Nepříjemné překvapení: I vaše wi-fi je prolomena, odhalili experti

Bezpečnostní odborníci varují: zabezpečení bezdrátového připojení wi-fi pomocí WPA2 nelze považovat za bezpečné. Výzkumníci upozorňují, že zranitelností přezdívanou KRACK trpí prakticky všechny bezdrátové sítě současnosti. Problém se týká počítačů, mobilních telefonů, routerů, chytrých televizí a dalších zařízení.

Po několika týdnech přísného utajení dnes bezpečnostní experti koordinovaně vydali šokující zprávu: „Objevili jsme vážnou zranitelnost v protokolu WPA2, který zabezpečuje všechny moderní chráněné wi-fi sítě,“ uvedl Mathy Vanhoef, bezpečnostní expert výzkumné skupiny Imec-Distrinet na Katolické univerzitě v nizozemské Lovani.

Protokol WPA2 zajišťuje, aby byl přenos dat po bezdrátové síti šifrovaný a nemohl jej nikdo neoprávněně sledovat. Útok KRACK ale právě takové sledování umožňuje.

„Útočník, který je v dosahu oběti (desítky metrů, pozn. red.) může využít této zranitelnosti a za pomocí útoků na principu reinstalace klíčů (v originále: Key Reinstallation Attacks – KRACK) může přečíst informace, které byly dosud považovány za bezpečně zašifrované,“ píše Vanhoef. Útok podle něj funguje na všech moderních bezdrátových sítích. Pokud je navíc síť špatně nakonfugurovaná, může útočník dokonce vpašovat falešná data nebo podvrhnout data směrem k uživateli. Tedy například napodobit stránky, na které uživatel přistupuje.

Touto zranitelností trpí prakticky všechna zařízení na trhu (seznam na CERT.org). Útočníci ověřili funkčnost útoku například na zařízeních s Androidem, Linuxem, Apple, Windows, OpenBSD a dalších. Podrobný popis chyby je ke stažení v PDF.

Princip útoku spočívá v napodobení tzv. handshakes (doslova: potřesení rukou), tedy ověřovacích mechanismů. Když se připojujete k zabezpečené síti, tak si zařízení mezi sebou „vyjednají“ heslo, kterým pak svou komunikaci šifrují. Ideálně by protokol WPA2 neměl dovolit více uživatelům, aby používali stejné konkrétní zašifrování komunikace. Útok KRACK ale dokáže podstrčit takovou komunikaci, která má za následek, že například router komunikuje se dvěma zařízeními pomocí stejného šifrování, a útočník tak má přístup k nešifrovaným datům.

Jak se bránit: zatím nejsou záplaty, zbývá jen HTTPS

KRACK je zcela nová zranitelnost, a záplaty proti tomuto útoku se teprve připravují. Neexistuje tedy zatím jednoduchá obrana proti tomuto typu útoku. Útok je navíc relativně snadno proveditelný. Vyžaduje samozřejmě technické znalosti, nicméně lze realisticky předpokládat jeho nasazení v praxi.

Při procházení webu je pro běžného uživatele nejlepší ochranou důsledné využívání zabezpečeného protokolu HTTPS, tedy další vrstvy šifrování nezávislé na šifrování WPA2. Ani útočník, který pomocí útoku KRACK dešifruje vaši komunikaci přes wi-fi síť, totiž nerozšifruje komunikaci zašifrovanou skrze TLS nebo SSL, které HTTPS používá. Útočník nicméně může zkusit stránku podvrhnout, šifrování HTTPS odstanit a doufat, že si toho uživatel nevšimne.

Jak se bránit

Doporučení pro uživatele v reakci na odhalení zranitelnosti KRACK

Uživatelé koncových zařízení:

• používejte všude, kde je to možné, zabezpečený protokol HTTPS
• využít můžete například rozšíření do prohlížeče HTTPS Everywhere od EFF
• každou wi-fi síť (včetně své domácí sítě) považujte až do vydání příslušných záplat za nezabezpečenou
• nastavte přechodně své bezdrátové sítě wi-fi, ke kterým se připojujete, jako „veřejné“ (Public) namísto „domácí“
• Až bude dostupný update operačního systému, nainstalujte jej
• Pro další úroveň zabezpečení můžete použít VPN

Provozovatelé sítí:

• Nespoléhat na zabezpečení WPA2 jako na jediné zabezpečení
• Sledovat, zda výrobce nevydal update firmware nebo záplatu pro používaný operační systém
• Pro obzvláště citlivé přenosy volte síťový kabel, nikoli wi-fi
• Americký institut CERT sleduje tuto zranitelnost pod identifikačním číslem VU#228519Zdroj: Technet.idnes.cz