WPA2 – bezpečnostná chyba

Wi-fi siete sú dnes bežnou súčasťou nášho digitálneho života a snáď sa dnes nenájde jedinec, ktorý by sa k nejakej nepripájal. A tak asi nikoho z nás nepoteší, že tento týždeň bola prelomená pravdepodobne najčastejšie používaná bezpečnostná ochrana – WPA2.

Šifrovací štandard WPA2 sa dnes využíva u väčšiny verejných aj súkromných Wi-Fi sieti. Najčastejšie so zdieľaným heslom vo verzii WPA2-Personal (WPA2-PSK ) u bežných užívateľoch či menších podnikoch a vo väčších firmách a organizáciách vo verzii WPA2-Enterprise, ktorá využíva externú autentifikáciu a umožňujúcej používať rozličným užívateľom rozličné prihlasovacie údaje.
Používate aj vy šifrovací štandard WPA2?

O prelomení WPA2 informoval server Arstechnica s odvolaním na časť oznámenia US-CERT, ktoré jasne zvýrazňuje problém so zabezpečením WPA2, ktorému boli pridelené aj CVE čísla zraniteľností -CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081, CVE-2017-13082, CVE-2017-13084, CVE-2017-13086, CVE-2017-13087, CVE-2017-13088.

Na chybu upozornil bezpečnostný expert Mathy Vanhoef z belgickej univerzity KU Leuven a exploit dostal označenie KRACK (Key Reinstallation AttaCK). KRACK využíva chybu behom otvárania bezpečného spojenia medzi Wi-fi routrom(AP) a vašim zariadením(mobilom, tabletom, počítačom). Behom tohto procesu si obe zariadenia v 4 krokoch(4-way handshake) vymieňajú šifrovacie kľúče a práve v treťom kroku(umožňujúcom preposlať kľúč viackrát) dokáže útočník ten kľúč získať. Následne môže útočník odpočúvať tok dát na sieti a získať tak všetky informácie (hesla, čísla platobných kariet, správy, e-maily, fotky atď).

Mathy Vanhoef chybu demonštroval na Androide. Ohrozené sú ale praktický všetky systémy či už Windows, Linux, iOs, Mac Os, OpenBSD, MediaTek a LinkSys. Wi-Fi Alliance, ktorá združuje výrobcov bezdrôtových zariadení a stará sa o štandard, jedná s členmi o riešení problému. Členovia aliancie pravdepodobne neskôr aktualizujú firmware routrov a ďalších bezdrôtových zariadení. Microsoft po zverejnení chyby vydal vyhlásenie, že Windows sú po poslednej aktualizácii pred exploitom KRACK v bezpečí. Google oznámil, že v blízkej dobe vydá opravu pre Android Os, ktorej sa najskôr dočkajú nové Pixely. Apple sa k problému zatiaľ nevyjadril. Samotný užívateľ by sa mal ale vyhýbať nezabezpečeným stránkam(bez zeleného zámku v adresnom riadku) pri ktorých je možné chybu využiť a prelomiť SSL.

WPA2 je postavený na šifrovacom protokole CCMP postavenom na AES. Ide o tretiu hlavnú šifrovaciu schému pre WiFi, predchádzajúce dve WEP a TKIP postavený na RC4 použitý vo WPA boli prelomené obe už pred viacerými rokmi. Bohužiaľ stále veľa domácnosti u nás využíva aj staré riešenie WEP.