Det behøver sandsynligvis ikke at gentage, at WEP-sikkerhed for Wi-Fi for længe siden er blevet åbnet bredere end Humpty Dumpty i et jordskælv, og heller ikke at WPA er så sikker som et Lib Dem-parlaments flertal. Og alligevel afslører en nylig undersøgelse af webhosting-outfit UK2 i forbindelse med YouGov, at den britiske offentlighed, hvis du bliver spurgt, er din Wi-Fi-forbindelse krypteret? vil typisk svare ikke bedømt.
skæbne 2 hvad du har brug for at vide
Af de adspurgte kontrollerer 56% aldrig eller sjældent for at se, om et hotspot er krypteret, før de logger ind på det. Disse samme folk er langt mere tilbøjelige til at sikre deres hjem-Wi-Fi, så det er ikke kun en manglende bevidsthed, men mere som et overskud af tillid. Stol på, det vil sige på hotellet eller kaffebaren eller puben, der tilbyder Wi-Fi gratis - og tjenesteudbyderen.
For at få adgang til dit angiveligt sikre trådløse netværk kræver han ikke fysisk adgang til din router, computer eller andet
Sådan tillid er ofte misbrugt, hvilket er, hvor den potentielle sikkerhedsrisiko ligger, og som stiller mig pænt op til den faktiske historie, der fangede min opmærksomhed - nemlig at Wi-Fi Protected Setup (WPS) -protokollen er blevet godt og virkelig kompromitteret. WPS er den knap, du sandsynligvis har trykket på for at sikre din trådløse router, da du konfigurerede den til dit hjemmenetværk eller et lille virksomhedsnetværk, den, der hjælpsomt fjernede al den manuelle sikkerhedskonfiguration og gjorde opsætningen af trådløs sikkerhed både enkel og hurtig. Eller så tænkte du.
Sandheden er mindre opmuntrende, fordi WPS er sårbar over for angreb, men ikke den store røde knapdel af den. Der er et andet aspekt ved WPS, der ikke kommer via et knaptryk, men via en otte-cifret PIN-kode for at indtaste, og det er denne PIN-version af WPS-protokollen, der har vist sig at være meget mindre sikker end alle antog. Det viser sig, at hackeren ikke behøver at afdække alle otte cifre for at knække denne kryptering via et standardbrute-force-angreb, hvilket ville kræve meget tid og computerkraft. I stedet skal de kun dechiffrere de første fire cifre i PIN-koden.
stjerner ud for navne på snapchat
Ja, du læste det korrekt: den sikre pinkode er ikke så sikker. Selvfølgelig bruger bankkort en firecifret PIN-kode, og både bankerne og deres kunder synes glade nok til at sætte deres lid til dette, når de bruger kort i en pengeautomat, men der er en stor forskel mellem disse to tilsyneladende identiske tilfælde af godkendelse.
For at tage dine penge ud af en pengeautomat, skal enhver dårlig fyr være i besiddelse af dit fysiske kort samt være i stand til at gætte eller på anden måde få PIN-koden. For at få adgang til dit angiveligt sikre trådløse netværk kræver han derimod ikke fysisk adgang til din router, computer eller andet - han kan bare indstille sin egen pc til at prøve alle mulige kombinationer. (Der er et nyttigt, hvor længe jeg knækker min adgangskodeberegner på Steve Gibson GRC-sikkerhedswebsted : matematik-boffins vil påpege dens mangler, men det er godt nok til estimater af back-of-a-fag-pakke.)
Sikkerhedsforskere har frigivet et værktøj kaldet Reaver, der kan udnytte denne fejl og gør det muligt for enhver at knække den enklere WPS-pinkode og få adgang til cleartext-versionen af routerens WPA2 pre-shared key (PSK), som derefter afsløres som et resultat. Den fulde PIN-kode ville have mere end ti millioner kombinationer, men den reducerede cifre PIN-kode har kun 11.000 eller deromkring. Husk, det betyder ikke noget, hvor kompleks PSK ligger bag din PIN-kode - ved at bruge WPS PIN-metoden har du beskyttet dit Wi-Fi-netværk ved hjælp af, hvad der faktisk kun er fire cifre.
En Google-søgning efter PSK-hacking-tutorials vil vise, at selv uden denne WPS PIN-sårbarhed er det ret muligt at finde en WPA2-PSK med brutal kraft, men det ville tage meget længere tid, og en potentiel hacker ville have brug for en meget god grund til at investere tiden og krævede ressourcer. Reducer tid og ressourcebehov tilstrækkeligt, og pludselig bliver din router og Wi-Fi-netværk mere attraktive mål for et afslappet hack.
Det er ikke alle dårlige nyheder: Du kan simpelthen deaktivere WPS-funktionen på din router for at fjerne den PIN-kode, som Reaver gerne vil have. Jeg tror, men har i skrivende stund ingen detaljer til at bakke denne tro på, at en række routerproducenter enten har frigivet eller arbejder på firmwareopdateringer for at lukke sårbarheden, antager man ved at slukke for PIN-koden (som ikke alle routere har en brugerkonfigurationsmulighed til).
Endnu bedre, start forfra og opret dit Wi-Fi-netværk ved hjælp af en lang og kompleks PSK for at gøre brutale kraftangreb upraktiske: tænk i form af 32 tegn eller mere med den sædvanlige blanding af bogstaver, tal og specialtegn. Ved hjælp af den Haystack-lommeregner, jeg nævnte ovenfor, vil du se, at en simpel firecifret PIN kun tager sekunder at knække, men et komplekst 32-tegns kodeord ville tage 6,22 tusind billioner billioner billioner århundreder - selv under et værste tilfælde af en massiv cracking array bruges til at udføre hundrede billioner gæt hvert sekund!
hvordan man ændrer Google-konto til standard
WPA2-PSK, den foruddelte nøgleimplementering, der er elsket af den stereotype farlige lille forretningsmand, blev knækket for et par år siden, og WPA2 med TKIP er heller ikke en sikker mulighed, hvilket gør Wi-Fi - for mange mennesker - ganske simpelthen usikker. WPA2 med AES er okay, ligesom WPA2-Enterprise med en RADIUS-godkendelsesserver eller endda WPA2-PSK med en nøgle på 32 tegn. Da WPA2-PSK faktisk understøtter nøgler på op til 63 tegn, og de fleste trådløse enheder cache den nøgle for evigt, så den kun skal indtastes en gang, er det ikke så svært at finde ud af, hvad du skal gøre - alligevel er lange adgangskoder stadig for ofte set som unødvendige og for komplekse. Suk…
