internetudbyder har patchet alle deres enheder.
- Undgå offentlige wifi-hotspots – Eller lær i det mindste, hvordan du minimerer risikoen ved at bruge offentlig wifi.
- Kontroller manuelt, at URL'er er sikre – HTTP URL'er bruger SSL-kryptering til at beskytte besøgende på deres websted. Det gør HTTP-URL'er ikke. Du kan se, om en URL er sikker i adresselinjen. Aktiver ogsåBrug altid en sikker forbindelse(HTTPS) mulighed på din enhed.
- Brug sikre adgangskoder – Comparitech har nogle forslag til skabe stærke adgangskoder . Skift altid standardadgangskoder, såsom 'Admin' eller '123'.
- Hold antivirussoftware opdateret – Vælg velrenommeret antivirussoftware, og hold det opdateret. Der er også masser af gratis antivirusprogrammer rundt omkring.
- Sluk den - Sluk for din wifi-forbindelse når du ikke bruger det, og deaktiver automatisk genforbindelse.
- Brug flerlagssikkerhed – Hold dit operativsystems firewall opdateret og brug to-faktor autentificering for at få adgang til dine internetkonti.
- Brug Advanced Encryption Standard (AES) kryptering – Tjek, at dit hjemmenetværk bruger WPA2 med AES-kryptering , ikke TKIP. Begge krypteringsmuligheder er sårbare over for trafikdekryptering via KRACK, men AES er ikke sårbar over for pakkeinjektion.
Har jeg brug for WPA3?
Det er bedre at være sikker end undskyld, så ja, det gør du. Men i overgangsperioden (den periode, hvor leverandører vil certificere deres enheder) kan du patch WPA2.
Ændring af din WPA2-adgangskode vil ikke beskytte dig mod et KRACK-angreb, som fokuserer på nøgleledelse. Det giver dog sikkerhed for altid at vælge stærke adgangskoder.
Men er det nok?
John Wu , i en artikel på LinkedIn , siger, at WPA3 ikke er nok til at sikre total wifi-sikkerhed, fordi hackere bruger andre metoder til at angribe wifi-metoder. 'Den seneste VPNFilter virus udnytter ikke nogen af WPA2-manglerne. I stedet er angrebet rettet mod kendte sårbarheder i WiFi-routernes webgrænseflade, fjernporte, der er åbne med hårdkodede adgangskoder, software, der ikke er opdateret, og sårbare tilsluttede IoT-enheder.'
Løsningen? Brug tjeklisterne ovenfor om, hvordan du beskytter dine wifi-forbindelser som en guide til at oprette en lagdelt tilgang til wifi-sikkerhed . Øverst på listen? Hold dig opdateret med patches.