Bezdrátový internet opět čelí bezpečnostní hrozbě. Odhalil ji výzkumník a expert v oblasti kybernetické bezpečnosti, Mathy Vanhoef. Své poznatky se chystá prezentovat na nadcházející konferenci WiSec 24, která se koná v Soulu.
Chybu označenou jako "SSID Confusion" mohou útočníci zneužít k neoprávněnému přístupu k síťovým datům a případné infiltraci malwaru. Zvlášť kritická je skutečnost, že ne všechny zabezpečovací protokoly jsou proti této formě útoku odolné.
Vanhoef ve své zprávě uvádí, že útok je možný zejména tehdy, pokud se uživatel pokusí připojit k důvěryhodné síti a zároveň je přítomna i druhá síť se stejným SSID (názvem) a ověřovacími údaji. Tímto způsobem útočníci mohou zachytit veškerý datový provoz dotčené oběti.
V ohrožení jsou všechny typy Wi-Fi klientů a zranitelnost postihuje všechny operační systémy. Obzvlášť nebezpečná je možnost oklamání služeb VPN. Pokud jsou vybaveny funkcí automatického odpojení při připojení do důvěryhodné sítě, i to může být zmanipulováno a dojde k deaktivaci i v podvržené síti. Je to proto, že VPN rozpoznávají síť Wi-Fi na základě jejího SSID.
Doposud se podařilo identifikovat šest univerzit, včetně institucí ve Velké Británii a USA, na kterých je vysoký stupeň ohrožení z důvodu opakování ověření přístupových údajů.
Zranitelné síťové protokoly a ochranná opatření proti podvrhu SSID
Ne všechny zabezpečovací protokoly Wi-Fi jsou ale k nové metodě útoku stejně náchylné. Zatímco zastaralý standard WEP a moderní WAP3 mají slabiny, WPA1 a WPA2 i ověřování FT jsou považovány za bezpečné. V jejich případě je SSID zahrnuto do procesu párování hlavních klíčů.
Podle zjištění Vanhoefa jsou také ohroženy sítě 802.11X/EAP a mesh sítě s ověřováním AMPE.
Pro dostatečné zabezpečení sítí bezdrátového internetu proti útokům záměny SSID se plánují změny standardů Wi-Fi. Například připravovaný standard Wi-Fi 7 bude obsahovat vylepšenou ochranu rámců (beacon protection), které se využívají k informování uživatelských zařízení v síti o dostupných Wi-Fi službách a blízkých přístupových bodech. Klientská zařízení využívají tyto rámce (beacony) k rozhodnutí, ke kterému přístupovému bodu se připojit.
Síťoví administrátoři ale mohou přijmout odpovídající bezpečnostní opatření už nyní. Například lze zabránit opakovanému používání přístupových údajů mezi různými SSID, nebo používat samostatná hesla pro každou síť.
Objevenou slabinu Wi-Fi lze zneužít pouze za určitých podmínek
Aby případný útočník mohl bezpečnostní díru úspěšně napadnout, musí existovat jisté podmínky. Funguje to pouze v situacích, kdy například organizace mají dvě Wi-Fi sítě se sdílenými přihlašovacími údaji. Lze si představit síťové prostředí v pásmu 2,4 GHz a 5 GHz, přičemž každá ze sítí má sice jiné SSID, ale stejné ověřovací údaje.
Mohlo by vás zajímat
Klientská zařízení se obvykle připojují k lépe zabezpečené síti 5 GHz. Útočník, který je dostatečně blízko cílové síti, aby mohl provést útok typu "man-in-the-middle", by ale mohl zřídit podvodný přístupový bod se stejným SSID jako v pásmu 5 GHz. Pomocí tohoto podvodného přístupového bodu by pak mohl přijímat a předávat všechny ověřovací rámce slabšímu přístupovému bodu 2,4 GHz a klientské zařízení by se místo toho připojilo k této síti.
Zdroj: Top10VPN, Dark Reading