KRACK - jak zabezpieczyć się przed luką w WPA2?

Nieco pona tydzień temu całą branżą IT wstrząsnęła straszna wiadomość, że żadna sieć komputerowa korzystająca z sieci Wi-Fi nie jest bezpieczna. Dlaczego? Otóż znaleziono poważną lukę w protokole WPA2, który wykorzystywany jest w celu uniemożliwienia dostępu do sieci osobom niepowołanym. KRACK (skrót od angielskiego "Key Reinstallation Attack") umożliwia hakerom włamanie do zabezpieczonego w ten sposób Wi-Fi i podejrzenie wszystkich transmitowanych w ten sposób danych, a w niektórych przypadkach także podrzucenie na jedno ze znajdujących się w sieci urządzeń własnego kodu. Najgorsze jest jednak to, że niniejsza luka występuje w praktycznie wszystkich urządzeniach wykorzystujących technologię Wi-Fi. Jak się przed nią zabezpieczyć? Przedstawiamy kilka sposobów.

1. Wyłączenie Wi-Fi

Brzmi drastycznie, ale wyłączenie Wi-Fi jest prawdopodobnie jedynym w pełni skutecznym sposobem pozwalającym mieć pewność, że KRACK nam mnie zagraża. Wynika to stąd, że wykorzystywana w ataku luka w protokole IEEE 802.11i (czyli właśnie WPA2), występuje w praktycznie wszystkich urządzeniach wyposażonych w Wi-Fi, z których wiele nigdy nie otrzyma stosownej aktualizacji. Na całe szczęście w przypadku większości użytkowników tak drastyczny krok nigdy nie będzie konieczny. Nie dość, że wspomniana luka ma liczne ograniczenia, które znacznie zmniejszają jej przydatność w atakach na większą skalę, to dodatkowo można podjąć kilka działań niwelujących zagrożenie praktycznie do zera.

2. Aktualizacje oprogramowania

Jest to pierwszy i podstawowy krok, który należy podjąć żeby zabezpieczyć się przed atakiem. Wraz z ujawnieniem informacji na temat odnalezionej luki w WPA2 producenci oprogramowania oraz sprzętu sieciowego rozpoczęli pracę nad aktualizacjami, które mają ją wyeliminować. Dzięki temu np. użytkownicy najnowszej wersji Windowsa powinni być już bezpieczni. Niestety przygotowanie łatek dla urządzeń i programów zajmuje trochę czasu, czego szczególnie świadomi powinni być użytkownicy Androida. Do tego nie rozwiązuje to problemu w przypadku produktów, których okres wsparcia dawno już minął. Oznacza to, że nie jest to środek całkowicie niwelujący zagrożenie i trzeba pamiętać o podjęciu dodatkowych kroków.

3. Unikanie publicznych sieci Wi-Fi

Dla wielu osób jest to wskazówka zupełnie oczywista, a jednak wypada o tym wspomnieć. Jako pojedynczy użytkownicy najbardziej zagrożeni jesteśmy korzystając z publicznych sieci Wi-Fi, które stanowią łakomy kąsek dla włamywaczy. Wynika to stąd, że jednocześnie do takiej sieci potrafi być podłączona duża liczba urządzeń, a ich poziom zabezpieczeń często budzi poważne wątpliwości. Z tego względu z publicznego Wi-Fi najlepiej całkowicie zrezygnować (dużo lepszą alternatywą jest internet mobilny), a jeśli już musimy z niego skorzystać, to najlepiej ograniczyć się do stron, na które nie trzeba się logować i z którymi nie wymieniamy się poufnymi informacjami. Szczególnie należy unikać korzystania w ten sposób z bankowości internetowej!

4. Korzystanie z HTTPS

Na całe szczęście KRACK nie ingeruje w żaden sposób w działanie protokołu HTTPS oraz innych mechanizmów szyfrowania danych, działających niezależnie od WPA2. Oznacza to, że nawet gdyby zabezpieczenia naszej sieci zostały złamane, możemy bezpiecznie korzystać ze wszystkich stron i usług przesyłających w ten sposób dane, bowiem hakerzy i tak nie będą mieli do nich dostępu. Co prawda osoby mocno przeczulone na punkcie bezpieczeństwa zwrócą pewnie uwagę, że HTTPS można złamać, jednak wymagałoby to ze strony włamywacza dodatkowych przygotowań, co jeszcze bardziej zmniejsza ryzyko padnięcia ofiarą takiego ataku.

5. Korzystanie z VPN

Choć VPN kojarzy się większości osób głównie z łatwym sposobem na obejście blokad regionalnych, np. na Steam i Netflixie, to jest to także bardzo skuteczne narzędzie pozwalające zabezpieczyć naszą prywatność w sieci. Podobnie jak protokół HTTPS, także VPN potrafi skutecznie zaszyfrować nasze dane w taki sposób, żeby haker korzystający z KRACK nie mógł uzyskać do nich dostępu. Biorąc pod uwagę, że programy pozwalające na korzystanie z tego typu sieci są dziś powszechnie dostępne, to jest to bardzo dobry sposób na zabezpieczenie się przed atakiem, jeśli inne środki okażą się niewystarczające.

Przykład ataku z użyciem KRACK (autor: Mathy Vanhoef)

Dodatkowo warto pamiętać o jeszcze dwóch faktach związanych z KRACK. Po pierwsze, żeby z tej metody skorzystać, haker musi znajdować się w zasięgu sieci Wi-Fi, do której chce się włamać. Oznacza to, że musi on albo osobiście zbliżyć się do routera, albo korzystać z jakiegoś dodatkowego wektora (np. zainfekowanego smartfona) żeby przeprowadzić skuteczny atak. W związku z tym jest to metoda, która praktycznie nie nadaje się do atakowania niewielkich prywatnych sieci, bowiem każde włamanie z jej użyciem musiałoby być w takiej sytuacji bardzo dokładnie zaplanowane. Dla użytkowników domowych to akurat dobra wiadomość. Po drugie, należy pamiętać, że sama zmiana hasła do Wi-Fi w razie podejrzenia ataku z użyciem KRACK nic nam nie da, ponieważ stosowna luka zupełnie je omija. Mając na uwadze powyższe fakty oraz stosując przynajmniej niektóre z podanych metod możemy spać spokojnie.