Varoitetut salatut WPA2-Wi-Fi-verkot ovat edelleen haavoittuvia Snoopingille
Tähän mennessä useimmat ihmiset tietävät, että avoimen Wi-Fi-verkon avulla ihmiset voivat kuunnella liikennettäsi. WPA2-PSK-salauksen on tarkoitus estää tämä tapahtumasta - mutta se ei ole yhtä luotettavaa kuin luulet.
Tämä ei ole valtava uutinen uuteen turvallisuusvikaan. Sen sijaan WPA2-PSK on aina toteutettu. Mutta se on jotain, mitä useimmat ihmiset eivät tiedä.
Avaa Wi-Fi-verkot vs. salatut Wi-Fi-verkot
Et saa isännöidä avointa Wi-Fi-verkkoa kotona, mutta saatat löytää itsesi julkisesti - esimerkiksi kahvilassa, lentoasemalla tai hotellissa. Avoimissa Wi-Fi-verkoissa ei ole salausta, mikä tarkoittaa, että kaikki ilmaan lähetetyt viestit ovat "selkeitä". Ihmiset voivat seurata selaustoimintoasi, ja kaikki web-toiminnot, joita ei ole suojattu salauksella, voidaan hakata. Kyllä, tämä on totta, jos sinun täytyy kirjautua sisään käyttäjätunnuksella ja salasanalla Web-sivulla, kun olet kirjautunut sisään avoimeen Wi-Fi-verkkoon.
Salaus - kuten WPA2-PSK-salaus, jota suosittelemme käyttämään kotona - korjaa tämän jonkin verran. Joku lähistöllä ei voi vain siepata liikennettäsi ja huijata sinua. He saavat joukon salattua liikennettä. Tämä tarkoittaa, että salattu Wi-Fi-verkko suojaa yksityistä liikennettäsi.
Tämä on totta - mutta täällä on suuri heikkous.
WPA2-PSK käyttää jaettua avainta
WPA2-PSK: n ongelmana on se, että se käyttää "jaettua avainta". Tämä avain on salasana tai salasana, jonka sinun täytyy syöttää, kun haluat muodostaa yhteyden Wi-Fi-verkkoon. Jokainen, joka yhdistää, käyttää samaa salasanaa.
Joku voi helposti seurata tätä salattua liikennettä. Kaikki he tarvitsevat:
- Salasana: Jokaisella, jolla on lupa muodostaa yhteys Wi-Fi-verkkoon, on tämä.
- Uuden asiakkaan yhdistysliikenne: Jos joku tallentaa reitittimen ja laitteen välillä lähetetyt paketit, kun ne muodostavat yhteyden, heillä on kaikki, mitä he tarvitsevat liikenteen purkamiseksi (olettaen, että heillä on tietenkin myös salasana). On myös triviaalia saada tämä liikenne "deauth" -hyökkäysten kautta, jotka purkavat voimakkaasti laitteen Wi-Fi-verkosta ja pakottavat sen uudelleen muodostamaan yhteyden, jolloin yhdistysprosessi tapahtuu uudelleen.
Todella, emme voi korostaa, kuinka yksinkertainen tämä on. Wiresharkilla on sisäänrakennettu vaihtoehto, joka sallii WPA2-PSK-liikenteen automaattisen purkamisen niin kauan kuin sinulla on ennalta jaettu avain ja otit liikennettä yhdistämisprosessista.
Mitä tämä todella tarkoittaa
Tämä tarkoittaa sitä, että WPA2-PSK ei ole paljon turvallisempi salakuuntelua vastaan, jos et luota kaikkiin verkon jäseniin. Kotona sinun pitäisi olla turvallinen, koska Wi-Fi-salasana on salaisuus.
