Попередження Зашифровані мережі WPA2 Wi-Fi все ще є вразливими для Snooping
Наразі більшість людей знають, що відкрита мережа Wi-Fi дозволяє людям підслуховувати ваш трафік. Стандартне шифрування WPA2-PSK має запобігти цьому, але це не так надійно, як ви думаєте.
Це не велика новина про новий недолік безпеки. Швидше за все, такий спосіб WPA2-PSK завжди був реалізований. Але це те, чого більшість людей не знає.
Відкрити мережі Wi-Fi та зашифровані мережі Wi-Fi
У вас не повинно розміщуватися відкрита мережа Wi-Fi вдома, але ви можете знайти себе в громадських місцях - наприклад, у кафе, проходячи через аеропорт або в готелі. Відкриті мережі Wi-Fi не мають шифрування, а це означає, що все, що надсилається по «ефіру», є «чітким». Так, це справедливо навіть у тому випадку, якщо потрібно ввійти в систему з іменем користувача та паролем на веб-сторінці після входу до відкритої мережі Wi-Fi.
Шифрування - як і шифрування WPA2-PSK, яке ми рекомендуємо використовувати вдома - це дещо виправляє це. Хтось неподалік не може просто захопити ваш трафік і перехопити вас. Вони отримають купу шифрованого трафіку. Це означає, що зашифрована мережа Wi-Fi захищає ваш приватний трафік від запуску.
Це справді правда - але тут є велика слабкість.
WPA2-PSK використовує загальний ключ
Проблема з WPA2-PSK полягає в тому, що він використовує “Попередній спільний ключ”. Цей ключ є паролем або паролем, який потрібно ввести для підключення до мережі Wi-Fi. Кожен, хто підключається, використовує ту саму фразу.
Комусь досить легко контролювати цей зашифрований трафік. Все, що їм потрібно, це:
- Парольна фраза: Це має кожен, хто має дозвіл на підключення до мережі Wi-Fi.
- Об'єднання трафіку для нового клієнта: Якщо хтось захоплює пакети, відправлені між маршрутизатором і пристроєм, коли він підключається, у них є все необхідне для розшифрування трафіку (якщо, звичайно, вони також мають парольну фразу). Також тривіально отримувати цей трафік через атаки deauth, які примусово відключають пристрій від мережі Wi_Fi і змушують його повторно підключатися, що призводить до повторення процесу асоціації..
Дійсно, ми не можемо підкреслити, наскільки це просто. Wireshark має вбудовану опцію для автоматичного розшифрування трафіку WPA2-PSK, якщо у вас є спільний ключ, і ви отримали трафік для процесу асоціації.
Що це насправді означає
Те, що це насправді означає, що WPA2-PSK не набагато більш захищений від підслуховування, якщо ви не довіряєте всім у мережі. В домашніх умовах ви повинні бути впевнені, що ваша пароля Wi-Fi є таємницею.
Однак, якщо ви виходите в кафе і вони використовують WPA2-PSK замість відкритої мережі Wi-Fi, ви можете відчувати себе набагато більш безпечними у вашій приватності. Але не варто - кожен, хто має парольну фразу Wi-Fi у кафе, може контролювати ваш трафік перегляду. Інші користувачі мережі або інші люди, які мають парольну фразу, можуть перехопити ваш трафік, якщо вони цього захочуть.
Обов'язково врахуйте це. WPA2-PSK запобігає перехопленню людей, які не мають доступу до мережі. Проте, коли вони мають парольну фразу мережі, всі ставки виключені.
Чому не WPA2-PSK Постарайтеся зупинити це?
WPA2-PSK насправді намагається зупинити це за допомогою "попарного перехідного ключа" (PTK). Кожен бездротовий клієнт має унікальний PTK. Проте це не дуже допомагає, оскільки унікальний ключ для кожного клієнта завжди виводиться з попередньо розділеного ключа (пароль Wi-Fi). Тому тривіально захоплювати унікальний ключ клієнта, якщо у вас є Файлову фразу Fi і може захоплювати трафік, надісланий через процес асоціації.
WPA2-Enterprise вирішує це ... для великих мереж
Для великих організацій, які вимагають захищених мереж Wi-Fi, цієї слабкості безпеки можна уникнути за допомогою авторизації EAP з сервером RADIUS - іноді його називають WPA2-Enterprise. Завдяки цій системі кожен клієнт Wi-Fi отримує дійсно унікальний ключ. Жоден клієнт Wi-Fi не має достатньої кількості інформації, щоб просто почати перехоплювати іншого клієнта, тому це забезпечує набагато більшу безпеку. Великі корпоративні офіси або державні установи повинні використовувати WPA2-Enteprise з цієї причини.
Але це занадто складне і складне для переважної більшості людей - або навіть самих виродків - для використання вдома. Замість пароля Wi-Fi, який потрібно ввести на пристроях, які потрібно підключити, потрібно керувати сервером RADIUS, який обробляє аутентифікацію та керування ключами. Це набагато складніше для налаштування домашніх користувачів.
Насправді це навіть не варто витрачати час, якщо ви довіряєте всім користувачам мережі Wi-Fi або всім, хто має доступ до пароля Wi-Fi. Це необхідно лише, якщо ви підключені до WPA2-PSK зашифрованої мережі Wi-Fi у громадському місці - кафе, аеропорт, готель або навіть більший офіс - де інші люди, яким ви не довіряєте, також мають Парольна фраза мережі FI.
Отже, падає небо? Ні, звичайно, ні. Але майте це до уваги: коли ви підключені до мережі WPA2-PSK, інші користувачі, які мають доступ до цієї мережі, можуть легко перехопити ваш трафік. Незважаючи на те, що більшість людей може вважати, що шифрування не забезпечує захисту від інших людей, які мають доступ до мережі.
Якщо ви маєте доступ до чутливих сайтів у загальнодоступній мережі Wi-Fi - особливо на веб-сайтах, які не використовують HTTPS-шифрування - розглянути це можна за допомогою VPN або навіть SSH-тунелю. Шифрування WPA2-PSK у публічних мережах не є достатньо гарним.
Зображення: Cory Doctorow на Flickr, Food Group на Flickr, Robert Couse-Baker на Flickr