Največja varnostna luknja vseh časov? Ogroženi smo čisto vsi.

Kljub veliki varnostni grožnji vam novega omrežnega usmerjevalnika vendarle še ne bo treba kupiti, saj je ranljivost mogoče odpraviti s posodobitvijo programske opreme. Foto: Thinkstock

Kaj je WPA2

Kdor se je že kdaj povezoval z brezžičnim omrežjem Wi-Fi ali pa vzpostavljal svoje, je zagotovo že naletel na kratico WPA2. Gre za varnostni protokol, ki se uporablja za zaščito in šifriranje internetnega prometa v brezžičnem omrežju. Z omrežjem, ki je zaščiteno z WPA2, se ne moremo povezati, če nimamo ustreznega ključa oziroma, po domače, gesla. 

Da je brezžično omrežje zaščiteno s protokolom WPA2, na večini naprav, ki se z njim lahko povežejo, izdaja tale majcena ključavnica. Foto: Matic Tomšič

Protokol WPA2 je glavni standard za zaščito omrežij Wi-Fi od leta 2003. Takrat je zamenjal protokol WEP, za katerega so v mednarodnem združenju Wi-Fi Alliance, ki upravlja brezžične standarde, sklenili, da je premalo varen za zaščito omrežij. 

Slabe novice

Strokovnjak za informacijsko varnost Mathy Vanhoef je zdaj ugotovil, da tudi protokol WPA2 ni neprebojen, temveč ga je mogoče prelisičiti s tehniko, ki jo je poimenoval KRACK.

Raziskavo Vanhoefa so zaradi razsežnosti problematike povzele številne organizacije za informacijsko varnost, med drugim tudi slovenski nacionalni odzivni center za obravnavo incidentov s področja varnosti elektronskih omrežij (ali SI-CERT). 

Vanhoef opozarja, da lahko ranljivost KRACK morebitnemu napadalcu omogoči, da obide zaščito WPA2, se postavi med napravo žrtve in brezžično dostopno točko (usmerjevalnik) ter prestreže ves spletni promet. Ukrade lahko praktično vse najbolj občutljive osebne podatke, kot so uporabniška imena, gesla, številke kreditnih kartic, elektronska sporočila, tudi fotografije. 

KRACK varnostno luknjo v protokolu WPA2 izkorišča tako, da zlorabi štiristopenjski proces identifikacije, ki ga morajo ob povezovanju v brezžično omrežje Wi-Fi opraviti naprave. Prisili jih, da tretji korak ponavljajo znova in znova, medtem pa ustvari klon izvirnega omrežja in napravo prisili, da se z dostopno točko poveže prek njega. Na ta način lahko opazuje in prestreza izmenjavo informacij v brezžičnem omrežju.  Foto: Thinkstock

Na pravkar odkrito varnostno luknjo so še posebej občutljive naprave z operacijskim sistemom Android, ki jih, predvsem pametne telefone, uporablja več milijard ljudi, in računalniki z operacijskim sistemom Linux. Njim nekateri strokovnjaki za računalniško varnost v odzivu na odkritje Vanhoefa svetujejo, naj do izdaje popravkov, ki bodo zakrpali protokol WPA2, sploh ne uporabljajo brezžičnih omrežij. 

Demonstracija napada prek KRACK:

Dobre novice

Čeprav gre za šokantno razkritje, saj varnostna luknja KRACK ogroža praktično vsa brezžična omrežja na svetu, vse vendarle ni črno. 

Združenje Wi-Fi Alliance uporabnike brezžičnih omrežij bodri, da je težava programske narave in da jo je mogoče odpraviti z nadgradnjami programske opreme. Veliki proizvajalci omrežne opreme in naprav, ki se povezujejo z brezžičnimi omrežji, že izdajajo varnostne popravke, ki bodo uporabnikom na voljo v prihodnjih dneh, zagotavlja Wi-Fi Alliance.

Druga olajševalna okoliščina je, da napada, ki bi zlorabil ranljivost KRACK, še nismo zaznali, če pa bi se začeli dogajati, bodo lokalizirani. Napadalec namreč ne more izkoristiti varnostne luknje, če ni v bližini brezžične dostopne točke, kar pomeni, da možnosti za množični svetovni napad praktično ni. 

Kaj lahko storimo

V slovenskem nacionalnem odzivnem centru SI-CERT vsem uporabnikom svetujejo, naj varnostne posodobitve za svoje naprave in omrežno opremo (usmerjevalnik oziroma ruter) namestijo takoj, ko bodo na voljo. 

Nekateri varnostni strokovnjaki uporabnikom predlagajo, naj se v vmesnem času ogibajo uporabi javnih brezžičnih omrežij. 

Za dodaten sloj zaščite lahko uporabite tudi navidezno zasebno omrežje oziroma VPN.