Это не огромная новость о новом недостатке безопасности. Скорее всего, это способ WPA2-PSK всегда был реализован. Но это то, что большинство людей не знает.
Открытые сети Wi-Fi и шифрованные сети Wi-Fi
Вы не должны размещать открытую сеть Wi-Fi дома, но вы можете использовать ее публично - например, в кафе, при проезде через аэропорт или в отель. Открытые сети Wi-Fi не имеют шифрования, что означает, что все, что отправлено по воздуху, «в ясности». Люди могут контролировать вашу активность в браузере, и любая веб-активность, которая не защищена с помощью самого шифрования, может быть отслежена. Да, это даже верно, если вам нужно «войти» с именем пользователя и паролем на веб-странице после входа в открытую сеть Wi-Fi.
Шифрование - например, шифрование WPA2-PSK, которое мы рекомендуем использовать дома, - это немного исправляет. Кто-то рядом не может просто просто захватить ваш трафик и следить за вами. Они получат кучу зашифрованного трафика. Это означает, что зашифрованная сеть Wi-Fi защищает ваш частный трафик от вторжения.
Это верно, но здесь есть большая слабость.
WPA2-PSK использует общий ключ
Проблема с WPA2-PSK заключается в том, что он использует «предварительный общий ключ». Этот ключ является паролем или парольной фразой, которую вы должны ввести для подключения к сети Wi-Fi. Каждый, кто подключается, использует одну и ту же кодовую фразу.
Пользователю довольно легко контролировать этот зашифрованный трафик. Все, что им нужно, это:
- Кодовая фраза: У всех, у кого есть разрешение на подключение к сети Wi-Fi, будет это.
- Трафик ассоциации для нового клиента: Если кто-то захватывает пакеты, отправленные между маршрутизатором и устройством при его подключении, у них есть все необходимое для дешифрования трафика (при условии, что они также имеют кодовую фразу, конечно). Также тривиально получить этот трафик через атаки «deauth», которые принудительно отключают устройство от сети Wi_Fi и заставляют его повторно подключаться, в результате чего процесс ассоциации повторится.
На самом деле мы не можем подчеркнуть, насколько это просто. У Wireshark есть встроенная опция автоматического дешифрования трафика WPA2-PSK, если у вас есть предварительно открытый ключ и захвачен трафик для процесса ассоциации.
Что это на самом деле означает
На самом деле это означает, что WPA2-PSK не намного безопаснее подслушивания, если вы не доверяете всем в сети. Дома вы должны быть в безопасности, потому что ваша кодовая фраза Wi-Fi является секретом.
Однако, если вы выходите в кафе и используете WPA2-PSK вместо открытой сети Wi-FI, вы можете чувствовать себя намного более уверенно в своей конфиденциальности. Но вы не должны - любой, кто имеет кодовую фразу Wi-Fi в кафе, может контролировать ваш просмотр. Другие люди в сети, или просто люди с парольной фразой, могли бы отслеживать ваш трафик, если захотят.
Не забудьте принять это во внимание. WPA2-PSK предотвращает отслеживание людей, не имеющих доступа к сети. Однако, как только у них будет ключевая фраза сети, все ставки отключены.
Почему WPA2-PSK не пытается остановить это?
WPA2-PSK на самом деле пытается остановить это с помощью «попарного переходного ключа» (PTK). У каждого беспроводного клиента есть уникальный PTK. Однако это мало помогает, потому что уникальный ключ для каждого клиента всегда выводится из предварительно разделенного ключа (кодовая фраза Wi-Fi.) Вот почему тривиально захватывать уникальный ключ клиента, пока у вас есть Wi- Fi и может захватывать трафик, отправленный через процесс ассоциации.
WPA2-Enterprise решает эту проблему … для крупных сетей
Для крупных организаций, которым требуются защищенные сети Wi-Fi, этой уязвимости можно избежать с помощью авторизации EAP с сервером RADIUS, который иногда называют WPA2-Enterprise. С помощью этой системы каждый клиент Wi-Fi получает поистине уникальный ключ. У клиента Wi-Fi нет достаточной информации, чтобы просто начать отслеживание на другом клиенте, так что это обеспечивает гораздо большую безопасность. По этой причине крупные корпоративные офисы или правительственные учреждения должны использовать WPA2-Enteprise.
Но это слишком сложно и сложно для подавляющего большинства людей - или даже большинства вундеркиндов - для использования дома. Вместо кодовой фразы Wi-FI вы должны вводить на устройства, которые хотите подключиться, вам нужно будет управлять сервером RADIUS, который обрабатывает аутентификацию и управление ключами. Это намного сложнее для домашних пользователей.
Фактически, это даже не стоит вашего часа, если вы доверяете всем в вашей сети Wi-Fi или всем, у кого есть доступ к вашей кодовой фразе Wi-Fi. Это необходимо только в том случае, если вы подключены к зашифрованной Wi-Fi-сети WPA2-PSK в общедоступном месте - кафе, аэропорту, гостинице или даже большем офисе, где другие люди, которым вы не доверяете, также имеют Wi- Кодовая фраза FI сети.
Итак, падает ли небо? Нет, конечно нет. Но имейте это в виду: когда вы подключены к сети WPA2-PSK, другие люди, имеющие доступ к этой сети, могут легко отслеживать ваш трафик.Несмотря на то, что большинство людей может поверить, это шифрование не обеспечивает защиту от других людей, имеющих доступ к сети.
Если вам необходимо получить доступ к уязвимым сайтам в общедоступной сети Wi-Fi, особенно веб-сайтам, не использующим шифрование HTTPS, подумайте об этом через VPN или даже SSH-туннель. Шифрование WPA2-PSK в общедоступных сетях недостаточно.
