Dňa 16.10.2017 bezpečnostný analytik Mathy Vanhoef zverejnil širokej verejnosti vážnu bezpečnostnú chybu vo WPA2 protokole. WPA2 protokol sa bežne používa na šifrovanie komunikácie pri použití Wi-Fi, jeho predchodcovia sú WPA a WEP.
Aj po objavení tejto chyby neodporúčame, aby ste menili nastavenia na svojich routeroch na akýkoľvek zo starších protokolov (WPA a WEP). Zároveň nie je nutný nový protokol (napr. WPA3), stačí, aby bola opravená špecifikácia a jednotlivé implementácie WPA2 protokolu na platformách.
Zmenou hesla nedokážete zabrániť útoku v prípade, že je váš router náchylný na túto chybu. Zároveň pri zneužití tejto chyby útočník nedokáže získať vaše Wi-Fi heslo.
Útočník dokáže odchytiť a dešifrovať dáta posielané medzi pripojenými zariadeniami a Wi-Fi routerom. Na zneužitie útoku však musí byť útočník v blízkosti danej Wi-Fi, nemôže byť vzdialený na kilometre ďaleko.
V prípade používania HTTPS komunikácie však nie je možné, aby útočník prečítal túto ďalšiu vrstvu šifrovania, preto odporúčame sledovať či pri návšteve webových stránok komunikácia prebieha cez tento protokol.
Chyba sa nachádza pri inicializácii spojenia medzi zariadením a Wi-Fi routerom (počas tzv. WPA2 four-way-handshake-u), kedy útočník môže aj po inicializácii jeden z krokov viacnásobne zopakovať a tak reinicializovať stav a kľúč. Samotná špecifikácia však jasne určuje, že na garantovanie bezpečnosti by mal byť kryptografický kľúč inicializovaný iba raz.
Útočníci dokážu zneužiť túto chybu a tak prečítať dáta posielané zariadeniami pripojenými cez Wi-Fi. V prípade používania ďalšej vrstvy šifrovania napr. prostredníctvom protokolu HTTPS sa však jednotlivci a firmy nemusia obávať, pretože tieto dáta nebude možné útočníkom dešifrovať. Jednotlivcom a firmám radíme aby sa držali nasledovných odporúčaní
Odporúčame aktualizovať softvér na všetkých zariadeniach (router, počítače, mobily), a tým získať opravu tejto chyby. Na nasledovnom blogu je možné sledovať, na ktorých platformách už môžete nájsť opravy pre túto chybu: https://char.gd/blog/2017/wifi-has-been-broken-heres-the-companies-that-have-already-fixed-it
Hrozbu zneužitia tejto chyby môžete eliminovať prostredníctvom pripojenia cez ethernetový kábel namiesto pripojenia cez Wi-Fi. V prípade mobilných zariadení je namiesto toho možné používať dátové pripojenie namiesto Wi-Fi pripojenia a zároveň možnosť Wi-Fi na mobile vypnúť
Odporúčame sledovať, či komunikácia prebieha cez HTTPS protokol. To sa dá odsledovať v prehliadači tým, že je pri návšteve webovej stránky zobrazená ikona zámku a navštívená linka začína textom “https://”.
Ideálne však odporúčame používateľom inštaláciu HTTPS Everywhere rozšírenie do prehliadača. Postup ako na to, nájdete popísaný v našom predchádzajúcom článku: “Ako zlepšiť svoje súkromie a pohodlie on-line inštaláciou troch rozšírení do prehliadača Google Chrome (video návod)”
V prípade návštevy stránok s veľmi citlivými údajmi (napr. internet banking) vo všeobecnosti odporúčame zapnutie dvojfaktorovej autentifikácie (2FA).
