Το πρωτόκολλο ασφαλείας που χρησιμοποιείται για την προστασία της συντριπτικής πλειοψηφίας των συνδέσεων wifi έχει καταστραφεί, ενδεχομένως εκθέτοντας την ασύρματη διαδικτυακή κυκλοφορία σε κακόβουλους καταπατητές και επιθέσεις, σύμφωνα με τον ερευνητή που ανακάλυψε την αδυναμία.
Ο Mathy Vanhoef, ειδικός ασφαλείας στο βελγικό πανεπιστήμιο KU Leuven, ανακάλυψε την αδυναμία του πρωτοκόλλου ασύρματης ασφάλειας WPA2 και δημοσίευσε λεπτομέρειες για το ελάττωμα τη Δευτέρα το πρωί.
«Οι επιτιθέμενοι μπορούν να χρησιμοποιήσουν αυτή τη νέα τεχνική επίθεσης για να διαβάσουν πληροφορίες που προηγουμένως θεωρούνταν ασφαλώς κρυπτογραφημένες», ανέφερε η έκθεση του Vanhoef. «Αυτό μπορεί να καταστρατηγηθεί για να κλαπούν ευαίσθητες πληροφορίες, όπως αριθμοί πιστωτικών καρτών, κωδικοί πρόσβασης, μηνύματα συνομιλίας, μηνύματα ηλεκτρονικού ταχυδρομείου, φωτογραφίες και ούτω καθεξής.»
Ο Vanhoef τόνισε ότι «η επίθεση λειτουργεί εναντίον όλων των σύγχρονων προστατευόμενων δικτύων wifi. Ανάλογα με τη διαμόρφωση του δικτύου, είναι επίσης δυνατή η έγχυση και ο χειρισμός δεδομένων. Για παράδειγμα, ένας εισβολέας μπορεί να είναι σε θέση να εγχέει ransomware ή άλλο κακόβουλο λογισμικό σε ιστοσελίδες».
Η ευπάθεια επηρεάζει ορισμένα λειτουργικά συστήματα και συσκευές, σύμφωνα με την έκθεση, συμπεριλαμβανομένων των Android, Linux, Apple, Windows, OpenBSD, MediaTek, Linksys και άλλων.
«Εάν η συσκευή σας υποστηρίζει Wi-Fi, πιθανότατα επηρεάζεται» έγραψε ο Vanhoef. «Γενικά, οποιαδήποτε δεδομένα ή πληροφορίες που μεταδίδει ο θύμα μπορούν να αποκρυπτογραφηθούν … Επιπλέον, ανάλογα με τη συσκευή που χρησιμοποιείται και τη ρύθμιση δικτύου, είναι επίσης δυνατή η αποκρυπτογράφηση δεδομένων που αποστέλλονται προς το θύμα (π.χ. το περιεχόμενο ενός ιστότοπου).»
Ο Vanhoef έδωσε στην αδυναμία του κωδικού το όνομα Krack, συντομογραφία για το Key Reinstallation AttaCK.
Το Εθνικό Κέντρο Ασφάλειας στον Κυβερνοχώρο της Βρετανίας δήλωσε ότι εξέτασε την ευπάθεια. «Έχουν δημοσιευθεί σήμερα μελέτες για πιθανές παγκόσμιες αδυναμίες σε συστήματα wifi. Ο επιτιθέμενος θα πρέπει να είναι φυσικά κοντά στον στόχο και οι πιθανές αδυναμίες δεν θα θέσουν σε κίνδυνο τις συνδέσεις με ασφαλείς ιστότοπους, όπως τραπεζικές υπηρεσίες ή ηλεκτρονικές αγορές.
Εξετάζουμε την έρευνα και θα παράσχουμε καθοδήγηση αν χρειαστεί. Η ασφάλεια στο Διαδίκτυο αποτελεί βασική προτεραιότητα του NCSC και ενημερώνουμε συνεχώς τις συμβουλές μας σε θέματα όπως η ασφάλεια του WiFi, η διαχείριση συσκευών και η ασφάλεια των προγραμμάτων περιήγησης.»
Η ομάδα ετοιμότητας έκτακτης ανάγκης για υπολογιστές των Ηνωμένων Πολιτειών (Cert) εξέδωσε προειδοποίηση την Κυριακή σε απάντηση της ευπάθειας.
