Het hoeft waarschijnlijk niet te worden herhaald dat WEP-beveiliging voor wifi al lang geleden breder is opengebroken dan Humpty Dumpty tijdens een aardbeving, noch dat WPA zo veilig is als de meerderheid van een Lib Dem-parlementslid. En toch blijkt uit een recent onderzoek door webhostingbedrijf UK2 in samenwerking met YouGov dat het Britse publiek, indien gevraagd, is uw wifi-verbinding versleuteld? zal meestal niet bovvered antwoorden.
hoe de snelheid van mijn ram te controleren?
Van de ondervraagden controleert 56% nooit of zelden of een hotspot is versleuteld voordat hij inlogt. Deze zelfde mensen zijn veel meer geneigd om hun wifi thuis te beveiligen, dus het is niet alleen een gebrek aan bewustzijn, maar meer als een teveel aan vertrouwen. Vertrouwen, dat wil zeggen, in het hotel of de coffeeshop of de pub die gratis wifi aanbiedt - en de serviceprovider.
Om toegang te krijgen tot uw zogenaamd beveiligde draadloze netwerk, heeft hij geen fysieke toegang tot uw router, computer of iets anders nodig
Zulk vertrouwen is vaak misplaatst, en dat is waar het potentiële beveiligingsrisico ligt, en dat maakt me goed op de hoogte van het eigenlijke verhaal dat mijn aandacht trok - namelijk dat het Wi-Fi Protected Setup (WPS) -protocol goed en echt gecompromitteerd is. WPS is die knop die u waarschijnlijk hebt ingedrukt om uw draadloze router te beveiligen toen u deze aan het instellen was voor uw thuis- of kleinbedrijfsnetwerk, degene die handig alle handmatige beveiligingsconfiguraties weghaalde en het instellen van draadloze beveiliging zowel eenvoudig als snel maakte. Of dat dacht je.
De waarheid is minder bemoedigend, omdat WPS kwetsbaar is voor aanvallen, maar niet het grote rode knopgedeelte ervan. Er is nog een ander aspect van WPS dat niet via een druk op de knop komt, maar via een achtcijferige pincode om in te voeren, en het is deze pinversie van het WPS-protocol die veel minder veilig is gebleken dan iedereen aannam. Het blijkt dat de hacker niet alle acht cijfers hoeft te achterhalen om deze versleuteling via een standaard brute-force-aanval te kraken, wat veel tijd en rekenkracht zou vergen. In plaats daarvan hoeven ze alleen de eerste vier cijfers van de pincode te ontcijferen.
google docs stuur afbeelding achter tekst
Ja, je leest het goed: die veilig ogende pincode is niet zo veilig. Zeker, bankpassen maken gebruik van een viercijferige pincode en zowel de banken als hun klanten lijken hier gelukkig genoeg van te zijn wanneer ze kaarten in een geldautomaat gebruiken, maar er is een groot verschil tussen deze twee schijnbaar identieke gevallen van authenticatie.
Om uw geld uit een geldautomaat te halen, moet elke potentiële slechterik in het bezit zijn van uw fysieke kaart en de pincode kunnen raden of anderszins verkrijgen. Om toegang te krijgen tot uw zogenaamd beveiligde draadloze netwerk, heeft hij echter geen fysieke toegang tot uw router, computer of iets anders nodig - hij kan gewoon zijn eigen pc instellen om elke mogelijke combinatie uit te proberen. (Er is een handige hoe lang om mijn wachtwoordcalculator te kraken op de Steve Gibson GRC-beveiligingssite : wiskundigen zullen op de tekortkomingen wijzen, maar het is goed genoeg voor back-of-a-fag-packet-schattingen.)
Beveiligingsonderzoekers hebben een tool uitgebracht met de naam Reaver die deze fout kan misbruiken en waarmee iedereen de eenvoudigere WPS-pincode kan kraken en toegang kan krijgen tot de cleartext-versie van de WPA2 pre-shared key (PSK) van de router, die vervolgens wordt onthuld als resultaat. De volledige pincode zou meer dan tien miljoen combinaties hebben, maar de pincode met gereduceerde cijfers heeft slechts 11.000 of daaromtrent. Onthoud dat het niet uitmaakt hoe complex de PSK achter uw pincode is - door de WPS-pincodemethode te gebruiken, heeft u uw wifi-netwerk beveiligd met slechts vier cijfers.
Een Google-zoekopdracht voor PSK-hacktutorials zal aantonen dat het zelfs zonder deze WPS PIN-kwetsbaarheid heel goed mogelijk is om een WPA2-PSK met brute kracht te vinden, maar het zou veel langer duren en een potentiële hacker zou een zeer goede reden nodig hebben om de tijd te investeren en benodigde middelen. Verminder die tijd- en resourcevereisten voldoende en plotseling worden uw router en Wi-Fi-netwerk aantrekkelijkere doelwitten voor een toevallige hack.
Het is niet allemaal slecht nieuws: u kunt eenvoudig de WPS-functie op uw router uitschakelen om de pincode te verwijderen waarnaar mensen als Reaver op zoek zijn. Ik geloof, maar heb op het moment van schrijven geen details om deze overtuiging te ondersteunen, dat een aantal routerfabrikanten firmware-updates hebben uitgebracht of eraan werken om de kwetsbaarheid te dichten, veronderstelt men door de pincode uit te schakelen (wat niet alle routers hebben een gebruikersconfiguratieoptie voor).
Sterker nog, begin opnieuw en zet je wifi-netwerk op met een lange en complexe PSK om brute-force-aanvallen onpraktisch te maken: denk in termen van 32 tekens of meer, met de gebruikelijke mix van letters, cijfers en speciale tekens. Als je die Hooibergcalculator gebruikt die ik hierboven noemde, zul je zien dat het kraken van een eenvoudige viercijferige pincode slechts enkele seconden kost, maar een complex wachtwoord van 32 tekens zou 6,22 duizend biljoen biljoen biljoen eeuwen kosten - zelfs in een worstcasescenario van een enorme kraakarray die wordt gebruikt om elke seconde honderd biljoen keer te raden!
hoe je muziek kunt afspelen via je microfoon op onenigheid
WPA2-PSK, de pre-shared key-implementatie die geliefd is bij de stereotiepe gevaarlijke kleine zakenman, werd een paar jaar geleden gekraakt, en WPA2 met TKIP is ook geen veilige optie, waardoor Wi-Fi - voor veel mensen - behoorlijk gewoon onzeker. WPA2 met AES is oké, net als WPA2-Enterprise met een RADIUS-authenticatieserver of zelfs WPA2-PSK met een sleutel van 32 tekens. Omdat WPA2-PSK in feite sleutels tot 63 tekens ondersteunt en de meeste draadloze apparaten die sleutel voor altijd in de cache opslaan, zodat deze maar één keer hoeft te worden ingevoerd, is het niet zo moeilijk om uit te zoeken wat u moet doen - maar lange wachtwoorden zijn nog steeds allemaal te vaak gezien als onnodig en te complex. Zucht…