Jos kuitenkin siirryt kahvilaan ja he käyttävät WPA2-PSK: ta avoimen Wi-Fi-verkon sijasta, saatat tuntea paljon turvallisemman yksityisyytesi. Mutta sinun ei pitäisi - kuka tahansa, jolla on kahvilan Wi-Fi-salasana, voisi seurata selaustasi. Muut verkossa olevat henkilöt tai vain muut käyttäjät, joilla on salasana, voisivat hiipiä liikenteellesi, jos he halusivat.
Muista ottaa se huomioon. WPA2-PSK estää ihmisiä pääsemästä verkkoon. Kuitenkin, kun heillä on verkon salasana, kaikki vedot ovat pois päältä.
Miksi WPA2-PSK ei yritä pysäyttää tämän?
WPA2-PSK yrittää tosiasiallisesti pysäyttää tämän käyttämällä "paritonta siirtymäavainta" (PTK). Jokaisella langattomalla asiakkaalla on ainutlaatuinen PTK. Tämä ei kuitenkaan auta paljon, koska yksilöllinen asiakas-avain johdetaan aina ennalta jaetusta avaimesta (Wi-Fi-salasana.) Siksi on triviaalia kaapata asiakkaan ainutlaatuinen avain niin kauan kuin sinulla on Wi- Fi-salasana ja voit siepata assosiaatioprosessin kautta lähetetyn liikenteen.
WPA2-Enterprise ratkaisee tämän… suurille verkkoille
Suurille organisaatioille, jotka vaativat turvallisia Wi-Fi-verkkoja, tämä turvavaje voidaan välttää käyttämällä EAP-automaattitunnistusta RADIUS-palvelimella, jota kutsutaan joskus WPA2-Enterprise-palvelimeksi. Tämän järjestelmän avulla jokainen Wi-Fi-asiakas saa todella ainutlaatuisen avaimen. Mikään Wi-Fi-asiakas ei saa tarpeeksi tietoa, jotta voit aloittaa snoopingin toisella asiakkaalla, joten tämä tarjoaa paljon suuremman turvallisuuden. Tästä syystä suuryritysten tai valtion virastojen olisi käytettävä WPA2-Entepriseä.
Mutta tämä on liian monimutkainen ja monimutkainen useimmille ihmisille - tai jopa useimmille maille - käyttää kotona. Wi-FI-salasanan sijasta sinun täytyy syöttää laitteisiin, jotka haluat yhdistää, sinun täytyy hallita RADIUS-palvelinta, joka käsittelee todennusta ja avainten hallintaa. Tämä on paljon vaikeampaa kotikäyttäjille.
Itse asiassa ei ole edes arvoista aikaa, jos luotat kaikkiin Wi-Fi-verkkoon tai kaikkiin, joilla on Wi-Fi-salasana. Tämä on välttämätöntä vain, jos olet yhteydessä WPA2-PSK-salattuun Wi-Fi-verkkoon julkisessa paikassa - kahvilassa, lentokentällä, hotellissa tai jopa suuremmassa toimistossa - jossa muilla henkilöillä, joihin et luota, on myös Wi- FI-verkon salasana.
Onko taivas putoamassa? Ei tietenkään. Pidä kuitenkin mielessäsi seuraavat asiat: Kun olet yhteydessä WPA2-PSK-verkkoon, muut ihmiset, joilla on pääsy kyseiseen verkkoon, voivat helposti piilottaa liikennettäsi. Huolimatta siitä, mitä useimmat ihmiset uskovat, salaus ei suojaa muita ihmisiä, joilla on pääsy verkkoon.
Jos joudut käyttämään arkaluonteisia sivustoja julkisessa Wi-Fi-verkossa - erityisesti verkkosivuilla, jotka eivät käytä HTTPS-salausta - harkitse näin VPN: n tai jopa SSH-tunnelin kautta. WPA2-PSK-salaus julkisissa verkoissa ei ole tarpeeksi hyvä.
Kuvaluotto: Cory Doctorow Flickrissä, elintarvikeryhmä Flickrissä, Robert Couse-Baker Flickrissä