Эксперты предупреждают, что подогреваемый интерес к обнаруженным уязвимостям может привести к появлению публично доступных инструментов для взлома сетей в течение нескольких недель
Группа специалистов отчиталась о взломе протокола безопасности, который используется для защиты большинства Wi-Fi-соединений. Об этом на посвященном безопасности сайте пишет эксперт Левенского католического университета по кибербезопасности Мэти Ванхоф. По его словам, уязвимости содержатся в самом протоколе WPA2, используемом для защиты сетей Wi-Fi. Потенциально обнаруженные проблемы могут привести к атакам хакеров на беспроводной интернет-трафик. «(Уязвимость) может быть использована для кражи номеров кредитных карт, паролей, сообщений, электронных писем, фотографий и так далее», — подчеркивает Ванхоф.
Критические проблемы в протоколе безопасности WPA2 затрагивают как личные, так и корпоративные сети. Благодаря уязвимости, как выяснили специалисты, любую Wi-Fi сеть несложно взломать и получить доступ ко всему трафику. «Если ваше устройство поддерживает Wi-Fi, то, скорее всего, находится в опасности», — говорится в анонсе исследования. Атакам могут быть подвержены устройства на Android, Linux, Apple, Windows, OpenBSD, MediaTek, Linksys и других платформах. По информации экспертов, «исключительно разрушительному» варианту уязвимости подвержен 41% устройств на базе Android.
Ванхоф подчеркивает, что уязвимость возможно устранить. В то же время, по его словам, смена пароля на Wi-Fi-соединении не спасет пользователя от хакерской атаки. Исследователи не рекомендуют также использовать другие протоколы безопасности, поскольку они еще менее надежны. Полный отчет об эксплойте под названием KRACK (аббревиатура от Key Reinstallation Attacks) будет обнародован 1 ноября на конференции ACM CCS. В группу, работавшую над созданием эксплойта KRACK и взломом WPA2, вошли Ванхоф и Фрэнк Писсенс из Левенского католического университета, Малихех Ширванян и Нитеш Саксена из Алабамского университета в Бирмингеме, Ионг Ли из компании Huawei Technologies, а также представитель Рурского университета Свен Шраг.
Реальность угрозы подтвердило подразделение Министерства национальной безопасности США по противодействию киберугрозам (US-CERT). «Эксплуатация этих уязвимостей может позволить злоумышленнику взять под контроль любую подобную систему», — отмечается в сообщении. Уязвимость может затронуть все сети WPA2.
Как происходит взлом
Антивирусный эксперт «Лаборатории Касперского» Владимир Кусков в беседе с Forbes подтвердил, что взлом протокола WPA2 действительно произошел, что может быть потенциально опасно для всех пользователей Wi-Fi в мире. «При такой атаке злоумышленники могут подключаться к Wi-Fi сети и перехватывать трафик (то есть могут видеть, что делают пользователи этой сети), а также модифицировать его, к примеру, добавлять ссылку на вредоносное ПО на легитимном сайте, не использующем HTTPS», — говорит он. При этом для расшифровки трафика пользователя требуется лишь физически расположить атакующее устройство (компьютер со специальным программным обеспечением) в зоне действия атакуемой Wi-Fi сети, и запустить специальное ПО. Таким образом, по словам Кускова, мошенникам теоретически могут быть доступны любые данные, которые передаются внутри сети в открытом виде. Речь может идти об обращениях к сайтам, не использующим HTTPS. В то же время трафик с сайтов, использующих HTTPS, не может быть перехвачен подобной атакой, успокаивает собеседник Forbes.
Аналитик департамента анализа защищенности Digital Security Иван Чалыкин рассказал Forbes, что уязвимости в Wi-Fi встречались и ранее, например, атаки на алгоритм шифрования «WEP», протокол «WPS», но о существовании анонсированных уязвимостей ранее известно не было. «Впрочем, информация о различных свежих уязвимостях, связанных с конкретными реализациями беспроводных протоколов, включая WPA/WPA2, появляется достаточно регулярно. Однако публикация уязвимостей, представляющих реальную угрозу и имеющих настолько широкий спектр потенциально уязвимых устройств, — большая редкость», — подтверждает он.
Специалисты предупреждают, что WPA2 — протокол, который используется для защиты всех современных сетей Wi-Fi, поэтому атаке могут подвергнуться все современные защищенные сети Wi-Fi. В опасности компьютеры, смартфоны, планшеты и другие устройства по всему миру, использующие операционные системы Linux, Android, а также MacOS.
