סערת ה-WiFi: פירצה שנחשפה בשעות האחרונות הופכת כמעט כל מכשיר לחשוף

חוקרי אבטחה בלגים גילו פרצת אבטחה בפרוטוקול WPA2 שמאפשרת לתוקפים לקבל גישה למידע רגיש כמו פרטי כרטיס אשראי, סיסמאות ומיילים

מקור: Mathy Vanhoef

צמד חוקרי אבטחה בלגים גילו פרצת אבטחה בפרוטוקול WPA2, פרוטוקול שאמור לאבטח את כל רשתות ה-WiFi המודרניות, שנוגעות ל-90% ממשתמשי ה-WiFi ברחבי העולם. הפרצה, מתבססת על key reinstallation attacks או בקיצור KRACKs, מה שמאפשר לתוקפים לשים ידם על מידע שאמור להיות כביכול מוצפן ומאובטח. המשמעות היא שמידע רגיש כמו מספרי כרטיסי אשראי, סיסמאות, הודעות צ’אט ומייל יכול להגיע לידיים הלא נכונות. יתרה מכך, במקרים מסוימים התוקפים יוכלו גם להזריק תוכנות זדוניות או כופר לאתרים. בקיצור, ההנחה היא שכל מכשיר שמחובר לרשת WiFi – חשוף.

אחד מאיומי האבטחה הגדולים אי פעם

בעבר, רשתות אלחוטיות היו מאובטחות עם תקן שנקרא WEP, תקן שהיה חשוף למספר רב של התקפות שמרביתן אינן דורשות מהתוקף גישה פיזית ל-WiFi או אפילו להיות מחובר לרשת. בהמשך, פותחו כלים שהפכו התקפות מסוג זה לפשוטות יותר, כך שאם ה-WiFi שלכם מאובטח על ידי WEP, דעו כי יש בשוק מבחר של ישומים פשוטים שיוכלו לפצח את הסיסמה שלכם בתוך שניות. כתוצאה מכך תקן ה-WEP הוחלף בעיקר עם WPA ובהמשך עם התקן הנוכחי, WPA2 שנחשב לפרוטוקול בטוח הרבה יותר (סיסמאות ארוכות ומסובכות לרוב עושות את עבודת הפריצה לקשה עד בלתי אפשרית).

יחד עם זאת, אם החולשה האחרונה דומה לדרך שבה פרוטוקול WEP נחשב לפגיע, זה לא באמת משנה עד כמה חזקה הסיסמה שלכם. בתיאוריה, התגלה כי מאות מיליוני נתבים הנמצאים בשימוש על ידי אנשים פרטיים ועסקים כאחד חשופים למתקפות האקרים, וזה כולל משתמשי אנדרואיד, אפל, לינוקס, MediaTek, Lynksys, MediaTek, Windows ו-OpenBSD.

החוקרים מסבירים שמה שקורה הוא שהתוקפים מייצרים עותק של רשת ה-WPA2 ומשנים את ערוץ ה-WiFi. כלומר, מדובר ברשת חדשה ומזויפת שמתנהגת כמו הדבר האמיתי, אבל בעצם מדובר ב”Man in the middle”. לכן כאשר מכשיר מסוים מנסה להתחבר לרשת המקורית כביכול, ניתן יהיה להבחין אולי שאייקון ה-HTTPS כבר לא מופיע (כפי שניתן לראות בסרטון ההדגמה מטה), אבל מרבית המשתמשים לא ישימו לב לכך ויזינו את הפרטים האישיים שלהם והסיסמאות. מיותר לציין שהמידע הזה יהיה נגיש וזמין אחר כך לתוקפים.

