KRACK – zranitelnost WiFi sítí

Útočníci mohou číst potenciálně veškerý provoz

Pokud používáte klientská zařízení (notebook, mobil, tablet apod.), která jsou zranitelná a jste připojení do zranitelné sítě, tak útočníci v její fyzické blízkosti (desítky metrů) mohou číst veškerý provoz, který není dodatečně šifrován.

Pokud však při připojení na WiFi používáte VPN, tak vás tato zranitelnost neohrožuje v takové míře. Stejně tak nejste ohroženi při využívání služeb, které využívají protokol HTTPS. Technologie VPN, protokol HTTPS či jiné šifrované protokoly přidávají další vrstvu šifrování, díky které útočník nedokáže tento provoz na síti číst.

Jakých zařízení se zranitelnost týká?

Zranitelné je téměř každé zařízení využívající WPA2. Zranitelná tedy mohou být jak klientská zařízení, tak síťové prvky poskytující WiFi připojení. Některé typy klientských zařízení jsou však zranitelné na více typů útoků, využívajících tuto zranitelnost.

Nejvíce zranitelná jsou zařízení s operačním systém Linux (wpa_supplicant 2.4 a vyšší) a Android 6.0 a vyšší. Z dalších běžně užívaných zařízení se jedná o zařízení s OS X 10.9.5 a macOS Siera 10.12. Zařízení s OS Windows a iOS 10.3.1 jsou zranitelná pouze minimálně. Seznam zranitelných síťových prvků je dostupný na webu cert.org.

Jak tuto zranitelnost opravit?

Jediným možným způsobem opravy je instalace aktualizací na zranitelném zařízení. Aktualizace pro hlavní operační systémy (Linux, macOS a Windows) jsou již k dispozici, případně budou k dispozici v následujích dnech.

U Androidu je dostupnost záplat tradičně velmi problémová, proto doporučujeme používat VPN při připojení k WiFi. Řešením může být také využítí mobilní sítě pro přístup k citlivým službám.

Zranitelnost může být zneužita pouze tehdy, pokud ji obsahuje klientské zařízení i síťový prvek. Možnost zneužití je tak limitována tím, že útočník musí být ve fyzické blízkosti dané sítě. Přesto doporučujeme aktualizovat firmware i domácích WiFi routerů, pokud byla aktualizace vydána.

Je také důležité poznamenat, že zranitelnost neohrožuje přístupové heslo sítě chráněné WPA2, proto jej v tomto případě není nutné měnit.

Závěrem

Mějte na paměti, že se vystavujete riziku vždy, když se připojujete do neznamých WiFi sítí (kavárny, letiště a veřejně dostupné sítě). Je proto dobré využívat technologii VPN. Znovu tedy platí, že se lze nepříjemnostem vyhnout skrze prevenci.

Nakonec dodáváme, že správci univerzitní WiFi síť eduroam, již byli naším týmem o zranitelnosti informováni a nyní pracují na jejím zabezpečení.

Zdroje

• https://mobil.idnes.cz/krack-zranitelnost-zabezpeceni-wpa2-wifi-bezdratove-site-hacker-utok-key-reinstallation-attacks-nonc-ibk-/mob_tech.aspx?c=A171016_135324_sw_internet_pka
• https://www.krackattacks.com/
• https://papers.mathyvanhoef.com/ccs2017.pdf
• http://blog.erratasec.com/2017/10/some-notes-on-krack-attack.html#.WeSp1BNSzOR
• https://it.muni.cz/sluzby/vpn