Неуловимые хакеры: российских специалистов обвиняют в краже программ для кибершпионажа АНБ
Корпоративные сети под угрозой
В Group-IB настроены более оптимистично. «Несмотря на то что обнаруженная уязвимость является вполне реальной и серьезной, скорее всего, она не приведет к массовой катастрофе, связанной с компрометацией данных. Дело в том, что в большинстве сетей и приложений применяется дополнительное шифрование на основе протоколов SSL/TLS. То есть WPA2 очень часто является вторым уровнем защиты, обеспечивая дополнительное шифрование», — пояснил Forbes представитель компании, которая занимается информационной безопасностью.
В то же время специалисты компании пришли к выводу, что модификация трафика (например, добавление ссылок на вредоносное ПО) в теории возможна. «Но только в том случае, если трафик внутри не зашифрован (можно, конечно, попробовать модифицировать и поверх SSL, но это будет неэффективно, так как вызовет большое количество ошибок сетевого взаимодействия)», — рассуждает представитель компании.
Собеседник Forbes подчеркивает, что под угрозой может оказаться трафик внутри корпоративной сети. Это связано с тем, что часто его никто не защищает при помощи SSL/TLS, полагая, что раз он не уходит в интернет, третьи лица его не прослушают, объясняет представитель Group-IB. Подобная «открытость» трафика свойственна в основном бизнес-приложениям, работающим в пределах локальной сети, уточняет он. «Что касается домашних пользователей, то их коммуникации чаще всего направлены на интернет. Владельцы важных систем (банки, личные кабинеты с персональными данными, и др.) давно перешли на SSL/TLS», — отмечает собеседник Forbes. Он также советует до момента обновления прошивки точек доступа использовать VPN, проводной или мобильный интернет.
Как защититься
Антивирусный эксперт «Лаборатории Касперского» советует обычным пользователям следовать нескольким правилам: своевременно обновлять ПО на своих Wi-Fi устройствах, а также смартфонах, планшетах, ноутбуках, PC и так далее; установить защитное решение, использовать VPN-сервисы». В компании напомнили, что вступающий в силу с 1 ноября в России закон о VPN запрещает лишь обеспечение доступа к определенным сайтам через VPN, но не саму технологию или сервис. «В связи с этим совет использовать в том числе защитные антивирусные решения с функцией VPN актуален (например, модель «Безопасное соединение» в решениях «Лаборатории Касперского»). Так как одним из распространенных сценариев может быть применение «Безопасного соединения» (с функциями VPN) для совершения онлайн-платежей в кафе, аэропортах или отелях», — говорит собеседник Forbes.
Говоря о мерах защиты, аналитик департамента анализа защищенности Digital Security отметил, что производители оборудования и ПО были заранее проинформированы, и некоторые уже выпустили обновления безопасности для своих продуктов. «К сожалению, значительная часть все еще эксплуатируемых на сегодняшний день устройств уже не поддерживается производителями и, скорее всего, такие обновления эти девайсы не получат», — признает он. Для массового пользователя, по словам Чалыкина, найденные уязвимости чреваты возможностью проведения атак на личные и корпоративные беспроводные сети. «Но этого можно ожидать только после того, как широкой общественности станут доступны инструменты для реализации атак. Учитывая постоянно подогреваемый интерес к данной проблеме и высокий риск, ожидать появления публично доступных инструментов для эксплуатации можно в течение нескольких недель», — прогнозирует Чалыкин.
Собеседник Forbes соглашается с необходимостью при первой возможности установить обновления безопасности для используемых устройств. По его словам, ряд производителей уже выпустили соответствующие обновления и большинство вендоров, скорее всего, последуют их примеру. «Также, можно самостоятельно защитить свои данные, применяя традиционные средства защиты канала — использовать «HTTPS» для веб-ресурсов и «VPN» туннелирование для шифрования сетевого трафика. Тем самым, образуется дополнительный слой защиты данных, существенно снижающий риск утечки информации при подобных атаках», — объясняет представитель Digital Security.
Отдел устранения киберинцидентов департамента государственной информационной системы Эстонии (RIA) указывает, что лишь после обновления ПО в качестве дополнительной меры можно будет сменить пароль Wi-Fi. В RIA напоминают также о базовых правилах безопасности — вместо HTTP-соединения всегда использовать HTTPS-соединение; не посылать конфиденциальную информацию через нешифрованное соединение, поскольку сообщение в таком случае передается в виде простого текста; использовать в качестве дополнительной меры безопасности VPN-сервисы; без крайней необходимости не пользоваться публичными сетями Wi-Fi, не посещать подозрительные сайты и не устанавливать программное обеспечение от неизвестных производителей.