Koti » WPA2 -salaus ja KRACK

WPA2 -salaus ja KRACK

  • tehnyt

KRACK-sanan oletkin jo kuullut uutismediassa, kun sitä uutisoitiin joka paikassa. KRACK (Key Reinstallation Attack) on WPA-protokolassa oleva haavoittuvuus, joka mahdollistaa langattoman verkkoliikenteen salauksen purkamisen. Tämä tarkoittaa, että hyökkääjä voi mahdollisesti päästä kiinni salaamattomaan viestintään langattomassa verkossa ja myös muokata sitä. Hyökkäys kohdistuu langattoman verkon asiakaslaitteisiin, tietokoneisiin, tabletteihin ja älypuhelimiin. Verkon tukiasemat eivät ole haavoittuvia, ellei ne toimi toistimina tai niissä on käytössä ”roaming” ominaisuus (802.11r).

Helpoiten tulee olettaa, että WLANin WPA-salaus on sama kuin olisi melkein salaamattomassa verkossa missä muutkin näkevät mitä teet verkossa, ellei sinulla ole VPN:ää tai SSL/TLS-salausta käyttävää HTTPS-verkkosivua.

Haavoittuvuutta voi siis käyttää siihen, että pääsee salattuun langattomaan verkkoon yhteyteen tehden siis käytännössä langattomasta verkosta salaamattoman.  Salattu langaton verkko siis on salaamaton, eikös ole yksinkertaista?

Salaamattomassa verkossa voi sitten hyökkääjä vakoilla välimieshyökkäyksen (MITM, Man in the middle attack) avulla, mitä muut käytäjät verkossa tekevät (varastaa salasanoja salaamattomilta sivuilta (HTTP) myöskin) ja muutella salaamattoman materiaalia vapaasti muiden huomaamatta, esimerkiksi lisäämällä sivulle haittaohjelmia tai mainoksia. Onneksi kirjautumista vaativat verkkosivut ovat ottaneet pakotetun HTTPS:n käyttöön, niin olet turvassa.

Mitä minun pitäisi tehdä? – Ei syytä paniikkiin

Tärkeintä on ymmärtää, että tämä haavoittuvuus on todella vakava, mutta olet yksi ihminen miljardeista ihmisistä jota tämä koskee. Kaikki me muutkin painelemme saman ongelman kanssa ja se että hyökkäys on kohdistettua on epätodennäköistä, että se kohdistuu sinuun. Hyökkääjän tulee lisäksi olla langattomasi kantaman alueella (~1km yleensä maksimissaan) ja en näe että Suomessa kukaan hyökkäisi toisen langattomaan verkkoon.

Päivitä tietokoneesi, tablettisi, älypuhelimesi, langattomasi tukiasemasi, IoT-laittteesi… Kaikki mitkä käyttävät langatonta verkkoa, kunhan saat päivityksen. Kaikki laitteet eivät välttämättä saa päivitystä koskaan. Kun päivitys on saapunut kaikkiin laitteisiin, on tietysti suotavaa vaihtaa langattoman verkon salasanaa. BleepingComputerin sivuilla on lista haavoittuvista järjestelmistä.

Käytä toisisijaisia salauksia, HTTPS:n on ehdottomasti näistä tärkein. Myös SSH-on turvallinen ja VPN-yhteydet esimerkiksi. VPN-yhteyden avulla varmistat, että yhteytesi on salattuna päätelaitteeltasi tunnelin toiseen päähän, joka yleensä on VPN-palveluntarjoajan konesalissa. VPN-yhteys ei korvaa SSL/TLS-salattua yhteyttä!

Mikäli käytät sähköpostiohjelmaa työasemassasi tai olet määrittänyt sähköpostisi älypuhelimeesi / tablettiisi, varmistathan  että käytät SSL/TLS-salattua yhteyttä. Pääasiassa palveluntarjoajat tarjoavat SSL/TLS-salattua yhteyttä, mutta tämä kannattaa varmistaa omalta palveluntarjoajaltasi  ja oman laitteiden sähköpostiasetuksista.

Lisätietoa HTTPS:stä ja SSL/TLS:stä löytyy tästä aikaisemmasta artikkelistani. Jos vierailemillasi sivuilla ei löydy SSL/TLS-salausta vielä, olethan yhteydessä sivuston ylläpitäjään ja pyydä häntä ottamaan tämä käyttö suojatakseen sivuston vierailijoita.

Lähteet:

https://www.krackattacks.com/

https://www.viestintavirasto.fi/kyberturvallisuus/varoitukset/2017/varoitus-2017-03.html

Kommentoi