Obecnym standardem protokołu do zabezpieczenia sieci bezprzewodowych jest WPA2, którego złamanie jest zdecydowanie zbyt proste. Jeśli z kolei myślicie, że nie ma sensu chronić swojej domowej sieci, a Wasze hasło sprowadza się do ciągu 12345678, albo adminadmin, to może już najwyższy czas zadbać o bezpieczeństwo? Sprawnego hakera może i to nie powstrzyma, ale dzieciaka z piętra niżej, który podkrada Wam transfer już tak. Niestety przed tymi pierwszymi prawdopodobnie nie uchroni nas też WPA3.

Specjaliści do spraw bezpieczeństwa twierdzą bowiem, że odkryli kilka błędów w protokole Wi-Fi Protected Access 3 (WPA3), które mogą pozwolić atakującemu złamać hasło użytkownika i ostatecznie uzyskać dostęp do sieci. Równie niepokojące jest to, że taki włam może zostać wykonany stosunkowo szybko i tanio.

Tak więc prysnął cały czar nadziei, w ramach której WPA3 rozwiązałoby poważną lukę w WPA2 i WPA, które są szeroko stosowane do ochrony sieci bezprzewodowych w domu i niektórych miejsc pracy. Tą wadą jest atak reinstalacyjny klucza (KRACK), który pozwala osobie atakującej na podglądanie zaszyfrowanego ruchu między komputerami i bezprzewodowymi punktami dostępu. Nowszy protokół bezpieczeństwa zajął się tą luką i dodał kilka innych zabezpieczeń, ale może nie być tak bezpieczny, jak sądziliśmy.

To wynika z badania Dragonblood, w którym to naukowcy twierdzą, że metoda SAE „uścisku dłoni” jest wrażliwa na ataki na partycje hasła:

Ataki te przypominają ataki słownikowe [brute-force] i pozwalają przeciwnikowi odzyskać hasło poprzez nadużywanie czasu lub wycieki z kanałów bocznych opartych na pamięci podręcznej.

Wspomniane ataki brute-force sprowadzają się do nieustannego atakowania sieci hasłami i moc obliczeniowa potrzebna na ich powodzenie w przypadku zabezpieczenia WPA3 ma kosztować zaledwie 125$. A przynajmniej przy skorzystaniu z zasobów Amazon EC2:

W świetle naszych ataków uważamy, że WPA3 nie spełnia standardów nowoczesnego protokołu bezpieczeństwa. 

Odpowiedzialne za WPA3 Wi-Fi Alliance bagatelizuje wyniki badań Wi-Fi, twierdząc, że zidentyfikowane problemy istnieją tylko w ograniczonej liczbie wczesnych wdrożeń WPA3 i że można je złagodzić dzięki aktualizacjom oprogramowania. Ponadto uważa, że nie ma dowodów na to, że luki opisane w artykule badawczym zostały faktycznie wykorzystane. No cóż, słowo przeciwko słowu, ale czy powinno się puszczać mimochodem doniesienia, które poruszają ważną kwestię bezpieczeństwa?

Czytaj też: Hulajnogi Hive trafiają do Wrocławia

Źródło: PCGamer

Spodobał Ci się ten artykuł? Podaj dalej!