«Мы ESET» – сообщество пользователей антивируса ESET NOD32. Мы живем в разных городах, общаемся с разными людьми, но всех нас объединяет надежная защита ESET.
16 октября 2017 12675

Wi-Fi в опасности. В протоколе WPA2 обнаружена критическая уязвимость.

Эксперты по кибербезопасности из бельгийского университета KU Leuven обнаружили десять(!) критических уязвимостей в распространенном протоколе шифрования Wi-Fi сетей WPA2. Атака с использованием этих уязвимостей получила название KRACK (Key Reinstallation Attacks).

Согласно отчету, брешь позволяет хакерам получить доступ ко всей незашифрованной информации, которая проходит через сеть Wi-Fi: логины, пароли, переписка, фотографии, данные для аутентификации в онлайн-банкинге и др.

Опасности подвергаются все девайсы, так или иначе подключенные к сети и передающие данные: смартфоны, планшеты, ноутбуки, ПК, носимая электроника, умные устройства и др.

Угроза актуальна и для корпоративных сетей.

Вопреки комментариям ряда экспертов, AES, HTTPS или VPN-соединение не являются эффективной защитой, т.к. уязвимости позволяют обойти их в большинстве сценариев.

Ключевое ограничение — для перехвата вашей переписки или фотографий злоумышленник должен находиться в радиусе действия конкретной сети и знать пароль от нее (который легко подобрать).

Поскольку уязвимость обнаружена в самом протоколе WPA2, смена пароля к сети не поможет. Пользователи iOS находятся в той же опасности, что и владельцы Android-устройств — однако для устаревших версий Android уязвимость особенно опасна (Google уже работают над патчем для Android 6.0 и старше).

Пока нет информации, использовались ли эти уязвимости хакерами, однако масштаб проблемы в любом случае беспрецедентный.

Что делать?

В целях предосторожности необходимо исключить использование Wi-Fi сетей, ограничившись 3G/4G или LAN-соединением — или, по-крайней мере, не передавать информацию, которую вы не хотели бы делать достоянием хакеров. Также следует помнить, что практически все сайты и сервисы передают большой объем данных без ведома пользователя.

После выхода патчей от производителей роутеров и ОС необходимо обновить прошивку, а также все используемые для подключения к Wi-Fi устройства.

Дополнительную информацию можно найти на сайте https://www.krackattacks.com

Берегите себя и свои данные.

Комментарии

20
Оставьте комментарий!
Наталья Гладенко 19 октября 2017 в 09:55 #
Поясните, пожалуйста, для чайников, что значит обновить все используемые для подключения к wi-fi устройства? 

И ещё вопрос. Правильно ли я понимаю, что злоумышленники могут украсть мои данные в том случае, если они
а) находятся в зоне действия моей домашней сети, т.е. в моей квартире,
б) подберут пароль от сети 
То есть, если злоумышленник за пределами моей квартиры, то и бояться мне нечего?
Кирюха Васькин 19 октября 2017 в 11:00 #
Наталья, злоумышленник может находиться и через 2-3-4-10 домов от вашей квартиры, с правильно настроенным оборудованием, вопрос только в мощьности и возможности этого оборудования.
Для обеспечения относительной безопасности вашей домашней сети Вам необходимо привлечь специалиста, который настроит Ваше оборудование, сгенерирует устойчивый (сложный и длинный) пароль, отключит заводские настройки роутера в части WPN, а в некоторых случаях внесет в список доверенных только Ваше подключаемое оборудование. Это значительно снизит привлекательность Вашей сети для взлома, но и Ваши гости не смогут подключиться или скажем при покупке нововй техники с возможностью подключения к WiFi Вам придется снова вызывать специалиста чтобы внести это оборудование в список доверенных.

Самый лучший вариант это сохранять бдительность и скептически относится ко всем новым или не стандартным письмам, всплывающим окнам и т.д. Не держать все деньги на одной карточке, скажем завести одну карту для оплаты в интернете, а зарплатную не светить в сети вообще. Привяжите Вашу карту для интернет платежей к основным-доверенным центрам затрат (интернет, телефиденье, ЖКХ и т.д.), и в случае внезапного запроса ввода этих данных снова насторожитесь, зайдите на официальный сайт и полистайте новости или обратитесь в поддержку.
Наталья Гладенко 21 октября 2017 в 00:11 #
Спасибо за ответ!
По поводу позвать специалиста, это понятно, правда не уверена, что осуществимо в моем случае.

А вот по поводу бдительности. Вы говорите ведь об интернет-покупках (что не надо светить зарплатную карту). Это правильно, конечно. Но как насчет онлайн-банкинга? Чтобы войти в банк, я ввожу логин, пароль, а потом еще пароль из смс. В связи с поднятой темой уязвимости wi-fi, стоит ли чего-то опасаться?
Случаи, когда злоумышленник получил у оператора симку с моим номером, я не рассматриваю. Равно как и случаи, когда я сама сообщаю пароли кому не следует.
Максим Кильянц 23 октября 2017 в 13:57 #

Добрый день, Наталья!

