Brzina i protokoli za zaštitu prometa bili su glavna briga WiFi Alliance još od samih početaka uvođenja bežičnih mreža krajem prošlog stoljeća. Iako se bežične mreže mogu pohvaliti velikim brzinama, s njihovom sigurnošću to nije slučaj
Mali sigurnosni propusti mogli su se ispraviti zakrpama, ali loši koncepti zahtijevali su generalne revizije i odustajanje od ranijih protokola. Tijekom 2019. godine očekuje se masovni prijelaz na novi protokol WPA3; pogledajmo koji su razlozi tome.
Aktualni bežični protokol WPA2 pokazao se vrlo osjetljivim na slabe ključeve koje su hakeri na miru mogli tražiti u off-line modu alatima poput AirCracka (www.aircrack-ng.org) ili pretražujući hasheve lozinki “Duginim tablicama” (Rainbow Tables). WPA i WPA 2 nisu omogućavali “proslijeđenu sigurnost” (Forward Security) pa kad bi haker otkrio pre-shared key (PSK) mogao je otvoriti cijeli mrežni promet od tog trenutka nadalje, ali isto tako i sve prethodne pakete “zaštićene” tim PSK-om. Nastojeći prevladati navadu korisnika da se služe slabim lozinkama, WiFi Alliance uvela je WiFi Protected Setup (WPS) koji bi ključ dodatno ojačao PIN-om s osam znamenki. Međutim, kako je 2011. godine pokazao Stefan Viehböck, postojao je sigurnosni propust u proceduri, koji je omogućavao daljinsko otkrivanje PIN-a (koji je, usput budi rečeno, obično otisnut na stražnjoj strani WLAN routera) te uz napad iscrpljujućim pretraživanjem ključeva, otvaranje bežične mreže.
Sljedeće godine očekuje se masovni prelazak na bežične mreže prema novom protokolu WPA3
Na starijim verzijama MS Windowsa koristio se Challenge Handshake Authentication Protokol (MS-CHAPv1 i MS-CHAPv2) za logiranje korisnika, na kojem je otkriveno niz propusta, a 2012. godine Moxie Marlinspike i Marsh Ray reducirali su postupak na razinu izvedivosti na prosječnom PC računalu. Erik Tews i Martin Beck, a nakon njih i dvojac Mathy Vanhoef i Frank Piessens uspjeli su injektirati pakete koji su sadržavali maliciozni JavaScript kôd u WPA, unatoč protokolu privremenog integriteta ključa (Temporal Key Integrity Protocol, TKIP) kod kojeg se za svaki paket generirao novi 128-bitni ključ korištenjem protočne RC4 šifre.
Grupni privremeni ključ (Group Temporal Key, GTK) bio je cilj man-in-the-middle i DoS napada, popularno nazvanih Hole196, a 2016. godine otkrivena je pogreška u generatoru slučajnog ključa, koja je omogućavala predviđanje GTK generiranog od pristupne točka (AP) bežične mreže. WPA i WPA2 odolijevali bi tek minutu-dvije dok napadač ne bi došao do GTK kojim bi potpuno mogao pratiti promet mrežom, pa čak i injektirati svoje pakete. Krajem prošle godine, već spomenuti dvojac Vanhoef i Piessens demonstrirali su Key Reinstallation AttaCK (KRACK), koji je iskorištavao propuste u četverosmjernom “rukovanju” (four-way handshake) namijenjen za autentifikaciju klijenta na bežičnu mrežu.
Tada je WiFi Alliance odlučila postaviti nove zahtjeve i najaviti novi protokol WPA3, kompatibilan s WPA2. Prva novost je u tome što će promet pod WPA3 biti uvijek kriptiran, čak i na otvorenim mrežama, a enkripcija će se provoditi automatski, kao Opportunistic Wireless Encryption, čak i bez unošenja lozinke. Koristit će se standardna blok šifra AES sa 128-bitnim ključevima za Personal mode, i 192-bitnim ključevima za Enterprise mode. Na iskustvima napada KRACK uveden je Simultaneous Authentication of Equals Handshake, varijanta “Dragonfly” razmjene ključeva, temeljenog na diskretnim logaritmima, koji bi trebao osigurati i proslijeđenu sigurnost.
