Středa 20. října 2021, svátek má Vendelín
  • schránka
  • Přihlásit Můj účet
  • Středa 20. října 2021 Vendelín

Nepříjemné překvapení: I vaše wi-fi je zranitelná, odhalili experti

  15:04aktualizováno  17. října 10:22
Bezpečnostní odborníci varují: zabezpečení bezdrátového připojení wi-fi pomocí WPA2 nelze považovat za bezpečné. Výzkumníci upozorňují, že zranitelností přezdívanou KRACK trpí prakticky všechny bezdrátové sítě současnosti. Problém se týká počítačů, mobilních telefonů, routerů, chytrých televizí a dalších zařízení.

KRACK: Key Reinstallation Attacks | foto: montáž: Pavel Kasík, Technet.cz

Jak se bránit?

Přeskočte rovnou na rady pro koncové uživatele

Po několika týdnech přísného utajení dnes bezpečnostní experti koordinovaně vydali šokující zprávu: „Objevil jsem vážnou zranitelnost v protokolu WPA2, který zabezpečuje všechny moderní chráněné wi-fi sítě,“ uvedl Mathy Vanhoef, bezpečnostní expert výzkumné skupiny Imec-Distrinet na Katolické univerzitě v belgické Lovani.

Protokol WPA2 zajišťuje, aby byl přenos dat po bezdrátové síti šifrovaný a nemohl jej nikdo neoprávněně sledovat. Útok KRACK ale právě takové sledování umožňuje.

Útok KRACK funguje prakticky na všech moderních bezdrátových sítích

„Útočník, který je v dosahu oběti (desítky metrů, pozn. red.) může využít této zranitelnosti a pomocí útoků na principu reinstalace klíčů (v originále: Key Reinstallation Attacks - KRACK) může přečíst informace, které byly dosud považovány za bezpečně zašifrované,“ píše Vanhoef. Útok podle něj funguje na všech moderních bezdrátových sítích. Pokud je navíc síť špatně nakonfigurovaná, může útočník dokonce vpašovat falešná data nebo podvrhnout data směrem k uživateli. Tedy například napodobit stránky, na které uživatel přistupuje.

Touto zranitelností trpí prakticky všechna zařízení na trhu (seznam na CERT.org). Útočníci ověřili funkčnost útoku například na zařízeních s Androidem, Linuxem, Apple, Windows, OpenBSD a dalších. Podrobný popis chyby je ke stažení v PDF. Některé firmy již chybu opravily.

Ukázka útoku KRACK v praxi, kde útočník odposlechne komunikaci uživatele s přihlašovací stránkou seznamky:

Princip útoku spočívá v napodobení tzv. handshakes (doslova: potřesení rukou), tedy ověřovacích mechanismů. Když se připojujete k zabezpečené síti, tak si zařízení mezi sebou „vyjednají“ heslo, kterým pak svou komunikaci šifrují. Ideálně by protokol WPA2 neměl dovolit více uživatelům, aby používali stejné konkrétní zašifrování komunikace. Útok KRACK ale dokáže podstrčit takovou komunikaci, která má za následek, že například router komunikuje se dvěma zařízeními pomocí stejného šifrování, a útočník tak má přístup k nešifrovaným datům.

Jak se bránit: zatím nejsou záplaty, zbývá jen HTTPS

KRACK je zcela nová zranitelnost, a záplaty proti tomuto útoku se teprve připravují. Neexistuje tedy zatím jednoduchá obrana proti tomuto typu útoku. Navíc je relativně snadno proveditelný. Vyžaduje samozřejmě technické znalosti, nicméně lze realisticky předpokládat jeho nasazení v praxi.

Při procházení webu je pro běžného uživatele nejlepší ochranou důsledné využívání zabezpečeného protokolu HTTPS, tedy další vrstvy šifrování nezávislé na šifrování WPA2. Ani útočník, který pomocí útoku KRACK dešifruje vaši komunikaci přes wi-fi síť, totiž nerozšifruje komunikaci zašifrovanou skrze TLS nebo SSL, které HTTPS používá. Útočník nicméně může zkusit stránku podvrhnout, šifrování HTTPS odstranit a doufat, že si toho uživatel nevšimne: „V některých případech může útočník odstranit SSL, kdy uživatel neuvidí zelený zámeček nebo může provést tzv. MitM útok (man-in-the-middle, tedy útok skrz „člověka uprostřed“, pozn.red.), kdy uživatel uvidí bezpečnostní hlášení o nedůvěryhodném certifikátu,“ řekl pro Technet.cz bezpečnostní expert Avastu, Michal Salát. „Oba případy jsou identifikovatelné uživatelem a neměl by v takovém případě pokračovat v používání služby.“

