Предупреждение Шифрованите WPA2 Wi-Fi мрежи са все още уязвими за Snooping

Досега повечето хора знаят, че отворената Wi-Fi мрежа позволява на хората да подслушват трафика ви. Стандартното WPA2-PSK криптиране би трябвало да предотврати това - но това не е толкова сигурно, колкото си мислите.

Това не е огромна новина за нов пропуск в сигурността. По-скоро това е начинът, по който WPA2-PSK винаги е бил реализиран. Но това е нещо, което повечето хора не знаят.

Отворете Wi-Fi мрежи срещу криптирани Wi-Fi мрежи

Не трябва да бъдете домакин на отворена Wi-Fi мрежа у дома, но може да откриете, че ползвате публично - например в кафене, докато минавате през летище или в хотел. Отворените Wi-Fi мрежи нямат криптиране, което означава, че всичко, което е изпратено по ефир, е "ясно". Хората могат да наблюдават активността ви на сърфиране и всяка уеб дейност, която не е защитена със самото криптиране, може да бъде включена. Да, това е вярно дори ако трябва да влезете с потребителско име и парола на уеб страница, след като влезете в отворената Wi-Fi мрежа.

Шифроване - подобно на WPA2-PSK криптирането, което препоръчваме да използвате вкъщи - поправя това малко. Някой наблизо не може просто да улови трафика ви и да ви подслушва. Те ще получат куп криптиран трафик. Това означава, че криптирана Wi-Fi мрежа предпазва частния ви трафик от включване.

Това е нещо вярно - но тук има голяма слабост.

WPA2-PSK използва споделен ключ

Проблемът с WPA2-PSK е, че използва “Предварително споделен ключ”. Този ключ е паролата или паролата, която трябва да въведете, за да се свържете с Wi-Fi мрежата. Всеки, който се свързва, използва същия пропуск.

Много е лесно за някой да следи този криптиран трафик. Всичко, от което се нуждаят, е:

• Пропускът: Всеки с разрешение за свързване с Wi-Fi мрежата ще има това.
• Трафикът на асоциацията за нов клиент: Ако някой заснеме пакетите, изпратени между маршрутизатора и устройството, когато се свърже, те имат всичко необходимо, за да декриптират трафика (при условие, че те също имат парола, разбира се). Също така е тривиално да се получи този трафик чрез „deauth“ атаки, които принудително прекъсват връзката между устройство от Wi_Fi мрежа и го принуждават да се свърже отново, което води до повторение на процеса на асоцииране..

Наистина, не можем да подчертаем колко просто е това. Wireshark има вградена опция за автоматично дешифриране на WPA2-PSK трафик, докато разполагате с предварително споделения ключ и сте заловили трафика за процеса на асоцииране.

Какво всъщност означава това

Това всъщност означава, че WPA2-PSK не е много по-сигурен срещу подслушване, ако не вярвате на всички в мрежата. У дома трябва да сте сигурни, защото пропускът за Wi-Fi е тайна.

Ако обаче отидете в кафене и използвате WPA2-PSK вместо отворена Wi-Fi мрежа, може да се почувствате много по-сигурни в личния си живот. Но вие не трябва - всеки, който има Wi-Fi парола в кафенето, може да наблюдава трафика ви. Други хора в мрежата, или просто други хора с пропуска, могат да шпионират трафика ви, ако искат.

Не забравяйте да вземете това предвид. WPA2-PSK предотвратява нахлуването на хора без достъп до мрежата. Въпреки това, след като имат пропуск за мрежата, всички залози са изключени.

Защо не WPA2-PSK Опитайте се да спрете това?

WPA2-PSK всъщност се опитва да спре това чрез използването на "двойно преходен ключ" (PTK). Всеки безжичен клиент има уникален PTK. Това обаче не помага много, защото уникалният ключ на клиент винаги се извлича от предварително споделения ключ (парола за Wi-Fi). Ето защо е тривиално да се заснеме уникалният ключ на клиента, стига да имате Wi- Файла за парола и може да улови трафика, изпратен чрез процеса на асоцииране.

WPA2-Enterprise решава това… за големи мрежи

За големи организации, които изискват сигурни Wi-Fi мрежи, тази слабост на сигурността може да се избегне чрез използването на авторизация на EAP с RADIUS сървър - понякога се нарича WPA2-Enterprise. С тази система всеки Wi-Fi клиент получава наистина уникален ключ. Няма Wi-Fi клиент, който да разполага с достатъчно информация, за да започне да нахлува на друг клиент, така че това осигурява много по-голяма сигурност. Поради това големите корпоративни офиси или правителствени агенции трябва да използват WPA2-Enteprise.

Но това е твърде сложно и сложно за по-голямата част от хората - или дори повечето от тях - да използват у дома. Вместо Wi-Fi парола, който трябва да въведете на устройства, които искате да свържете, трябва да управлявате RADIUS сървър, който управлява удостоверяването и управлението на ключовете. Това е много по-сложно за домашни потребители.

Всъщност дори не си струва времето, ако имате доверие на всички в Wi-Fi мрежата си или на всеки, който има достъп до вашата Wi-Fi парола. Това е необходимо само ако сте свързани към WPA2-PSK криптирана Wi-Fi мрежа на обществено място - кафене, летище, хотел или дори по-голям офис - където други хора, на които не вярвате, също имат Wi-Fi Фразата за мрежата на FI.

И така, падането на небето ли е? Не разбира се, че не. Но имайте това предвид: когато сте свързани към мрежа WPA2-PSK, други хора, които имат достъп до тази мрежа, могат лесно да прихващат трафика ви. Въпреки това, което повечето хора смятат, че криптирането не осигурява защита срещу други хора с достъп до мрежата.

Ако имате достъп до чувствителни сайтове в обществена Wi-Fi мрежа - особено уебсайтове, които не използват HTTPS криптиране - помислете за това чрез VPN или дори с SSH тунел. WPA2-PSK криптирането в публичните мрежи не е достатъчно добро.

Кредит на изображението: Кори Доктороу на Flickr, хранителната група на Flickr, Робърт Каус-Бейкър на Flickr