If-Koubou

Brīdinājums: šifrētie WPA2 Wi-Fi tīkli joprojām ir neaizsargāti pret izsekošanu

Brīdinājums: šifrētie WPA2 Wi-Fi tīkli joprojām ir neaizsargāti pret izsekošanu (Kā)

Pašlaik lielākā daļa cilvēku zina, ka atvērts Wi-Fi tīkls ļauj cilvēkiem noklausīties jūsu datplūsmu. Lai to novērstu, ir jānodrošina standarta WPA2-PSK šifrēšana, taču tas nav tik neprātīgs, kā jūs domājat.

Tas nav milzīgs ziņu avots par jaunu drošības trūkumu. Drīzāk tas ir veids, kā vienmēr ir ieviesta WPA2-PSK. Bet tas ir tas, ko lielākā daļa cilvēku nezina.

Atveriet Wi-Fi tīklus un šifrētos Wi-Fi tīklus

Jums nevajadzētu uzņemt atvērtā Wi-Fi tīklu mājās, bet, iespējams, atradīsit sev iespēju to izmantot publiski - piemēram, kafejnīcā, lidojot caur lidostu vai viesnīcā. Atvērtajiem Wi-Fi tīkliem nav šifrēšanas, kas nozīmē, ka viss, kas tiek sūtīts pa gaisu, ir "skaidri redzams". Cilvēki var pārraudzīt jūsu pārlūkošanas darbību, un visas tīmekļa aktivitātes, kas nav nodrošinātas ar šifrēšanu, var tikt izsekotas. Jā, tas ir pat taisnība, ja pēc pierakstīšanās atvērtā Wi-Fi tīklā ir jāpiesakās ar lietotājvārdu un paroli tīmekļa lapā.

Šifrēšana - tāpat kā WPA2-PSK šifrēšana, kuru mēs iesakām izmantot mājās, nedaudz novērš. Kāds tuvumā nevar vienkārši vienkārši attēlot jūsu datplūsmu un snoop uz jums. Viņi saņems šifrētu datplūsmu. Tas nozīmē, ka šifrēts Wi-Fi tīkls aizsargā jūsu privāto datplūsmu.

Tas ir taisnība, bet šeit ir liels vājums.

WPA2-PSK izmanto koplietotu atslēgu

Ar WPA2-PSK problēma ir tā, ka tā izmanto "Iepriekš koplietoto atslēgu". Šī atslēga ir parole vai paroles frāze, kas jāievada, lai izveidotu savienojumu ar Wi-Fi tīklu. Visi, kas savieno, izmanto to pašu ieejas frāzi.

Cilvēks ir diezgan viegli uzraudzītu šo šifrēto datplūsmu. Viss, kas tiem nepieciešams:

  • Ieejas frāze: Visiem, kam ir atļauja izveidot savienojumu ar Wi-Fi tīklu, tas būs.
  • Asociācijas datplūsma jaunam klientam: Ja kāds noņem maršrutus un ierīci, kas tiek sūtīti no maršrutētāja un savienojuma, viņiem ir viss nepieciešamais, lai atšifrētu datplūsmu (pieņemot, ka tiem, protams, ir arī ieejas frāze). Tas ir arī nenozīmīgs, lai iegūtu šo datplūsmu, izmantojot "deauth" uzbrukumus, kas piespiedu kārtā atvieno ierīci no Wi_Fi tīkla un piespiež to atkārtoti pieslēgties, izraisot asociācijas procesu atkal.

Patiesi, mēs nevaram uzsvērt, cik vienkārši tas ir. Wireshark ir iebūvēta iespēja automātiski atšifrēt WPA2-PSK datplūsmu, ja vien jums ir iepriekš koplietota atslēga un esat uzņēmis asociācijas procesa datplūsmu.

Ko tas faktiski nozīmē

Tas patiesībā nozīmē to, ka WPA2-PSK nav daudz drošāks pret noklausīšanos, ja jūs neuzticat visiem tīkla dalībniekiem. Mājās jums ir jābūt drošam, jo ​​jūsu Wi-Fi frāze ir noslēpums.

Tomēr, ja izejat pie kafijas veikala un viņi izmanto WPA2-PSK, nevis atvērtu Wi-Fi tīklu, jūsu konfidencialitāte var justies daudz drošāk. Bet jums nevajadzētu - ikviens, kam ir kafijas veikala Wi-Fi frāze, var pārraudzīt pārlūkošanas datplūsmu. Citas personas tīklā vai tikai citi lietotāji ar ieejas frāzi varētu vērot jūsu datplūsmu, ja viņi to vēlas.

Noteikti ņemiet to vērā. WPA2-PSK neļauj cilvēkiem piekļūt tīklam no snoopēšanas. Tomēr, tiklīdz tām ir tīkla frāze, visas derības ir izslēgtas.

Kāpēc WPA2-PSK nemēģina to apturēt?

WPA2-PSK patiešām cenšas to apturēt, izmantojot "pāru pārejas atslēgu" (PTK). Katram bezvadu klientam ir unikāls PTK. Tomēr tas nepalīdz daudz, jo unikālā klienta atslēga vienmēr tiek iegūta no iepriekš dalītās atslēgas (Wi-Fi patentvārds). Tieši tāpēc tas ir nenozīmīgs, lai iegūtu klienta unikālo atslēgu, ja vien jums ir Wi- Fi frāzes un var uzņemt datplūsmu, kas nosūtīta, izmantojot asociācijas procesu.

WPA2-Enterprise atrisina šo ... Lielajiem tīkliem

Lielajām organizācijām, kas pieprasa drošus Wi-Fi tīklus, šo drošības vājumu var novērst, izmantojot EAP autorizāciju ar RADIUS serveri, ko dažkārt sauc par WPA2-Enterprise. Izmantojot šo sistēmu, katrs Wi-Fi klients saņem patiesi unikālu atslēgu. Nav Wi-Fi klientam pietiekamas informācijas, lai sāktu snoopēt uz citu klientu, tādēļ tas nodrošina daudz lielāku drošību. Šim nolūkam lieliem korporatīvajiem birojiem vai valsts aģentūrām būtu jāizmanto WPA2-Enteprise.

Bet tas ir pārāk sarežģīts un sarežģīts lielākajai daļai cilvēku - vai pat lielāko geeks - izmantot mājās. Wi-FI frāzes vietā jums ir jāievada ierīcēs, kurām vēlaties izveidot savienojumu, jums jāpārvalda RADIUS serveris, kas apstrādā autentifikācijas un atslēgu pārvaldību. Tas ir daudz sarežģītāk, lai mājas lietotāji varētu izveidot.

Faktiski tas pat nav vērts jūsu laiku, ja jūs uzticaties visiem jūsu Wi-Fi tīklam vai ikvienam, kam ir piekļuve jūsu Wi-Fi frāzei. Tas ir nepieciešams tikai tad, ja jūs esat izveidojis savienojumu ar WPA2-PSK šifrētu Wi-Fi tīklu publiskajā vietā - kafejnīcā, lidostā, viesnīcā vai pat lielākā birojā, kur arī citiem cilvēkiem, kuriem neuzticaties, ir arī Wi- FI tīkla frāze.

Tātad, vai debesis nokļūst? Nē, protams nē. Bet paturiet to prātā: Kad esat izveidojis savienojumu ar WPA2-PSK tīklu, citi lietotāji, kam ir piekļuve šim tīklam, var viegli uztvert jūsu datplūsmu. Neskatoties uz to, ko lielākā daļa cilvēku domā, šifrēšana nenodrošina aizsardzību pret citiem cilvēkiem, kam ir piekļuve tīklam.

Ja jums ir piekļūt sensitīvām vietnēm publiskā Wi-Fi tīklā, it īpaši vietnēs, kurās netiek izmantota HTTPS šifrēšana, apsveriet to, izmantojot VPN vai pat SSH tuneļu. WPA2-PSK šifrēšana publiskajos tīklos nav pietiekami laba.

Attēlu kredīts: Cory Doctorow par Flickr, Food Group par Flickr, Robert Couse-Baker par Flickr