Jak se bránit

Doporučení pro uživatele v reakci na odhalení zranitelnosti KRACK

Uživatelé koncových zařízení:

  • používejte všude, kde je to možné, zabezpečený protokol HTTPS
  • využít můžete například rozšíření do prohlížeče HTTPS Everywhere od EFF
  • každou wi-fi síť (včetně své domácí sítě) považujte až do vydání příslušných záplat za nezabezpečenou
  • nastavte přechodně své bezdrátové sítě wi-fi, ke kterým se připojujete, jako „veřejné“ (Public) namísto „domácí“
  • Až bude dostupný update operačního systému, nainstalujte jej.
  • Pro další úroveň zabezpečení můžete použít VPN.

Provozovatelé sítí:

  • Nespoléhat na zabezpečení WPA2 jako na jediné zabezpečení
  • Sledovat, zda výrobce nevydal update firmware nebo záplatu pro používaný operační systém
  • Pro obzvláště citlivé přenosy volte síťový kabel, nikoli wi-fi
  • Nejdůležitější je aktualizovat software na koncových zařízeních

Americký institut CERT sleduje tuto zranitelnost pod identifikačním číslem VU#228519. Dosah této zranitelnosti se zatím zjišťuje. Sám Vanhoef varoval institut CERT v červenci 2017 a CERT varoval výrobce koncem srpna.

„Zranitelnost je sice závažná, nicméně útočník by se musel nacházet v dosahu Wi-Fi signálu cíle, což činí útok méně praktický,“ připomíná Salát. Uživatelé by však podle něj měli veřejné WPA sítě považovat za nebezpečné a použít službu VPN, stejně jako na otevřených sítích.

Některé systémy už jsou zazáplatované

Microsoft, Netgear a další firmy již chybu opravily, další firmy na opravách pracují

Některé firmy, mezi nimi i Microsoft, už údajně zranitelnost u svých produktů opravily: „Zákazníci, kteří mají aktivní automatické aktualizace, jsou před touto zranitelnosti ochráněni,“ citoval The Verge.

Opravu hlásí i Debian/Ubuntu Linux. Mezi další firmy, které již nabídly opravu, patří Mikrotik, Netgear nebo Ubiquiti. Naopak například zařízení s Androidem jsou zatím zřejmě neopravené.

Heslo měnit nemusíte, WPA2 nadále používejte, aktualizujte

Podle výzkumníka, který ji objevil, je situace vážná, ovšem neznamená konec protokolu WPA2: „Naštěstí lze tyto chyby opravit, a to tak, že záplatovaný systém bude zpětně kompatibilní.“ Doporučuje proto, aby uživatelé aktualizovali svá zařízení, jakmile pro ně bude dostupná záplata.

KRACK je první útok na WPA2, který nevyužívá hádání hesla k wi-fi

Co naopak proti útoku tentokrát nepomůže? „Nemá cenu měnit heslo na routeru. To nemá s útokem nic společného,“ píše Mathy Vanhoef. Útočník totiž nepotřebuje heslo pro přístup do sítě. Jde o první úspěšný útok proti WPA2, který nějakým způsobem nespoléhá na uhádnutí hesla.

Nepomůže ani filtrování MAC adres na straně AP (např. routeru). MAC adresa je pevně určená adresa každého hardware, a někteří uživatelé tak chrání svou wi-fi například tím, že mají seznam povolených zařízení, které na danou wi-fi mohou přistupovat. „Ale protože útok KRACK kompromituje přímo protokol WPA2, užíváný jak vaším zařízením, tak AP, není filtrování MAC adres účinnou obranou proti tomuto útoku. Nemluvě o tom, že MAC adresu lze snadno podvrhnout,“ píše například bezpečnostní odborník Brian Krebs.

Útok funguje i proti starší verzi zabezpečení (WPA1), takže nepomůže přepnout se na starší, dnes už tak nedoporučované zabezpečení.

Vanhoef na chybu přišel relativně náhodou: „Pracoval jsem na jiném vědeckém článku a všiml jsem si, že v jedné funkci OpenBSD (ic_set_key) je zaveden párový klíč. Řekl jsem si, co se asi stane, kdybych tuto funkci zavolal dvakrát... Měl jsem pravdu, ale až za několik týdnů jsem se dostal k tomu, abych to skutečně prozkoumal.“

Podle Vanhoefa není jasné, jestli už na tuto zranitelnost přišel někdo jiný. Vyloučit to prý nejde. Útokem se nyní zabývá i W-Fi Alliance, která jej zahrnula do svých doporučení a laboratorních testů.