ESET Smart Security защищает номера кредитных карт и другие конфиденциальные личные данные при использовании веб-сайтов интернет-банкинга или веб-сайтов оплаты в Интернете. Будет запущен защищенный браузер, чтобы обеспечить дополнительную защиту для банковских операций.

Модуль защиты банковской оплаты — это дополнительный уровень безопасности, разработанный для защиты ваших финансовых данных при осуществлении финансовых операций в Интернете. Для защиты браузера необходимо использовать шифрованный обмен данными по протоколу HTTPS. Для использования защищенного режима просмотра ваш браузер должен соответствовать перечисленным ниже минимальным требованиям: Mozilla Firefox 24 / Internet Explorer 8 / Google Chrome 30.

Если Вы цените свое время, и не хотите приглашать мастера к себе домой, Вы можете воспользоваться новой, удобной услугой «Персональный компьютерный мастер на 1 год».

Промокод на скидку 10% - HDYHOL 

Данная услуга позволяет нашему специалисту удаленно подключаться к Вашему компьютеру и выполнять все действия за Вас.

Наталья Гладенко 23 октября 2017 в 15:41 #
Спасибо за ответ.
Посмотрела в Справке к Google, написано версия: 49.0.2623.112 m Это старая версия?
Поскольку у меня стоит Windows Vista, скорее всего версия Google таки старая.
Правильно ли я понимаю, что в моем случае нужно установить актуальную версию ОС, а затем уже последнюю версию Google Chrome 30? В таком случае онлайн-банкинг будет защищен?

И я так и не поняла, представляет ли какую-то угрозу для онлайн-банкинга уязвимость wi-fi, при условии, что каждый раз я ввожу пароль из смс?
Максим Кильянц 24 октября 2017 в 16:20 #

Да, лучшим способом обеспечить защиту является переход на Windows 10 — последнюю версию Windows.

Если вы продолжаете использовать Windows Vista после окончания поддержки, ваш компьютер по-прежнему будет работать, но может стать уязвимым для вирусов и других угроз безопасности. Кроме того, прекращена поддержка Internet Explorer 9, поэтому использование этого браузера на компьютере с Windows Vista связано с дополнительным риском. Так как большинство производителей продолжает оптимизировать свое оборудование и программы для последних версий Windows, вы также можете обнаружить, что многие приложения и устройства не работают с Windows Vista.

Услуга «SMS-подтверждение платежей» предназначена для дополнительной защиты системы
дистанционного обслуживания от несанкционированного доступа к расчетному счету клиента. Защита осуществляется посредством использования альтернативного канала передачи дополнительного кода подтверждения платежа (SMS).

Кирюха Васькин 19 октября 2017 в 10:27 #
Удивительно что через столько времени на это обратили внимание, удивительно и смешно!
На данный момент даже человек не обладающий серьезным техническим образованием, но уверенный пользователь интернета сможет поднять монитор WiFi сетей на андройде и выкупить такого жулика в метро или общественном месте без устойчивой мобильной связи не получится уже ни по каким внешним признакам.
Ребята давно пора кричать о том что все популярные браузеры занимаются еще большим сбором информации, при том что они в так называемом стандартном сетапе не могут обеспечить должную безопасность, а соцсети и поисковики занимаются тем же и каждый друг другу подигрывает.
Защищенность 3g и 4g это тоже очень сомнительный момент, так как операторы в стремлении сэкономить на кадрах, нанимают рядовых студентов технарей, которые цпосле термеха и матана не то что ретранслятор нормально настроить не смогут, так еще и пароли оставят заводские, а в сочетании с определенным оборудованием из КНР за беспрецендентно низкую цену злоумышленник может просто гулять по городу и перехватывать хоть 3g хоть 4g, да хоть GSM зеркалить и перехватывать вызовы и СМС.
Антон Тарасов 23 октября 2017 в 12:01 #

Спасибо за развернутые ответы 7

 

Про сбор информации мы писали не так давно https://club.esetnod32.ru/articles/analitika/ukhodim-s-radarov/

Дали рекомендации для рядовых пользователей, которые помогут поменьше информации транслировать во вне.

 

По поводу заводских настроек сетевого оборудования разделяем вашу боль. Наши специалисты на каждом выезде с этим сталкиваются 20

 

