Ovo nije velika vijest o novoj sigurnosnoj maniri. Umjesto toga, to je način na koji je WPA2-PSK uvijek bio implementiran. Ali to je nešto što većina ljudi ne zna.
Otvori Wi-Fi mreže vs šifrirane Wi-Fi mreže
Ne biste trebali ugostiti otvorenu Wi-Fi mrežu kod kuće, ali možete se naći u javnosti - na primjer, u kafiću, dok prolazite kroz zračnu luku ili u hotelu. Otvorene Wi-Fi mreže nemaju šifriranje, što znači da je sve što se šalje preko zraka "jasno". Korisnici mogu nadzirati vašu aktivnost pregledavanja, a svaka aktivnost na mreži koja nije osigurana samim enkripcijom može se prekinuti. Da, to je istina čak i ako se morate prijaviti korisničkim imenom i zaporkom na web stranici nakon što se prijavite na otvorenu Wi-Fi mrežu.
Šifriranje - poput WPA2-PSK enkripcije koju preporučujemo da koristite kod kuće - donekle to popravi. Netko u blizini ne može jednostavno uhvatiti vaš promet i njuškati se. Dobit će hrpu šifriranog prometa. To znači da šifrirana Wi-Fi mreža štiti od vašeg privatnog prometa.
To je istina - ali ovdje postoji velika slabost.
WPA2-PSK koristi zajednički ključ
Problem s WPA2-PSK jest taj da koristi "Pre-Shared Key". Ovaj ključ je lozinka ili zaporka, morate unijeti za povezivanje s Wi-Fi mrežom. Svatko tko povezuje koristi istu zaporku.
Jednostavno je da netko prati taj šifrirani promet. Sve što im treba jest:
- Zaporka: Svatko tko ima dozvolu za povezivanje s Wi-Fi mrežom.
- Udruga prometa za novog klijenta: Ako netko hvata pakete poslane između usmjerivača i uređaja prilikom povezivanja, imaju sve što im je potrebno za dekriptiranje prometa (pod pretpostavkom da imaju i zaporku, naravno). Također je trivijalan za taj promet putem "deauth" napada koji prisilno odspojite uređaj s Wi_Fi mreže i prisiliti ga da se ponovno poveže, uzrokujući ponovni postupak povezivanja.
Stvarno ne možemo naglasiti koliko je to jednostavno. Wireshark ima ugrađenu opciju automatskog dešifriranja WPA2-PSK prometa sve dok imate pre-dijeljeni ključ i snimili ste promet za proces pridruživanja.
Što ovo zapravo znači
Ono što to zapravo znači jest da WPA2-PSK nije puno sigurniji od prisluškivanja ako ne vjerujete svima na mreži. Kod kuće trebate biti sigurni jer je vaša Wi-Fi zaporka tajna.
Međutim, ako izlazite u kafić i upotrebljavate WPA2-PSK umjesto otvorene Wi-FI mreže, možda ćete se osjećati mnogo sigurnijima u vašoj privatnosti. Ali ne biste trebali - svatko tko ima Wi-Fi zaporku za kafiću može pratiti vaš promet pregledavanja. Drugi ljudi na mreži, ili samo drugi ljudi s lozinkom, mogli bi skočiti na vaš promet ako žele.
Obavezno uzmite u obzir. WPA2-PSK sprječava korisnike bez pristupa mreži od njuškanja. Međutim, nakon što imaju mrežnu zaporku, sve oklade su isključene.
Zašto WPA2-PSK ne pokušava zaustaviti ovo?
WPA2-PSK zapravo pokušava zaustaviti to upotrebom "pacijentu prijelaznog ključa" (PTK). Svaki bežični klijent ima jedinstveni PTK. Međutim, to ne pomaže mnogo jer jedinstveni ključ po klijentu uvijek proizlazi iz unaprijed dijeljenog ključa (Wi-Fi zaporka). Zato je trivijalno zabilježiti jedinstveni ključ klijenta sve dok imate Wi- Fi passphrase i može uhvatiti promet koji se šalje putem postupka pridruživanja.
WPA2-Enterprise rješava ovo … za velike mreže
Za velike organizacije koje zahtijevaju sigurnu Wi-Fi mrežu, ta se sigurnosna slabost može izbjeći korištenjem EAP autentifikacije pomoću RADIUS poslužitelja - ponekad nazvanog WPA2-Enterprise. S ovim sustavom svaki Wi-Fi klijent prima uistinu jedinstven ključ. Nijedan Wi-Fi klijent nema dovoljno informacija da bi se samo počelo njuškati na drugom klijentu, pa to pruža mnogo veću sigurnost. Veliki korporativni uredi ili vladine agencije trebaju koristiti WPA2-Enteprise iz tog razloga.
Ali to je prekomplicirano i složeno za veliku većinu ljudi - ili čak većinu geekova - da ih koriste kod kuće. Umjesto Wi-Fi zaporke morate unijeti na uređaje koje želite povezati, trebali biste upravljati RADIUS poslužiteljem koji obrađuje autentifikaciju i upravljanje ključem. To je puno komplicirano za kućne korisnike da se postave.
U stvari, ne vrijedi ni vaše vrijeme ako vjerujete svima na Wi-Fi mreži ili svima koji imaju pristup vašoj Wi-Fi zaporci. To je neophodno samo ako ste povezani s WPA2-PSK šifriranom Wi-Fi mrežom na javnoj lokaciji - kafiću, zračnoj luci, hotelu ili čak većem uredu - gdje drugi korisnici kojima ne vjerujete imaju Wi- FI mrežna zaporka.
Dakle, padne nebo? Ne, naravno da ne. No, imajte to na umu: kada ste povezani s mrežom WPA2-PSK, ostali korisnici koji imaju pristup toj mreži mogli bi lakše skočiti na vaš promet.Unatoč onome što većina ljudi vjeruje, ta enkripcija ne pruža zaštitu od drugih ljudi koji imaju pristup mreži.
Ako morate pristupiti osjetljivim web stranicama na javnoj Wi-Fi mreži - osobito na web stranicama koje ne koriste HTTPS enkripciju - razmotrite to putem VPN-a ili čak SSH tunela. Šifriranje WPA2-PSK na javnim mrežama nije dovoljno dobro.