«Ο αντίκτυπος της εκμετάλλευσης αυτών των τρωτών σημείων περιλαμβάνει την αποκρυπτογράφηση, την αναπαραγωγή πακέτων, την υφαπαργή σύνδεσης TCP, την έγχυση περιεχομένου HTTP και άλλα», αναφέρει η ειδοποίηση, περιγράφοντας διάφορες πιθανές επιθέσεις. Προσθέτει ότι, δεδομένου ότι η ευπάθεια βρίσκεται στο ίδιο το πρωτόκολλο, αντί για κάποια συγκεκριμένη συσκευή ή λογισμικό, θα επηρεαστούν οι περισσότερες ή όλες οι σωστές εφαρμογές του προτύπου.
Η εξέλιξη είναι σημαντική επειδή το συμβιβασμένο πρωτόκολλο ασφαλείας είναι το πιο ασφαλές σε γενικές γραμμές για την κρυπτογράφηση των wifi συνδέσεων. Τα παλαιότερα πρότυπα ασφαλείας έχουν παραβιαστεί στο παρελθόν, αλλά σε αυτές τις περιπτώσεις ήταν διαθέσιμος διάδοχος και σε διαδεδομένη χρήση.
Βασικά, η επίθεση είναι απίθανο να επηρεάσει την ασφάλεια των πληροφοριών που αποστέλλονται μέσω του δικτύου που προστατεύεται παράλληλα με την τυπική κρυπτογράφηση WPA2. Αυτό σημαίνει ότι οι συνδέσεις με ασφαλείς ιστότοπους εξακολουθούν να είναι ασφαλείς, όπως και άλλες κρυπτογραφημένες συνδέσεις όπως τα εικονικά ιδιωτικά δίκτυα (VPN) και οι επικοινωνίες SSH.
Ωστόσο, οι ανασφαλείς συνδέσεις με ιστότοπους – εκείνες που δεν εμφανίζουν ένα εικονίδιο λουκέτου στη γραμμή διευθύνσεων, υποδεικνύοντας την υποστήριξή τους για το HTTPS – θα πρέπει να θεωρούνται δημόσιες και ότι μπορούν να προβληθούν σε οποιονδήποτε άλλο χρήστη στο δίκτυο, έως ότου επιλυθεί το θέμα ευπάθειας.
Εξίσου, οι συνδέσεις στο διαδίκτυο από το σπίτι θα παραμείνουν δύσκολο να ασφαλιστούν πλήρως για αρκετό καιρό. Πολλοί ασύρματοι δρομολογητές σπάνια ενημερώνονται, πράγμα που σημαίνει ότι θα συνεχίσουν να επικοινωνούν με ανασφαλή τρόπο. Ωστόσο, ο Vanhoef λέει, εάν η ενημέρωση είναι εγκατεστημένη σε τηλέφωνο ή υπολογιστή, η συσκευή αυτή θα εξακολουθεί να είναι σε θέση να επικοινωνεί με έναν μη ασφαλή δρομολογητή. Αυτό σημαίνει ότι ακόμη και οι χρήστες με δρομολογητή χωρίς κωδικοποίηση πρέπει να επιδιορθώσουν όσο το δυνατόν περισσότερες συσκευές, για να εξασφαλίσουν ασφάλεια σε άλλα δίκτυα.
Ο Alex Hudson, ο επικεφαλής τεχνικός της υπηρεσίας συνδρομής Iron, δήλωσε ότι είναι σημαντικό να «διατηρηθεί η ψυχραιμία».
«Υπάρχει ένα περιορισμένο ποσό φυσικής ασφάλειας που ήδη προσφέρεται από το wifi: ένας επιτιθέμενος πρέπει να βρίσκεται κοντά», έγραψε ο Hudson. «Έτσι, δεν είστε ξαφνικά ευάλωτοι σε όλους στο διαδίκτυο. Είναι πολύ αδύναμη προστασία, αλλά αυτό είναι σημαντικό κατά την εξέταση του επιπέδου της απειλής σας.
