Kaj moram vedeti o WPA2 ranljivosti v Wi-Fi omrežjih

Na nacionalnem centru SI-CERT smo včeraj izdali obvestilo o več ranljivosti WPA2 protokola, ki se uporablja za zaščito v Wi-Fi omrežjih. Ker gre za precej tehnično zapleteno ranljivost, smo za večjo razumljivost težave pripravili nekaj dodatnih pojasnil. Najprej si oglejte video, ki ponazarja napad z izkoriščanjem teh ranljiosti, potem pa si preberite odgovore na nekaj najpogostejših vprašanj, ki se zastavljajo uporabnikom.

• Ali se ta zadeva tiče tudi mene?

Da. Ranljive so vse naprave, ki se znajo povezovati v Wi-Fi omrežje – prenosniki, mobilni telefoni, tablice, brezžični usmerjevalniki, pametni televizorji itn.

• Ali moram zamenjati geslo za svoje brezžično omrežje?

Ne. Napad ne omogoča kraje gesla za brezžično omrežje, tako da ga zaradi teh ranljivosti ni potrebno spreminjati.

• Ali lahko uporabim kakšno drugo zaščito kot WPA?

Ne. WPA z AES je še vedno de-facto standard za zaščito brezžičnih omrežij  in nima alternative. Če uporabite kakršnokoli drugo vrsto zaščite (WEP ali celo odprto omrežje), boste močno poslabšali varnost omrežja.

• Če ni druge možnosti zaščite, ali to pomeni, da ne smem več uporabljati Wi-Fi?

Zaenkrat ni potrebe po paniki. Izklop Wi-Fi je skrajni ukrep, ki je po našem mnenju trenutno nepotreben. Orodja, ki bi napadalcem omogočale izrabo katere od ranljivosti, še niso javno dostopna. Se pa predvideva, da bodo taka orodja v nekaj tednih dosegljiva v javnosti.

• Kaj naj torej naredim? Kako odpravim ranljivosti?

Ranljivosti bodo odpravljene, ko bodo proizvajalci programske in strojne opreme izdali popravke in ko boste te popravke namestili na vaše sisteme.

• Ali moram zdaj na spletnih straneh proizvajalcev iskati te popravke?

Na večini sistemov, za katere proizvajalci zagotavljajo varnostne popravke, bodo popravki naloženi avtomatsko v okviru rednega posodabljanja. Za naprave, ki nimajo možnosti avtomatskega posodabljanja (npr. domači usmerjevalniki), pa boste morali najprej počakati, da proizvajalec izda popravke (ponavadi to stori z objavo nove programske opreme na spletni strani – t.i. firmware), nato pa te ročno namestiti.

• Torej je potrebno posodobiti tudi programsko opremo domačega usmerjevalnika?

Večji del napadov naj bi bil usmerjen na kliente oz. sisteme, ki se povezujejo v Wi-Fi omrežje (pametni telefoni, računalniki itd.) in ne na usmerjevalnike (brezžične dostopne točke). Je pa priporočljivo, da se posodobi tudi te naprave, saj se le na tak način odpravi vse odkrite ranljivosti.

• Če ne bom posodobil sistemov, kaj se mi lahko zgodi?

Uspešnost napada je odvisna od več dejavnikov, predvsem od vrste vašega operacijskega sistema. V najhujšem primeru lahko napadalec beleži in spreminja omrežni promet iz vaše naprave v internet. Lahko bi videl, katere spletne strani obiskujete ter katere podatke vpisujete na spletnih straneh, npr. uporabniška imena in gesla, podatke o kreditni kartici ipd.

• Kaj pa če uporabljam varno HTTPS povezavo do spletnega mesta, kjer vpisujem podatke? Lahko tudi v tem primeru pride do zlorabe?

HTTPS povezave so načeloma varne. Vendar pa napadalec lahko uporabi posebne tehnike, ki v primeru HTTPS povezav brskalnik preusmerijo na navadno, HTTP povezavo. V praksi se to vidi tako, da na spletni strani, kjer vpisujemo podatke, v naslovni vrstici ni ključavnice, čeprav bi ta morala biti.

• Kateri operacijski sistemi so najbolj ranljivi?

Različni sistemi imajo različne ranljivosti. Windows sistemi so, npr. ranljivi zgolj na eno od ranljivosti, ki ne omogoča veliko škode (raziskovalci so navedli primer, da bi napadenemu računalniku lahko nastavljali uro na eno in isto vrednost). Najbolj pa so izpostavljeni sistemi GNU/Linux in Android od verzije 6 dalje. Ti sistemi vsebujejo ranljivo programsko opremo, ki omogoča tudi napade, kot so opisani zgoraj.

• Imam pametno napravo z Android sistemom, ki jo proizvajalec ne posodablja več. Kaj lahko naredim?

V teh primerih kakšne enostavne rešitve žal ni. Ena izmed možnosti bi lahko bila namestitev neuradnega sistema (unofficial firmware), če je ta sploh na voljo. Vendar pa gre tu za tehnično zapleten postopek, ki ga ne priporočamo neizkušenim uporabnikom.

• Ali lahko zaznam, da nekdo napada moje brezžično omrežje?

Zelo težko. Napad poteka na zelo nizkem nivoju in ga je brez nekih dodatnih naprav in posebne programske opreme praktično nemogoče zaznati.

• Ali lahko še kaj storim za zaščito?

Eden od mehanizmov, kako lahko preprečite napade na kakršnemkoli Wi-Fi omrežju, je uporaba VPN povezav. Z njimi se ustvari šifriran tunel, prek katerega poteka celoten promet, kar v celoti onemogoči prestrezanje.