Advarsel Krypterte WPA2 Wi-Fi-nettverk er fortsatt utsatt for snooping
Nå vet de fleste at et åpent Wi-Fi-nettverk gjør at folk kan avlyse på trafikken din. Standard WPA2-PSK-kryptering skal forhindre at dette skjer - men det er ikke så idiotsikkert som du kanskje tror.
Dette er ikke stor breaking news om en ny sikkerhetsfeil. Snarere er det slik WPA2-PSK alltid har blitt implementert. Men det er noe de fleste ikke vet.
Åpne Wi-Fi-nettverk vs. Krypterte Wi-Fi-nettverk
Du bør ikke være vert for et åpent Wi-Fi-nettverk hjemme, men du kan finne deg selv ved å bruke en offentlig - for eksempel i en kaffebar, mens du passerer gjennom en flyplass eller på et hotell. Åpne Wi-Fi-nettverk har ingen kryptering, noe som betyr at alt sendt over luften er "i det klare." Folk kan overvåke surfaktiviteten din, og enhver webaktivitet som ikke er sikret med kryptering, kan snoopes på. Ja, dette er selv sant hvis du må "logge inn" med et brukernavn og passord på en nettside etter at du har logget deg på det åpne Wi-Fi-nettverket.
Kryptering - som WPA2-PSK-kryptering vi anbefaler at du bruker hjemme - løser dette noe. Noen i nærheten kan ikke bare ta opp trafikken og snoop på deg. De får en masse kryptert trafikk. Dette betyr at et kryptert Wi-Fi-nettverk beskytter din private trafikk fra å bli snooped på.
Dette er litt sant - men det er en stor svakhet her.
WPA2-PSK bruker en delt nøkkel
Problemet med WPA2-PSK er at det bruker en "Pre-Shared Key". Denne nøkkelen er passordet eller passordet, du må skrive inn for å koble til Wi-Fi-nettverket. Alle som forbinder bruker samme passord.
Det er ganske enkelt for noen å overvåke denne krypterte trafikken. Alt de trenger er:
- Passordet: Alle som har tillatelse til å koble til Wi-Fi-nettverket, vil ha dette.
- Foreningen trafikk for en ny klient: Hvis noen fanger pakkene som sendes mellom ruteren og en enhet når den kobles, har de alt de trenger for å dekryptere trafikken (forutsatt at de også har passordet, selvfølgelig). Det er også trivielt å få denne trafikken via "deauth" -angrep som tvinges til å koble en enhet fra et Wi_Fi-nettverk og tvinge den til å koble til igjen, noe som forårsaker at tilknytningsprosessen skjer igjen.
Virkelig, vi kan ikke understreke hvor enkelt dette er. Wireshark har et innebygd alternativ for automatisk dekryptering av WPA2-PSK-trafikk så lenge du har den forhåndsdelte nøkkelen og har fanget trafikken til tilknytningsprosessen.
Hva dette egentlig betyr
Hva dette egentlig betyr er at WPA2-PSK ikke er mye mer sikker mot avlytting hvis du ikke stoler på alle på nettverket. Hjemme bør du være trygg fordi Wi-Fi-passordet ditt er en hemmelighet.
Men hvis du går ut til en kaffebar og bruker WPA2-PSK i stedet for et åpent Wi-Fi-nettverk, kan du føle deg mye tryggere i personvernet ditt. Men du bør ikke - alle med kaffebarens Wi-Fi-passord kan overvåke din surfingstrafikk. Andre personer på nettverket, eller bare andre personer med passordet, kan snøke på trafikken din hvis de ville.
Husk å ta dette med i betraktning. WPA2-PSK forhindrer folk uten tilgang til nettverket fra snooping. Men når de har nettverkspassordet, er alle spillene av.
Hvorfor forsøker ikke WPA2-PSK å stoppe dette?
WPA2-PSK prøver faktisk å stoppe dette ved bruk av en "parvis forbigående nøkkel" (PTK). Hver trådløse klient har en unik PTK. Dette hjelper imidlertid ikke mye fordi den unike perklientnøkkelen alltid er avledet fra den forhåndsdelte nøkkelen (Wi-Fi-passordet.) Derfor er det trivielt å fange en kundes unike nøkkel så lenge du har Wi- Fi passordfrase og kan fange trafikken sendt via tilknytningsprosessen.
WPA2-Enterprise løser dette ... For store nettverk
For store organisasjoner som krever sikre Wi-Fi-nettverk, kan denne sikkerhetssvakheten unngås ved bruk av EAP-autentisering med en RADIUS-server - noen ganger kalt WPA2-Enterprise. Med dette systemet får hver Wi-Fi-klient en virkelig unik nøkkel. Ingen Wi-Fi-klient har nok informasjon til å bare begynne å snooping på en annen klient, så dette gir mye større sikkerhet. Store bedriftskontorer eller offentlige byråer bør bruke WPA2-Enteprise av denne grunn.
Men dette er for komplisert og komplekst for det store flertallet av folk - eller til og med de fleste geeks - å bruke hjemme. I stedet for en Wi-FI passordfrase må du legge inn på enheter du vil koble til, du må administrere en RADIUS-server som håndterer godkjenning og nøkkeladministrasjon. Dette er mye mer komplisert for hjemmebrukere å sette opp.
Faktisk er det ikke engang verdt tiden din hvis du stoler på alle på Wi-Fi-nettverket, eller alle som har tilgang til Wi-Fi-passordet ditt. Dette er bare nødvendig hvis du er koblet til et WPA2-PSK-kryptert Wi-Fi-nettverk på et offentlig sted - kaffebar, flyplass, hotell eller til og med et større kontor - hvor andre du ikke stoler på, har også Wi- FI-nettets passordfras.
Så er himmelen fallende? Nei selvfølgelig ikke. Men vær oppmerksom på dette: Når du er koblet til et WPA2-PSK-nettverk, kan andre personer med tilgang til det aktuelle nettverket enkelt snuse på trafikken din. Til tross for det de fleste tror kan kryptering ikke gi beskyttelse mot andre mennesker med tilgang til nettverket.
Hvis du må ha tilgang til sensitive nettsteder på et offentlig Wi-Fi-nettverk - spesielt nettsteder som ikke bruker HTTPS-kryptering - bør du vurdere å gjøre det gjennom et VPN eller en SSH-tunnel. WPA2-PSK-kryptering på offentlige nettverk er ikke god nok.
Image Credit: Cory Doctorow på Flickr, Food Group på Flickr, Robert Couse-Baker på Flickr