Allt (eða sumt) um KRACK, öryggisveikleika í WPA2.

Titillinn er ekki áhugaverður, í sjálfu sér, en á sér rót í tilkynningu frá Póst og Fjarskiptastofnun sem send var út í fyrradag. Þeir sem lásu tilkynninguna hefðu mögulega geta pissað í buxurnar af stressi, en þegar rykið er sest, langar mig að setja nokkrar hugleiðingar á blað um KRACK. En Jón Ólafsson, kallaður Nonni Lappari, hefur nú þegar skrifað um þennan öryggisveikleika.

Um árabil höfum við treyst á WPA2 (WiFi Protected Access) samskiptareglur til að tryggja WiFi netin okkar, í dag (eða í fyrrdag réttarasagt) er síðasti dagurinn sem það er hægt. Öryggisveikleikinn sem fékk nafnið KRACK nýtir sér veikleika í upphafssamskiptum tækja sem nýta WPA2 samskiptareglurnar, það sem oft er kallað handshake, WPA2 samskiptareglurnar eru þær mest notuðu í heiminum, bæði á heimilum og innan fyrirtækja.

Á fyrirlestri í Dallas, þar sem öryggisveikleikinn var opinberaður. Var einnig opiberað að þessi veikleiki gefi árásar aðila færi á að hlera umferð, stela tengingum, troða inn óværu og jafnvel afkóða samskiptareglurnar sjálfar. Veikleikinn var tilkynntur framleiðendum búnaðar með góðum fyrirvara áður en hann var opinberaður til að gefa þeim tíma til að bregðast við, tam hefur Microsoft nú þegar sent út öryggisuppfærslu fyrir Win7, 8.1, 10 og Server 2012 og 2016. Sama hjá Apple fyrir macOS, watchOS, iOS og tvOS. Google hefur tilkynnt að uppfærslan fer út með Nóvember öryggisuppfærslunni hjá sér, sú uppfærsla á við fyrir Nexus og Pixel tæki, sem Google uppfærir sjálft, en væntanlega keyra Samsung og aðrir stórir framleiðendur Android tækja uppfærsluna fljót í gegn hjá sér líka. Nú þegar hefur Linux kjarninn fengið uppfærslu. Tæki á borð við Google WiFi sem sá sem þetta skrifar á og er útbreiddasta þráðlausa lausn á heimilum í bandaríkjunum fær uppfærslu síðar í vikunni.

Hvernig á ég að bregðast við?

Raunverulega er lítið hægt að gera nema bíða.

Nokkrar grundvallarreglur sem alltaf er gott að virða.

  • Ekki tengjast opnum þráðlausum netum,
  • Þjónusta sem þú nýtir þér, tam heimabankaþjónusta og vefverslanir á boðr við Amazon fer yfir HTTPS þannig að samskiptin á milli þín og vefsíðunnar eru dulkóðaðar, það þýðir á mannamáli að jafnvel þó að einhver nái að hlera samskiptin, getur hann ekki komist að innihaldi samskiptanna, reyndu að tengjast slíkum vefsíðum eingöngu.
  • Ef þú borgar fyrir VPN þjónustu, eða hefur aðgang að slíkri þjónustu þar sem þú veist og treystir þjónustuveitandanum til að dulkóða samskipti þá er um að gera að nýta þá þjónustu núna, en flestir VPN þjónustuveitendur gera það ekki.
  • Slakaðu á….

Hvað gæti gerst ef netið mitt verður fyrir árás?

Þessi öryggisveikleiki gerir það ekki að verkum að banka upplýsingarnar þínar fara á flug um internetið, ekki heldur lykilorð eða slíkt, né heldur gögn á rétt tryggðum samskiptum, samskiptum þar sem dulkóðað er frá enda til enda. Jafnvel þó að árásaraðli nái gögnunum þá eru þau dulkóðuð og ætti ekki að vera hægt að afkóða þau.

Framleiðendur þráðlauss búnaðar á borð við Ubiquiti, Google og Apple hafa allir sagt að þeir muni uppfæra hugbúnað í sínum búnaði til að laga þennan veikleika, og þjónustuaðliar á borð við Símann, Vodafone hér á íslandi hafa líka haft samband við sína birgja til að tryggja uppfærslu á sínum tækjum. Hinsvegar er hægt að gefa sér að framleiðendur á ódýrari þráðlausum tækjun, hvort heldur sem er símtækjum eða aðgangspunktum að þeir taki sér lengri tíma í að uppfæra, ef þeir gera það nokkurn tíman.

Skiptir þetta einhverju máli?

Þú mátt ekki halda að vegna þess að gögin þín skipti ekki máli að þú sért öruggur fyrir árás, flestar svona árásir eru tækifærisárásir. Í fjölbýlishúsum má alveg gefa sér að það sé verið að “þreifa” á öllum þrálausum netum á hverjum degi hvort heldur sem er af raunverulegum hökkurum, almennun vandræðagemlingum, eða bara forvitnum krökkum.


(Visited 35 times, 1 visits today)

Leave A Comment

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.