אמיר כרמי, מנהל הטכנולוגיות של חברת האבטחה ESET בישראל, מציע לא להשתמש ב- WiFi בכלל, עד שהפרצה תתוקן. כמובן שמדובר בבקשה לא מאוד ריאלית בעולם שבו אנו חיים, ולכן האופציה השניה וההגיונית יותר היא להשתמש בחיבורי HTTPS כאשר הדבר אפשרי. עבור עסקים כרמי ממליץ לעשות שימוש ב-VPN על מנת להוסיף שכבה נוספת של אבטחה.

פרט חשוב נוסף הוא שהחוקרים עדיין לא יודעים האם נעשה שימוש בחולשה זו או לא. בכל מקרה, הבשורות הטובות הן שהבעיה צפויה להיות יחסית קלה לתיקון, וההמלצה היא להתקין את ה-Patch ברגע שזה יהיה זמין עבור המכשיר או הראוטר שלכם (מספיק יהיה לעדכן רק אחד מהם).

וידאו: אחד החוקרים מסביר כיצד מרחשת הפרצה

הילה חיימוביץ׳

גיקית, Deal With It

להגיב

10 תגובות

  1. aaaa הגיב:

    לפי מה שהבנתי, ותקנו אותי אם אני טועה. אם מעדכנים את אחד משני הצדדים (הראוטר או המערכת הפעלה) הבעיה תפתר, זה קצת מצמצם את הבעיה כי המערכות הפעלה המובילות (דביאן, arch ;-) ) כבר שחררו עדכון. (זה לא יעזור לאנדרואיד וכל מיני מכשירים שלא מקבלים עדכונים)

  2. אלי הגיב:

    נו עכשיו משתמשי אנדראויד רק צריכים לעדכן. אה אופס, אתם לא יכולים כי יש לכם מכשיר סיני עלוב שיוצאת לו גירסה כל שנתיים.

  3. Asaf Shelly הגיב:

    לא הצלחתי להבין מה בדיוק קורה שם.
    יש להם ראוטר שמתחזה לראוטר שלי ואז אני מתחבר דרכם?
    אם זה מה שקורה אז איפה הבעיה שלהם עם https? כל פיירוול יודע לקרא מידע מוגן https. מה הפתרון בזה?

    • יהודה הגיב:

      אף פיירוול לא יכול לקרוא https
      אלא אם כן משתמש הקצה התקין בפועל תעודה של הפיירוול ובעצם נתן לו אפשרות להחליף תעודות.
      אף אחד לא עושה את זה בסתם wifi, ובכל מקרה זה לא יעזור לפורץ אם אין לו גישה ל firewall כי עדיין התקשורת בין הפיירוול למכשיר הקצה מוצפנת.
      אם לפורץ יש גישה לפיירוול – אין לו שום צורך להשתמש בפירמה החדשה שנמצאה.

      • Asaf Shelly הגיב:

        פיירוול מבצע stateful inspection גם על https על ידי החלפת מפתחות man in the middle. אם עוברים דרך הראוטר שלהם הם יכולים גם לקרא https, לא? מקסימום יהיה אייקון קטן של certificate. אני טועה?

  4. קישקושטור הגיב:

    קישקושציה

  5. ליאור הגיב:

    כן, ברור, אני בטוח שבזק, הוט והספקיות עוד שנייה יעדכנו את הנתב…

  6. מוט הגיב:

    לא להשתמש בוויפי. לא כי להשתמש ברשת סלולרית זה כן בטוח.

  7. E-F הגיב:

    לא הבנתי כיצד זה שונה מהמצב הקיים…
    אני יכול להקים רשת זהה, להריץ מתקפה שתנתק את הקורבן מהרשת שלו.
    הוא יכנס להגדרות WIFI, יראה רשת נוספת עם שם זהה – יתחבר אליה ויגלוש…. בזמן שכל התעבורה עוברת דרכי עם ssl strip

    בכל מקרה – רוב התעבורה היום מוצפנת ועל האתרים הגדולים לא יעבוד הssl strip… אז לא הבנתי על מה כל המהומה.

תגיות לכתבה: