פרוטוקול האבטחה שאנחנו לא יכולים בלעדיו, WPA2, משתדרג - קופסה שחורה - הבלוג של לביא לזרוביץ - TheMarker
 

אתם מחוברים לאתר דרך IP ארגוני, להתחברות דרך המינוי האישי

טרם ביצעת אימות לכתובת הדוא"ל שלך. לאימות כתובת הדואל שלך  לחצו כאן

תיק מניות

רשימת קריאה

רשימת הקריאה מאפשרת לך לשמור כתבות ולקרוא אותן במועד מאוחר יותר באתר,במובייל או באפליקציה.

לחיצה על כפתור "שמור", בתחילת הכתבה תוסיף את הכתבה לרשימת הקריאה שלך.
לחיצה על "הסר" תסיר את הכתבה מרשימת הקריאה.

לרשימת הקריאה המלאה לחצו כאן

פרוטוקול האבטחה שאנחנו לא יכולים בלעדיו, WPA2, משתדרג

כיום פועלות כ-9 מיליארד רשתות Wi-Fi הנמצאות בשימוש ברחבי העולם, יותר מכמות האנשים על פני כדור הארץ ■ עכשיו פרוטוקול האבטחה משתדרג ■ מה זה אומר והאם המכשירים שלכם מוכנים?

4תגובות
לוגואים אינטרנט

הבלוג נכתב על ידי אולג אלכסנדרוב, חוקר אבטחת מידע בסייברארק.

לאחר יותר מעשור זה קרה! ב-25 ליוני השנה הוציאה התאחדות ה-Wi-Fi העולמית את התקן החדש לאבטחת מידע ברשתות הWi-Fi הנקרא WPA3, המהווה שדרוג אבטחתי לקודמיו WPA ו-WPA2.

כל מה שצריך לדעת על קריירה בהייטק
כנסו למתחם

כיום פועלות כ-9 מיליארד רשתות Wi-Fi הנמצאות בשימוש ברחבי העולם, יותר מכמות האנשים על פני כדור הארץ! הנתון הזה אינו מפליא בהתחשב בעולם הטכנולוגי בו אנו חיים. הרי כל היום אנחנו רודפים אחר קליטה סלולרית או Wi-Fi בשביל ליהנות מגלישה באינטרנט כדי שנוכל להשתמש ברשימה לא נגמרת של אפליקציות ואתרי אינטרנט. לכן רשתות Wi-Fi מושכות אליהן גם האקרים (פצחנים) שמעוניינים לגנוב מידע אישי כגון ססמאות וכרטיסי אשראי. אי לכך טכנולוגיית ה-Wi-Fi דורשת התייחסות אבטחתית בכדי שהאקרים לא יוכלו לפרוץ לרשתות בקלות ולגנוב את כרטיסי האשראי או לקרוא את הדוא"ל שלנו.

מה זה WPA

Wi-Fi Protected Access או בקיצור WPA הינו פרוטוקול אבטחה עבור רשתות Wi-Fi. למה אנחנו צריכים מנגון אבטחה אם יש שכבות הגנה כמו TLS? זה נכון שיש פרוטוקולים מאובטחים אשר עוזרים לנו לשמור על המידע האישי שלנו סודי, אבל מאחורי הקלעים אנחנו משתמשים גם בפרוטוקולים לא מאובטחים ללא ידיעתנו.

אחד מהם הוא DNS, פרוטוקול שמטרתו להמיר את כתובות האתרים שאליהם אנו גולשים לכתובת IP. אתם כנראה תוהים איך הפרוטוקול הזה מועיל להאקרים. אמנם אנחנו לא מעבירים פה מידע אישי אבל האקרים יכולים לנצל אותו בשביל להסיק ממנו באילו אתרים אתם גולשים, מה שימקד אותם לאתרים שדורשים מסירה של מידע סודי.

לצורך העניין אני גולש לאתרי חדשות, פייסבוק, אינסטגרם ואיביי. ללא ספק איביי מושך יותר תשומת לב משאר האתרים האחרים כי שם נמצאים פרטי האשראי שלכם. האקרים עלולים להשתמש בעובדה שפרוטוקול DNS מעביר מידע בצורה גלויה ולזייף תשובות, ועל ידי תשובה מזויפת להפנות אתכם לאתרים מזויפים אשר הוכנו במיוחד עבורכם. הם זהים לחלוטין לאתר שאליו ציפיתם להגיע, וכך הם יגרמו לכם למסור את פרטי האשראי שלכם.

ניתוב המשתמש לאתר מזויף

לפני שנצלול להסבר על טכנולוגיית Wi-Fi נסביר מה זה תקשורת קווית. בכדי להתחבר לרשת קווית אנחנו צריכים לחבר עם כבל את המכשיר שלנו לרשת. שכבת הגנה זו נחשבת להגנה פיזית. כלומר רק בעלי נגישות פיזית לנתב יכולים להתחבר לרשת, לגשת לכלל הרכיבים המחוברים לאותה רשת ולראות את התקשורת המתרחשת ברשת. אם האקר ירצה לזייף תשובות DNS הוא יצטרך לפרוץ לבית שלכם ולהתחבר לנתב עם כבל. מסכימים שזו חציית גבול? אבל למי מאיתנו אין Wi-Fi בבית...

פרוטוקול ה-Wi-Fi מאפשר להעביר מידע דיגיטלי על גבי גלי רדיו, מה שאומר שכל אחד אשר נמצא ברדיוס קליטה יכול להתחבר לרשת, לראות את התעבורה וגם לשלוח פקטות בעצמו. בשונה מתקשורת קווית אין פה שכבת הגנה (בינתיים). לדוגמה, בהינתן שני מכשירים התומכים בטכנולוגיית Wi-Fi נוכל להעביר מידע גלוי בין האחד לשני. אם ניקח מכשיר נוסף ונחברו לאותה רשת Wi-Fi בבית קפה או בשדה התעופה, ניתן יהיה באמצעותו לראות את כל ההודעות המועברות ביניהם ואף להתערב בתקשורת. שמים לב לבעיה? ללא אבטחה של המידע היוצא ממכשיר המחובר לרשת, כל אחד יכול לעקוב ולהתערב בתוכן ההודעות ולבסוף אחרי מניפולציות ולגנוב את מספר כרטיס האשראי. פה נכנס WPA לתמונה - הפרוטוקול דואג להצפין את המידע כך שהוא אינו ישודר בצורה גלויה, ובכך למנוע גישה של גורמים לא מורשים לרשת. כאשר המכשיר מתחבר לרשת Wi-Fi ומתחבר לנתב אנחנו משתמשים בססמה ולאחר אימות מוצלח המכשיר והנתב מעבירים ביניהם מפתח הצפנה ולאחר מכן כל התעבורה תהיינה מוצפנת, כך שאף אחד לא יוכל לראות את התוכן האמיתי של ההודעות.

איפה המלכוד?

WPA2 הינו פרוטוקול ששימש אותנו יותר מעשור. הפרוטוקול משך הרבה חוקרי אבטחת מידע והאקרים לחקור אותו לעומק, דבר שהניב לא מעט מאמרים ופרסומים של חולשות אשר איפשרו להאקרים לפרוץ לרשתות Wi-Fi באמצעות שיטות שונות. רוב האנשים אינם מודעים לעולם התוכן של אבטחת מידע, לכל ההשלכות של הגדרות לקויות, הן מצד מנהל הרשת (ססמה פשוטה, פרוטוקול אבטחה ישן כמו WPA, WEP) והן מצד המשתמש (התחברות לרשת לא מאובטחת או התעלמות מהודעות אזהרה). אם ראיתם אזהרה בדפדפן כמו זו למטה והמשכתם כרגיל לאתר, גם אתם חשפתם את עצמכם ברשת.

אזהרת חיבור לא מאבוטח

באמצעות כלים יחסית פשוטים, האקרים יכולים לגלות את ססמת ה-Wi-Fi של כל רשת (רק עניין של זמן), להאזין לכל התוכן, להתערב בו ולהפנות משתמשים לאתר מזויף לצורך גניבת פרטים אישיים כגון פרטי אשראי (במקרים מסוימים הייתם רואים את ההודעה מעלה). השיטות שציינתי תקפות גם היום עקב בעיות לוגיות בפרוטוקול שלא ניתן לתקן, מכאן נבע הצורך בפיתוח פרוטוקול חדש.

קראנו הרבה. זה הזמן לדוגמות: פריצת Wi-Fi בפועל

זיוף נתב וגניבת מידע - שיטת MITM

התחברתם לרשת Wi-Fi בשדה תעופה ועכשיו אתם גולשים לאתר שדורש שם משתמש וססמה, אבל לא ידעתם שהבחור מולכם מחובר לרשת ומאזין לכל פעולה בה. אותו פצחן השתמש בחולשה הלוגית בפרוטוקול והתחזה לנתב שאליו התחברתם - כרגע כל התעבורה שלכם עוברת דרך המחשב שלו. הצעד הבא שלו יהיה לזייף תשובת DNS (כפי שמתואר מעלה) ולהפנות אתכם לאתר לא מאובטח שיאפשר לו לראות את כל המידע שתשלחו מהמחשב שלכם. אתם מכניסים את פרטי החשבון שלכם כדי להתחבר לאתר, ובזה הרגע מסרתם לו את הפרטים שלכם. כך זה נראה:

Key reinstallation attack on WPA2 protocol - דלג
תקיפת פרוטוקול האבטחה וגניבת פרטים אישיים

יתרונותיו של WPA3

WPA3 הינו שדרוג לפרוטוקול WPA2 שמאפשר רמת אבטחה טובה יותר ומונע את הפגיעות הלוגיות. השינוי הינו באופן ההתאמתות אל מול הנתב והחלפת מפתחות ההצפנה בינו לבין מכשיר הקצה. דבר שיקשה על האקרים לפרוץ לרשתות המוגנות על ידי ססמאות חלשות ויתקן את החולשה הלוגית שהיתה קיימת ב-WPA2. חשוב לציין, היעדרות החולשות בפרוטוקול החדש אינו מונע באופן מוחלט אפשרות תקיפה, הוא רק מקשה על התהליך. בנוסף קיים סיכוי שבעתיד הלא רחוק ימצאו חולשות גם בפרוטוקול החדש, לכן מומלץ להישאר מעודכנים בכל הנוגע לפרוטוקול החדש.

איך זה משפיע עלינו כמשתמשים

התאחדות ה-Wi-Fi העולמית בשילוב עם חברות גדולות ומומחי אבטחת מידע יקדמו את המהלך להחלפת כל רשתות ה-Wi-Fi להשתמש בפרוטוקול החדש, עד מצב שבו נהיה מחויבים להשתמש בו. לבינתיים התאחדות ה-Wi-Fi לא ציינה אם המכשירים של היום יקבלו עדכון תוכנה בשביל לתמוך ב-WPA3, לכן המהלך עלול לדרוש החלפת ציוד תקשורת בו אנו משתמשים. יתכן ומשתמשים אשר ירצו לשפר את אבטחת הרשת יצטרכו לקנות ציוד חדש - נתבים, טלפונים, אולי אפילו לפטופים חדשים, כיוון שהציוד שיש לנו היום אינו מתאים ברמת החומרה לשדרוג בפרוטוקול או פשוט לא יעבור אישור של התאחדות ה-Wi-Fi. לפי השערות המומחים, התהליך יהיה ארוך ואנחנו נראה את השימוש בתקן החדש רק בתחילת 2019 ושימוש רחב בתחילת 2020, מה שמותיר לנו עוד זמן לחסוך כסף. בינתיים תימשך התמיכה ב-WPA2, תיקון באגים ומניעת חולשות חדשות במקרה ותמצאנה.

כמה טיפים לקינוח

אם אתם מנהלים רשת Wi-Fi תקפידו להשתמש בססמאות לא פשוטות וארוכות עבור רשתות ה-Wi-Fi שלכם, השתמשו ב-WPA2 ולא פחות לעת עתה.

אם אתם משתמשים שרוצים זמן אינטרנט השתדלו לא להתחבר לרשתות Wi-Fi אשר לא תומכות ב-WPA2 ובהמשך WPA3. אם בכל זאת בחרתם להתחבר, אל תעבירו מידע רגיש על גבי הרשת ומומלץ לא להתחבר לחשבון בנק שלכם ברשתות כאלה. וכמובן, אל תעבירו מידע רגיש לאתרים לא מאובטחים (אתרים שאינם תומכים ב-SSL) אלה אם כן אתם רוצים להפיץ את המידע האישי שלכם לכולם.



תגובות

דלג על התגובות

בשליחת תגובה זו הנני מצהיר שאני מסכים/מסכימה עם תנאי השימוש של אתר TheMarker

סדר את התגובות

כתבות שאולי פיספסתם

*#