Posebna pozornost posvećena je sve većem broju priključenih uređaja bez zaslona i pokazivača, kod kojih se povezivanje obično izvodi jednostavnim pritiskom na tipku. Znatno je poboljšan WiFi Protected Setup, i dolazi pod novim nazivom “WiFi Easy Connect”, a autentificiranje će se provoditi skeniranjem QR kôda zalijepljenog na klijentski uređaj pomoću smartfona.
U vrijeme pisanja, WiFi Alliance je već formulirala standard prema kojem su vodeći proizvođači hardvera počeli proizvoditi mrežnu opremu, a očekuje se kako će prijelaz na novi protokol masovno početi u 2019. godini. Ako zadovolje nove kriterije, bit će verificirani za WPA3. Kompatibilnost s WPA2 omogućit će postupni prijelaz na novi protokol, u trenutku kad na mreži više ne bude WPA2 klijenata, moći će se jednostavno ugasiti podrška starom standardu.
Niti jedan mrežni paket ne može izbjeći pozornosti Wiresharka, čak ni oni koji nisu upućeni vašem mrežnom adapteruWireshark ima vrlo dobar sustav filtara mrežnog prometaDemo napada KRACK-om Uz malu pomoć alata Wireshark, iz bežične mreže ekstrahirani su korisničko ime i lozinkaMathy Vanhoef i Frank Piessens objavili su krajem 2017. godine veliki sigurnosni propust u protokolu WPA2 Frank Piessens
Što to za nas znači?
Kao admin, kako se u svemu tome ponašati, znajući da imate posla s napadačem koji je vjerojatno i sada barem jedan korak ispred?
Prije puta provjerite jesu li vaši djelatnici instalirali sve zakrpe na instaliranom softveru i upozorite ih da nikakve druge zakrpe ne smiju instalirati tijekom službenog puta.
Osigurajte im vezu preko VPN-a, koju moraju koristiti svaki put kad koriste javni i nezaštićeni WiFi.
Objasnite im da ne ostavljaju uređaje bez nadzora, hotelski i sobni sefovi nisu neka zaštita, barem neka koriste vanjske memorije za osjetljive podatke te lozinke/biometriju za logiranje na računala i tablete.
Enkriptiranje osjetljivih dijelova diska dobra je praksa, ne samo u slučaju krađe, već i u slučaju bilo kakvog gubitka uređaja. Ipak, treba provjeriti lokalno zakonodavstvo o slobodi korištenja jake enkripcije, začudili biste se gdje je sve ona strogo zabranjena.
NAPOMENA: Ovaj tekst je izvorno objavljen u časopisu Mreža.
7 utičnica, (2 za visoki napon, 5 linearno filtrirane), 15 ampera RMS, Linear Noise-Dissipation i Ground-Noise Dissipation, Linear Noise-Dissipation i Ground-Noise Dissipation
Predvideni za smještaj na policu ili stalak dvostaznog ustroja, stražnji bas reflex, preporucena snaga pojacala 50-120W, osjetljivost 86dB, nominalna impedancija 80 hma, frekvencijski raspon 56-20,000Hz.
2x 120 W po kanalu na 4 oma, Bluetooth 5.2 s AptX Adaptive, bežično i žično povezivanje slušalica, Hi-res audio digitalni ulazi, ESS ES9018 DAC, Class AB amplifikacija, solidni aluminijski potenciometri, aluminijski prednji, gornji, bočni i stražnji paneli, kompaktni daljinski upravljač.
Q Concerto Meta smo slušali s nekoliko pojačala koja za njih predstavljaju logičan izbor ili barem logičan početak traženja - Audiolab 7000A, Arcam A15, NAD C368 i Cambridge Audio CXA81 MkII.
