Nincs végveszély a wifi hibája miatt

2008.11.10. 17:03

Német kutatók hibát találtak a wifi-eszközök által használt WPA-TKIP titkosításban az elmúlt héten. Ezt kihasználva a támadó negyed óra alatt annyi információt szerezhet a rendszerről, hogy hamisított internetcsomagokat küldhessen az óvatlan netezőknek. Utánajárni annak, hogy mekkora a veszély és hogyan lehet ismét biztonságossá tenni a drót nélküli böngészést.

Az adataikért aggódók megnyugodhatnak, a nemrégiben kidolgozott feltörési eljárás nem teszi teljesen kiszolgáltatottá az otthoni vezeték nélküli hálózatok használóinak rendszereit. A legtöbb manapság kapható hálózati eszköz támogatja már az eggyel erősebb, fejlettebb technológiákat, amelyeket nem lehet kijátszani a most felfeddezett módszerrel: optimális esetben egy otthoni routert néhány perc alatt át lehet állítani újra biztonságos üzemre, a hálózatra csatlakozó számítógépekhez pedig hozzá sem kell nyúlni.

Hol a hiba?

A Martin Beck és Erik Tews által megtalált sebezhetőséget kihasználva a támadó nem juthat hozzá a hálózaton használt titkosító kulcshoz, így a teljes netforgalom nincsen veszélyben. A módszer csupán azt teszi lehetővé, hogy a támadó hamisított csomagokat juttasson el a hálózatra kapcsolódó PC-knek. Ez lehetőséget biztosíthat például arra, hogy a felhasználót egy legitim oldalról egy hamisra irányítsák át, amely az eredeti szájt címén jelentkezik be.

A mostani támadást a kutatók által már az ezredfordulón felboncolt WEP titkosítási módszerhez kidolgozott trükk tette lehetővé. A TKIP titkosítás ugyanis ugyanazt a rejtjelet használja, amit szerencsétlen sorsú elődje, mert csak így tudták biztosítani, hogy a megtört WEP helyére állított új védelem egy rendszerszoftver frissítésével telepíthető legyen a már megvásárolt eszközökre.

Az új generációs, a legtöbb wifi-hálózat által használt WPA protokoll ugyan tartalmazza a sokkal erősebb AES rejtjelet is, ám ennek használata a kor gyengébb teljesítményű hálózati eszközein gondot okozott volna. A mai routerek azonban képesek az erősebb titkosítás használatára, érdemes ezért a berendezés adminisztrációs felületen átkapcsolni az AES támogatásra.

Nincsenek veszélyben a bankkártya-számok

A WPA sebezhetőségről megkérdeztük Fehér Tamást, a 2F cég biztonsági szakértőjét is, aki megnyugtatott bennünket, hogy a hiba jellegének köszönhetően a felhasználók által küldött adatok nincsenek veszélyben. A most felfedezett hiba ugyanis azt nem teszi lehetővé, hogy a felhasználók banki adatait, jelszavait ellopja egy rosszindulatú hallgatózó. A szakember azonban szkeptikus a WPA2-es protokollra való gördülékeny átállással, ezért inkább azt javasolja, hogy ahol nem fontos a teljes drót nélküliség, oda telepítsenek hagyományos kábeles hálózatot a felasználók.

Hálózati jótanácsok 

A wifin való biztonságos netezésről több tíz közismert bölcsesség van forgalomban, ezek egy része mára értelmét vesztette. Nem érdemes például elrejteni a routert nevét (SSID). Ez a módszer egy komoly szándékokkal érkező támadót egy pillanatra sem állít meg, feleslegesen kényelmetlenné teszi viszont laptoppal érkező barátaink beengedését az otthoni hálózatra. Hasonlóan felesleges a gépek hálókártyájának fizikai címe (MAC-cím) alapján szűrni a klienseket, egy okos hacker egy szempillantás alatt át tudja állítani saját kártyája címét.

Nem rossz ötlet viszont a szobában lévő vezeték nélküli router adóteljesítményének csökkentése. Az nagyon érzékeny külső antennával felszerelt behatoló ellen nem véd ez a módszer sem, viszont a wifinkre ráakaszkodó szomszédok ellen jó lépés lehet. Hasonlóan jó tipp a hálózat nevének megváltoztatása, nem kell a világnak arról tudnia, hogy ki gyártotta az általunk használt hálózati eszközt. Az SSID megváltoztatásával máris kizárjuk azokat a támadókat, akik csak az alapértelmezett hálózatnévből és szótári szóból generált listákkal próbálnak bejutni mások hálózatába.

Forrás: [origo]
A zagyva jelszót is megjegyzi a PC helyettünk

Glein Fleishmann, az egyik legnépszerűbb, wifivel foglalkozó blog írója szerint legjobb védelem az eddig megtöretlen protokollok használata és az erős kulcsok kitalálása. A jelszónál az a legfontosabb, hogy ne legyen sem szótári szó, sem pedig szótári szó "leet speak" nyelvű átirata: tehát a "mákosguba" és a "m4k0sgub4" egyaránt kerülendő hálózati kulcsnak, viszont a szó különleges karakterekkel feldúsított verziója már használható lehet: "m4-4Kh-0-sh-6-33B4-.

A mindennapi használatban kényelmetlenek a blikkfangos, nehezen begépelhető és könnyen elhibázható jelszavak, a wifi-kulcsot viszont a legtöbb operációs rendszeren elég egyszer begépelni, mert a rendszer megjegyzi helyettünk. Ide még a Keepass-hez hasonló jelszótároló programok által generált húsz karaketeres véletlenszerű kulcsok is megteszik, hiszen nem kell észben tartani a számítógép generálta zagyvaságot - amit azonban nem árt leírni egy lapra, és elzárni a fiókba.

A WEP-et a szádra ne vedd

A WPA-protokoll viszonylag jól bírta a megpróbáltatásokat. Elődjét, a kábeles kapcsolattal határtalan optimizmussal egyenrangú biztonságot kínáló WEP-protokollal négy év alatt végeztek a biztonsági szakértők és a hackerek. Az 1997-ben bemutatott titkosítás megtöréséhez 2001-ben még két óra kellett, a szoftverek javulásával és a gépek gyorsulásával azonban a töréshez szükséges idő egy perc körülire csökkent. Az évszámok azért is fontosak ebben a történetben, mert a közelmúlt egyik legnagyobb adatvesztése is ehhez a titkosításhoz kapcsolódik. A 2005-ös év második felében rosszindulatú hackerek négy és fél Magyarországnyi (45,6 millió) ügyfél adatait lopták el a TJX áruházlánc sebezhető wifi kapcsolaton kommunikáló számítógépéről. Elődjével szemben a 2003-ban bemutatkozó WPA viszonylag sértetlenül érte meg negyedik születésnapját. A mostani sebezhetőségre épülő támadások kivédhetők a rendszerben már jelenlévő AES-alapú titkosításra való átállással. 

KAPCSOLÓDÓ CIKK