Επιπλέον, είναι πιθανό ότι δεν έχετε πολλά πρωτόκολλα που βασίζονται στην ασφάλεια WPA2. Κάθε φορά που αποκτάτε πρόσβαση σε μια τοποθεσία HTTPS … το πρόγραμμα περιήγησής σας διαπραγματεύεται ξεχωριστό επίπεδο κρυπτογράφησης. Η πρόσβαση σε ασφαλείς ιστότοπους μέσω Wi-Fi είναι ακόμα απόλυτα ασφαλής. Ελπίζουμε – αν και δεν υπάρχει καμία εγγύηση – ότι δεν έχετε πολλές πληροφορίες που φτάνουν στο δίκτυό σας που να απαιτούν την κρυπτογράφηση που παρέχει το WPA2.»
Υπάρχει πιθανότητα να υπάρξει καθυστέρηση προτού η ευπάθεια χρησιμοποιηθεί για πραγματικές επιθέσεις σε δίκτυα, λέει ο ερευνητής της Symantec Candid Wuest. «Είναι μια πολύπλοκη επίθεση για να πραγματοποιηθεί στην πράξη, αλλά έχουμε δει παρόμοιες παλιότερα, οπότε γνωρίζουμε ότι είναι δυνατό να αυτοματοποιηθεί.
Οι μικρές επιχειρήσεις και οι άνθρωποι στο σπίτι θα πρέπει να προσέξουν, αλλά δε χρειάζεται να ανησυχούν πολύ», πρόσθεσε ο Wuest, συμβουλεύοντας τους περισσότερους χρήστες να εφαρμόζουν απλά τις ενημερώσεις στο λογισμικό τους, όταν γίνονται διαθέσιμες.
Το πιο σημαντικό μάθημα από την ευπάθεια, είπε, ήταν ότι η εξάρτηση από ένα μοναδικό χαρακτηριστικό ασφάλειας είναι επικίνδυνη. «Δεν πρέπει να εμπιστεύεστε ένα μόνο σημείο αποτυχίας για την ασφάλειά σας. Μην βασίζεστε μόνο στο wifi σας, χρησιμοποιήστε VPN ή ασφαλής σύνδεση για οτιδήποτε σημαντικό.»
Διαφορετικές συσκευές και λειτουργικά συστήματα επηρεάζονται σε διαφορετικούς βαθμούς με βάση τον τρόπο εφαρμογής του πρωτοκόλλου WPA2. Μεταξύ των χειρότερων επηρεασμένων είναι το Android 6.0 (Marshmallow) και το Linux, εξαιτίας ενός επιπλέον bug που έχει ως αποτέλεσμα το κλειδί κρυπτογράφησης να ξαναγράφεται με όλα μηδενικά. Το iOS και τα Windows, εν τω μεταξύ, είναι από τα πιο ασφαλή, δεδομένου ότι δεν εφαρμόζουν πλήρως το πρωτόκολλο WPA2. Ωστόσο, καμία δοκιμασμένη συσκευή ή κομμάτι λογισμικού δεν ήταν πλήρως ανεπηρέαστη από την ευπάθεια.
Ο διεθνής όμιλος Cert, που εδρεύει στο πανεπιστήμιο Carnegie Mellon, ενημέρωσε τις εταιρείες τεχνολογίας για το ελάττωμα στις 28 Αυγούστου, πράγμα που σημαίνει ότι οι περισσότεροι είχαν περίπου ενάμισι μήνα για να εφαρμόσουν μια λύση. Η Guardian έχει ρωτήσει την Apple, τη Google, τη Microsoft και το Linksys για την κατάσταση των διορθώσεών τους. Η Google δήλωσε: «Γνωρίζουμε το πρόβλημα και θα καλύψουμε τυχόν επηρεασμένες συσκευές τις προσεχείς εβδομάδες». Η Microsoft δήλωσε: «Έχουμε δημοσιεύσει μια ενημερωμένη έκδοση ασφαλείας για την αντιμετώπιση αυτού του ζητήματος. Οι πελάτες που εφαρμόζουν την ενημερωμένη έκδοση ή έχουν ενεργοποιημένες τις αυτόματες ενημερώσεις θα προστατεύονται». Κανένας άλλος προμηθευτής δεν απάντησε μέχρι την ώρα δημοσίευσης.