Jak zadbać o bezpieczeństwo Wi-Fi w naszym domu

Ujawniona w tym tygodniu przez ekspertów luka została nazwana KRACK, czyli w skrócie Key Reinstallation Attacks. Bazuje ona na bardzo prostym mechanizmie obejścia zabezpieczeń poprzez ponowne wykorzystanie klucza szyfrującego w celu odszyfrowania połączenia. Atak musi zostać przeprowadzony podczas tak zwanego handshake'u, czyli procesu tworzenia nowego klucza do szyfrowania komunikacji.

Problemy z kluczem szyfrującym po raz kolejny doprowadziły o dyskusji nad zabezpieczeniami domowych sieci bezprzewodowych.

W czasach, gdy standard Wi-Fi był jeszcze czymś nowym, badacze odkryli olbrzymie problemy związane z zabezpieczeniami protokołu WEP, który miał, według jego autorów, zapewniać prywatność komunikacji na poziomie połączenia kablowego - stąd jego nazwa Wired Equivalent Privacy.

Błędy projektowe algorytmów WEP skutkują tym, że przy odpowiednich warunkach, pokonanie jego zabezpieczeń zajmuje mniej niż minutę. Znacząco pomaga fakt, że możliwe jest ponowne wstrzykiwanie raz już zarejestrowanych pakietów (brak skutecznej ochrony przed powtórzeniami). Producenci szybko stworzyli tymczasowe rozwiązanie problemu, tak aby nie była konieczna natychmiastowa wymiana starych urządzeń, których moc obliczeniowa nie pozwalała na stosowanie bardziej wyrafinowanych metod szyfrowania. Powstały TKIP oraz standard WPA. Niezbędne było jednak zastosowanie nowej, znacznie bezpieczniejszej technologii.

W 2004 r. komitet IEEE opublikował standard 802.11i (w kolejnych latach pojawiły się nowe standardy), który naprawiał wszystkie znane problemy mechanizmów WEP, umożliwiając wykorzystanie bezpiecznego protokołu szyfrującego AES CCMP. Choć od tamtej pory odkryto nowe luki w bezpieczeństwie starszych protokołów (WEP oraz TKIP) żaden poważny atak na WPA2 z AES nie był znany, a sam protokół uważany był za wystarczająco bezpieczny, by wdrażać go nawet w sieciach wymieniających niezwykle ważne dane. Jak jednak pokazał opublikowany w tym tygodniu raport - złamanie zabezpieczeń nadal jest możliwe.

Realne zagrożenie różni się w zależności od atakowanej platformy (systemu operacyjnego). Należy pamiętać, że atak możliwy jest w stronę klienta bezprzewodowego (tabletu, telefonu, komputera, itd) - tłumaczą nam eksperci z firmy Trend Micro.

Jak chronić się przed nowoodkrytymi podatnościami? Należy przede wszystkim zaktualizować oprogramowanie urządzeń klienckich Wi-Fi - laptopów, smartfonów, tabletów oraz urządzeń IoT wyposażonych w karty sieciowe w standardzie 802.11. I właśnie z tymi ostatnimi może być pewien problem, ponieważ producenci nie zawsze publikują stosowne poprawki ich oprogramowania układowego.

Problem może też pojawić się w przypadku urządzeń z Androidem, gdyż słabe wsparcie ze strony producentów sprzętu powoduje, że relatywnie duża ilość urządzeń może nadal działać w oparciu o podatny kod, ponieważ nie będą dostępne dla nich nowe wersje oprogramowania.

Nawet w przypadku wyeliminowania błędu KRACK, domowe routery Wi-Fi stanowią łatwy cel ataku. Zawsze warto pamiętać o poniższych punktach.

Wymyśl silne hasło

Najsłabszym punktem standardu WPA-PSK jest hasło. Silny algorytm zabezpieczający uniemożliwia atak kryptograficzny, dlatego hakerzy liczą na lenistwo użytkowników i atakują hasła, zwykle bardzo proste. Wiele analiz statystycznych haseł, sporządzonych na przykładzie baz danych konkretnych serwisów), pokazuje, że najbardziej popularnym hasłem jest ciąg znaków 123 456. Wysoką pozycję mają także password lub Password1.

Zmień hasło admina

Przy domyślnych ustawieniach można się zalogować do panelu administracyjnego routera, będąc wewnątrz sieci. Zmiana hasła administracyjnego do routera jest niezbędna, by haker po włamaniu do sieci nie mógł się dostać do panelu administracyjnego i np. nie przejął całkowitej kontroli nad siecią. Chodzi też o to, by osoby niepowołane (np. dzieci, sąsiad, któremu dałeś login do sieci Wi-Fi) nie grzebały w ustawieniach. Dobrze jest także zmienić domyślną nazwę konta administracyjnego (zwykle "admin"), choć nie zawsze jest to możliwe.

Ukryj nazwę sieci

Skutecznym utrudnieniem dla hakera jest zablokowanie funkcji rozgłaszania nazwy sieci (SSID broad-o tym, jak nazywa się sieć, dzięki czemu użytkownik może wybrać jej nazwę z menu i łatwo się do niej podłączyć. To jednak funkcja przydatna przede wszystkim dla publicznych hotspotów. Ponieważ do swojej domowej sieci nie chcesz zapraszać osób postronnych, wyłącz tę funkcję w panelu administracyjnym routera. Dzięki temu haker oprócz hasła będzie musiał odkryć także nazwę twojej sieci. Musisz również zmienić domyślną nazwę sieci bezprzewodowej. Zazwyczaj jest to nazwa producenta routera (np. dlink, linksys) albo nazwa usługodawcy, jeśli router dostarczyła firma telekomunikacyjna. Lepiej unikać popularnych nazw sieci. Nie używaj także oczywistych haseł typu: sieć, domek czy imienia, nazwiska lub nazwy ulicy.

Ustaw statyczne IP

Kolejnym zabezpieczeniem jest wyłączenie serwera DHCP, czyli mechanizmu przydzielania adresów IP komputerom podłączającym się do sieci. Zamiast tego w panelu administracyjnym ustaw statyczne adresy IP i powiąż je z adresami MAC używanych komputerów. Jedyną niewygodą jest wpisanie stałego IP i DNS-ów w parametrach protokołu IP wszystkich komputerów, które przewodowo lub bezprzewodowo łączą się z konfigurowanym routerem. W Windows stosowne opcje znajdziesz w panelu właściwości karty sieciowej.

Aktualizuj oprogramowanie routera

Routery - jak praktycznie każde dostępne na rynku urządzenie - również wymaga regularnej aktualizacji oprogramowania. Tymczasem użytkownicy przez lata nie interesują się leżącymi w kącie, i zbierającymi kurz, routerami. "Dopóki działa Internet, nie ma przecież problemu" - myśli wielu internautów. Warto zaglądnąć do instrukcji naszego routera i przeprowadzić stosowną aktualizację oprogramowania.