לאחרונה התגלה הפרת אבטחה משמעותית במסגרת הפרוטוקול המנהל את כל נתבי ה- Wi-Fi בסופו של דבר. להלן תובנה על המילה שנמצאת עד כה.
אם יש לך רשת Wi-Fi בבית שלך, אתה בוודאי נתקל במסך אחד או יותר לגבי WEP וזה WPA2 המחליף. שניהם פרוטוקולי אבטחה שפותחו על ידי ה- Wi-Fi Alliance המסייעים להרחיק משתמשים לא רצויים מלהציץ לאילו אתרים אליהם אתם ניגשים מהמחשב.
WEP הוכרז כפרוטוקול "לא בטוח" עוד בשנת 2003 והוחלף מאוחר יותר ב- WPA & WPA2, אולם נראה כי WPA2 גם הוא בכיוון זה. מתי וונהוף , חוקר פוסט-דוקטורט בתחום אבטחת מחשבים, חשף ליקוי גדול בפרוטוקול WPA2 המאפשר להאקר בטווח הקורבן לנצל את הפרת האבטחה הזו באמצעות K ey R einstallation A ttacks או מה שמתי וונהוף מכנה זאת, טכניקת KRACK .
לדבריו, האקרים יכולים להשתמש בשיטה זו כדי לקרוא מידע רגיש כמו מספרי כרטיסי אשראי, סיסמאות, מיילים ותמונות וכו ', אשר הונחו בעבר כמוצפנים בצורה מאובטחת. KRACK זה פועל נגד כל רשתות ה- Wi-Fi המודרניות המוגנות, ובהתאם לתצורת הרשת, כעת ניתן לתוקפים להזרים קודים זדוניים ולתמרן את הנתונים שלך בקלות.
כדי לאמת עוד יותר את הפרת האבטחה הזו, ונהוף ביצע מתקפת הדגמה בסמארטפון אנדרואיד, שם התוקף מסוגל לפענח נתונים רגישים שהמשתמש מעביר דרך רשת ה- Wi-Fi שלו. הוא הוסיף כי ניתן לאמת את אנדרואיד ולינוקס להתקין מחדש מפתח הצפנה באפס, מה שהופך את שתי מערכות ההפעלה הללו לפגיעות ביותר בהשוואה למערכות הפעלה אחרות שקצת קשה יותר לפענח אותן.
ההתקפה של וונהוף לא הייתה מוגבלת רק לשחזור אישורי כניסה בלבד והוא קובע כי כל מידע שהקורבן שולח או מקבל אפשרי לפענח. למרות שאתרים עשויים להשתמש ב- HTTPS כשכבת הגנה נוספת, Vanhoef מזהיר כי עדיין ניתן להתחמק מההגנה הנוספת הזו כפי שנעשתה בעבר.
השתמש ב- VPN של Ivacy כדי להישאר ברור מהאקרים הגישה לנתונים הפרטיים שלך.מבחינה טכנית ההתקפה של וונהוף היא נגד לחיצת היד הידנית של פרוטוקול WPA2. נכון לעכשיו, כל רשתות ה- Wi-Fi המודרניות המוגנות משתמשים בלחיצת יד 4-כיוונית זו. לחיצת יד זו מתבצעת כאשר משתמש רוצה להצטרף לרשת Wi-Fi "מוגנת" ולאשר ששני הצדדים חולקים את אותם האישורים. כאשר המשתמש מצטרף לרשת ה- Wi-Fi, הוא מחליף מפתח הצפנה טרי. מקש זה יותקן לאחר קבלת ההודעה 3 של לחיצת היד 4-כיוונית. לאחר התקנת מפתח זה ישמש להצפנת מידע באמצעות פרוטוקול הצפנה. זה המקום בו KRACK נכנס ומשתלט עליו. התוקף משליך את הקורבן להתקין מחדש מפתח שכבר נמצא בשימוש.
זה המקום בו KRACK נכנס ומשתלט עליו. התוקף משליך את הקורבן להתקין מחדש מפתח שכבר נמצא בשימוש. כתוצאה מכך הלקוח מקבל הודעה 3 פעמים. ניתן להשיג זאת על ידי מניפולציה והפעלה מחדש של לחיצות יד קריפטוגרפיות. ברגע שהקורבן מתקין מחדש את המפתח, מגבלות הקשורות כגון מספר המנות המשדר (nonce) ומספר המנות (מונה הפעלה חוזרת) מתאפסות לערכן המקורי. בעיקרון, כדי להבטיח אבטחה, יש להתקין מפתח ולהשתמש בו פעם אחת בלבד. לרוע המזל, וונהוף גילה שהדבר אינו נהוג על ידי פרוטוקול WPA2 ועל ידי מניפולציה של לחיצת יד זו 4 כיוונית, הם ניצלו לרעה את החולשה הזו והדגימו את חוסר הביטחון של המידע הרגיש שלנו.
כתוצאה מכך הלקוח מקבל הודעה 3 פעמים. ניתן להשיג זאת על ידי מניפולציה והפעלה מחדש של לחיצות יד קריפטוגרפיות. ברגע שהקורבן מתקין מחדש את המפתח, מגבלות הקשורות כגון מספר המנות המשדר (nonce) ומספר המנות (מונה הפעלה חוזרת) מתאפסות לערכן המקורי. בעיקרון, כדי להבטיח אבטחה, יש להתקין מפתח ולהשתמש בו פעם אחת בלבד. לרוע המזל, וונהוף גילה שהדבר אינו נהוג על ידי פרוטוקול WPA2 ועל ידי מניפולציה של לחיצת יד זו 4 כיוונית, הם ניצלו לרעה את החולשה הזו והדגימו את חוסר הביטחון של המידע הרגיש שלנו.
השתמש ב- VPN של Ivacy כדי להישאר ברור מהאקרים הגישה לנתונים הפרטיים שלך.לרוע המזל, וונהוף גילה שהדבר אינו נהוג על ידי פרוטוקול WPA2 ועל ידי מניפולציה של לחיצת יד זו 4 כיוונית, הם ניצלו לרעה את החולשה הזו והדגימו את חוסר הביטחון של המידע הרגיש שלנו.
על פי ההצהרה שהוצגה על ידי ה- WiFi Alliance, "ניתן לפתור בעיה זו באמצעות עדכוני תוכנה. תעשיית ה- Wi-Fi המורכבת מספקיות פלטפורמה מרכזיות כבר החלה לפרוס טלאים למשתמשי ה- Wi-Fi שלהם. "
כעת, מומלץ לימים הקרובים, נסו להימנע מחיבור ל- Wi-Fis ציבורי ונסו לדבוק באתרים העוקבים אחר פרוטוקולי HTTPS. השגיח על המדבקות והתקן אותם ברגע שהם זמינים כדי להימנע מפרצות אבטחה ולסיכון למידע הרגיש הערך שלך.