TECHNET.cz

Aktualizace: Do článku jsme doplnili rady koncovým uživatelům, odkazy na další podrobnosti a vyjádření odborníků. Doplnili jsme informace o aktualizacích. Do článku jsme doplnili informace o dalších způsobech, jak se nové zranitelnosti (ne)lze bránit.


Autor:
  • Nejčtenější

Test sluchátek: Z šesti novinek nás nejvíce nadchly ty nejlevnější

Premium Test zcela bezdrátových sluchátek přinesl docela neobvyklé překvapení: úplně nejlevnější model v celkovém hodnocení...

Weby vás tajně sledují prostřednictvím otisku zařízení

Na světě je téměř 1,9 miliardy internetových stránek. Mnohdy slouží k pokoutným účelům a dost často z nich obchodníci...

Hledá se náhrada za gripeny. Zkusili jsme udělat tendr „nanečisto“

Páteří českého vojenského letectva je v současné době čtrnáct kusů bojového letounu Saab JAS-39 Gripen, pronajatých od...

KOMENTÁŘ: Budoucnost operačního systému je v jeho pronájmu

Ač to na první pohled není patrné, svět se pomalu chystá na další revoluční změnu. V budoucnu si věci nebudeme kupovat,...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Dinosauři se dožívali zhruba padesáti let, řekl v Rozstřelu paleontolog

Vědci odhalují stále víc informací z dob, kdy po zeměkouli kráčeli pravěcí ještěři. Tato část historie Země láká i...

Váš syn bude žít jen pár týdnů. Zpověď matky zesnulého hokejisty Buchtely

Premium Přežít své dítě. Pro každého rodiče ta nejhorší představa. Teprve dvacetiletý hokejista Ondřej Buchtela zemřel loni v...

Test sluchátek: Z šesti novinek nás nejvíce nadchly ty nejlevnější

Premium Test zcela bezdrátových sluchátek přinesl docela neobvyklé překvapení: úplně nejlevnější model v celkovém hodnocení...

Jak se rodí sebevražda. Psychiatr Höschl nejen o schizofrenii a depresi

Premium Jak velká musí být síla, která člověka dožene k tomu, že si sám dobrovolně vezme život? Jaké jsou poslední myšlenky...

  • Další z rubriky

Facebook v noci opravil obří výpadek. V Česku měli problémy operátoři

Facebook, Instagram, Messenger i Whatsapp zaznamenaly v pondělí večer rozsáhlý výpadek, na jejich nedostupnost si...

Google mapy: Deset triků, které v aplikaci musíte vyzkoušet

Premium Stále populárnější mapy od Googlu pomohou dostat se bez bloudění z bodu A do bodu B nebo naplánovat ideální trasu se...

Ovládněte vyhledávače a najděte na internetu to, co opravdu potřebujete

Internetové vyhledávače nabízejí celou řadu funkcí, které můžete využít k přesnějšímu vyhledání. Některé jsou všeobecně...

V Google dokumentech se nově objevily funkce, které mnozí z nás uvítají

Jestliže je pro vás textový editor Google dokumenty denním chlebem, potom zbystřete. Používáním chytrých voleb,...

Najděte svou vnitřní krásu: Otestujte nutrikosmetiku od Manufaktury
Najděte svou vnitřní krásu: Otestujte nutrikosmetiku od Manufaktury

Podpořte krásný vzhled své pleti a pokožky nejen zvenku, ale také zevnitř. Objevte nutrikosmetiku značky Manufaktura. Hledáme 30 uživatelů, kteří s...

Kvůli nárůstu cen na trhu končí další dodavatelé plynu a elektřiny

V pondělí ukončí dodávky všem odběratelům po firmě Bohemian Energy další společnost, tentokrát děčínská Kolibřík...

Přežili krizi i povodně. Dnes mají vyprodáno na půl roku dopředu

Podnikat začal Pavel Jech krátce po revoluci. Zažil vzestupy i pády, letos rodinná firma oslaví již třicet let na trhu....

Leoš Mareš se pochlubil šťastnou novinou. Bude trojnásobným tatínkem

Leoš Mareš (45) a jeho druhá manželka Monika (40) čekají miminko. Moderátor se zprávou pochlubil v ranním vysílání...

Psychiatr mě sexuálně napadl, partner málem zabil, popisuje dcera Urbánkové

Dcera zpěvačky Nadi Urbánkové (82) Jana Fabiánová (42) promluvila o sexuálním napadení v ordinaci lékaře. Zavzpomínala...

ČEZ od ledna zdraží: elektřinu asi o třetinu, plyn o víc než polovinu

ČEZ od nového roku zdraží elektřinu i plyn. Podle šéfa energetické společnosti Daniela Beneše to může být asi třetina u...