Кирюха Васькин 19 октября 2017 в 10:27 #
И запонмите раз и навсегда
Все проводные и беспроводные технологии всегда были и будт уязвимы, без этого ни одно государство вводить их не будет. Можно выстраивать многоуровневые системы аутентификации, увеличивать длинну паролей, усложнять сам процесс для более сложного взлома, но это никогда не гарантирует абсолютную безопасность, так как любая передаваемая информация должна быть известна неким "третьим" лицам. Как правило эти лица действуют топорно и не скрываясь, поэтому появляются такие вот новости. Рядовые же криптоаналитики "хакеры", действуют куда более изощеренными методами с применением огромного кол-ва инструментов по тестированию сетей, социального инжиниринга и банальной человеческой необразованности в том или ином вопросе.
Нариман Федосов 19 октября 2017 в 11:47 #
Считаю связку пароль+MAC фильтр - оптимальным решением! И в статье зря пугаете пользователей, это делается довольно просто самому и даже удаленно специалистом. Вот простой для запоминания пароль (банкА в степени номер квартиры): ,fyrF^55 - такой подобрать практически невозможно.
Плюс - современные роутеры позволяют настроить 2 сети wi-fi (основную и гостевую). Ну, и, в заключении, зачем поднимать шум среди тех кому нечего скрывать, а кому есть чего - заранее об этом думают.
Кирюха Васькин 19 октября 2017 в 12:39 #
,fyrF^55 - на сильной видеокарте данный пароль банальным перебором crunch вскроется за 3-4 дня, о подмене MAC вообще молчу))) Еще очень инетесно как такой банальный пароль вы будете называть своим гостям, если роутер не поддерживает два типа сетей одновременно, на гаджетах очень редко клавиатура подписана сразу в двух раскладках)))
Нариман Федосов 19 октября 2017 в 14:49 #
Добавить сюда еще 2-3 знака и 3-4 дня превратятся в 3-4 года...
Со сложностью ввода первое время справлся, в прямом смысле, своими руками. В принципе, тут личный выбор каждого: безопасность домашней сети или интернет у гостей. Как вариант, можно отключить трансляцию SSID и установить простой пароль.
Моя цель не оспорить правильную основную мысль статьи, а просто поговорить на тему безопасности сетей обычных пользователей. И простых способах ее повышения руками обычных же пользователей...
Конечно, все это - защита от "мелких хулиганов" сродни сигнализации в авто...захотят угнать - угонят, вопрос целесообразности затраченных усилий.
Антон Тарасов 23 октября 2017 в 11:56 #
Совершенно верно, обычного пользователя хакеры мирового уровня ломать не станут, поэтому все перечисленные меры безопасности можно считать достаточными для защиты от "мелких хулиганов" 9
Дмитрий Салимоненко 19 октября 2017 в 14:26 #
Кирюха Васькин, Вы все верно говорите. Мне тоже, на самом деле, немного смешно, что только сейчас, в конце 2017 г. обратили НАКОНЕЦ-то внимание на эти моменты. А то, что люди, при желании, читают чужой Wi-Fi (особенно, если доступ по http) - так это уж давно известно, в самом деле. Честно сказать, сам не понимаю, зачем этот фай-фай придумали. Хотя, теперь... понимаю. Для тех, "кому скрывать нечего".
Не говоря уже о том, что в роутерах вирусы бывают. Интересно, NOD32 обнаруживает их? Едва ли.
Антон Тарасов 23 октября 2017 в 11:54 #
Дмитрий, продуктах ESET NOD32 есть функция защиьа домашней сети 9
Alexei Chernichkin 19 октября 2017 в 17:14 #
И сменить пароль на роутере. И закрыть доступ к админке с WAN, если он вдруг был открыт — часто железо имеет технологические учетки с админскими правами. Правда, это не сильно вам поможет, если пароль от wifi уже ушел, подменить mac — как два пальца об асфальт, и вы это заметите разве что по падению скорости (на самом деле — потере пакетов).Все не так страшно. Если подломить клиентское соединение, то можно прослушать трафик только от клиента к роутеру. Если подломить роутер,то можно будет прослушать трафик только от роутера к клиенту. И только если подломить первое и второе, можно будет полноценно снифать трафик.

Пожизненно уязвимы половина смартфонов-планшетов, на которые уже никогда не придут обновления (привет, «открытый» андроед!). Роутеры не подвержены этой атаке, если они не работают в режиме клиента(радиоудлинители, мосты и прочее) или 802.11R (ох весело будет энтерпрайзникам, которые понакупили оборудования под EOL).
Sasha Aspid 19 октября 2017 в 18:08 #
В общем ждём когда производителя роутера раскачаются и выпустят новую прошивку. У меня сейчас корейско-китайский TOTOLINK RT150 http://totolink.ru/items/view/15 и прошивка там не появилась новая. Вот, а пока онлайн банкингом можно заниматься по кабелю и через VPN cоединение + использовать защиту банковской оплаты от ЕСЕТа :)
Антон Тарасов 23 октября 2017 в 12:11 #
Самое неприятное, что обновление прошивки далеко не на каждое устройство выйдет. Просто потому что многие производители сетевого оборудования халатно относятся к поддержке. Единственный выход самостоятельно проверять обновы для всех своих гаджетов.

Кстати, спасибо, что нам доверяете 7
Сергей Смоленский 20 октября 2017 в 08:20 #
Здравствуйте! Знаю, что немного не в тему, но всё же... Я на своём роутере с помощью ESS обнаружил 2 уязвимости. Куда мне лучше обратиться: в техподдержку ESET или в техподдержку производителя роутера?
Максим Кильянц 23 октября 2017 в 13:35 #
Добрый день, Сергей! Антивирус не имеет доступа к настройкам wi-fi роутера, модуль защиты домашней сети предназначен только для мониторинга сети, поэтому заблокировать через антивирус устройства невозможно. В этом случае нужно либо поменять пароль на роутере, либо блокировать неизвестные устройства через настройки роутера.