WiFi

Последен ъпдейт на 28 юни 2018 в 13:19 ч.

Можете ли да си представите живота без безжичен интернет? Не? И ние. Без значение дали сте вкъщи или на работа, на кафе или на разходка в парка, най-вероятно някъде близо до вас се намира WiFi рутер. Ако рутерът, през който ползвате интернет, не е защитен правилно, може да си навлечете доста неприятности – част от които са да бъдете подслушвани, да ви бъдат откраднати пароли за достъп и т.н.

Самите рутери разполагат с вградени системи за защита. От вас (независимо дали сте системен администратор или просто домашен потребител) се очаква просто да ги включите и конфигурирате. След това остава забавлението от един по-сигурен интернет. Ето какво да направите:

1. Не можете да имате доверие на фабричните настройки

Вероятно от момента, в който сте получили рутера си – било то от магазина или от интернет доставчика, вие не сте променяли настройките му. Знаете ли, че липсата на сигурни настройки е една от най-големите уязвимости на домашните мрежи?

Запомнете: Фабричните пароли не са уникални и само за вас и вашето устройство.

Всяко устройство излиза от производство с фабрично настроени имена и пароли за достъп. Те са познати на всички, които могат да търсят в Google – включително съседа, който иска да си поиграе с мрежата ви. Ако не искате тя да крещи „Добре дошли!“ на всички желаещи да се упражняват върху нея, е важно да смените тези пароли със сложни и дълги фрази. Освен това е препоръчително и да използвате по-стабилен метод за сигурност като WPA2-PSK AES (задава се от менюто за парола на безжичната връзка).

Друг проблем на фабричните настройки са отворените портове – крайната точка на онлайн комуникацията от ваша страна, на която рутерът ви очаква връзка. Повечето от тях са за специфични услуги, като FTP (порт 21), SSH (22), Telnet (23), HTTP (80), HTTPS (443) или SMB (139, 445). Проверете настройките си и забранете всички портове, които не използвате. Ако не сте сигурни как да го направите, потърсете в наръчника за употреба на вашето устройство или онлайн.

2. Непознатите свързани устройства могат да бъдат забранени

Всички рутери позволяват да видите колко и какви устройства са свързани с тях. Когато видите непознати такива, може би някой вече се е сетил да се възползва от несигурните ви настройки.

За ваш късмет, всички рутери ви позволяват да разрешите или забраните само определени устройства, най-често използвайки техния MAC адрес. Ако мрежата ви е малка (например – вкъщи), можете ръчно да ограничавате достъпа само до вашите устройства.

3. Обновленията ви досаждат, но и държат опасностите на разстояние

Вероятно ежедневно някое приложение ви „мрънка“, че има нова версия. Същото е и с фирмения софтуер на рутерите (firmware). И в двата случая не трябва да отказвате или отлагате инсталацията – тя може да ви спести много главоболия. Инсталирайте новите версии на софтуера за рутера си и всички устройства в мрежата, за да сте сигурни, че производствени грешки не ви поставят в опасност.

Добра причина за това са скорошни атаки като KRACK (Key Reinstallation AttacCK). Този вектор за атака се възползва не толкова от самите уязвимости на рутера ви, колкото от начина, по който устройствата в мрежата комуникират с него.

4. Допълнителни настройки ви дават още начини да се защитите

Разделите „Advanced” или „More” в менюто вероятно крият различни ценни функции като защита срещу различни типове DoS (Denial of Service) атаки. Прегледайте внимателно какви възможности ви дават и потърсете всички допълнителни защитни функции на рутера си в потребителското ръководство или онлайн.

Няма да ви отнеме нищо повече от един-два клика, за да ги конфигурирате, а те могат да ви спестят часове изгубен труд и недостъпни услуги.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 13:27 ч.

Светът е IoT (Internet of Things или интернет на нещата). На практика, това са всички умни и свързани с интернет устройства – от IP камери, през рутери и принтери, чак до „умни“ крушки за лампи. Проблемът с тях е, че средностатистическия потребител не би имал и най-беглата идея как да ги подсигури срещу експлоатиране. А те съхраняват критична за него локация, която в грешните ръце може да бъде силно оръжие срещу самия потребител.

Нагледен пример за последното през последните две години са множество масирани атаки, идващи от ботмрежи, изградени изцяло от IoT устройства и изтеклите лични и дори интимни снимки.

Защитата на такива устройства не е нещо непостижимо – дори обратното. Ето няколко съвета, които ще ви помогнат да спите спокойно в свят, в който дигитална рамка за снимки може да шпионира вас и организацията ви (да, системни администратори, следващите редове са специално и за вас – защото смарт часовниците във офиса ви сигурност далеч не са изключение):

1. Избягвайте устройства, които рекламират Peer-to-Peer (P2P) функционалност

Причината за това е, че такива устройства използват изключително несигурен начин за свързване и са достижими отдалечено, дори и зад защитна стена. Те винаги търсят начин да се свържат към глобална, обща мрежа, за да могат потребителите да ги достъпват без значение къде са. Това обаче оставя зееща пролука в сигурността, която само чака да бъде експлоатирана.

2. Винаги променяйте фабричните настройки

Целта на занятието е да се избегнат или изключат функции, които са апетитни за атакуващите (като UPnP – Universal Plug n’ Play, който може да минава през защитната ви стена, без да знаете).

За да сте сигурни, винаги можете да проверите кои портове са отворени и достъпни през IP адреса ви. Можете да проверите IP адреса си тук и да използвате този инструмент на Censys като изберете IPv4 от падащото меню на страницата, въведете IP адреса си и натиснете „търси“.

От страна на антивирусния ви софтуер, най-добър избор би било използването на такъв с допълнително подсигуряване на мрежи и използване на интернет.

3. Обновявайте firmware-a на устройствата си

Вече сме писали неведнъж по темата – но по-голямата част от IoT устройствата обикновено се купуват и съществуването им се забравя от собственика (а понякога – и от производителя). Да, немалка част от авторите на IoT устройства предоставят на всичките си потребители обновления, които или подобряват сигурността, или поправят софтуерни грешки. Най-добре е дори, преди да включите устройството си в мрежата, да проверите дали фърмуеъра е последна версия.

4. Променяйте фабричните пароли

Факт е, че при някои устройства дори и това не би помогнало поради лошото внедряване на други мерки за сигурност или липсата им. Освен ако не искате всички да виждат огромен надпис „Добре дошли!“ над устройството ви, то първото нещо, което трябва да правите с ново устройство е промяната на фабричните име и парола – което важи с особена сила за WiFi рутера ви, особено, ако мрежата ви е незащитена с парола (Мрежата ви е незащитена с парола!? Поправете го още докато четете този текст). За жалост, голяма част от продуктите, които хората използват днес, имат и недокуметирани „задни вратички“, които принципно са акаунти за разработчици, чиито име и парола често са общо достояние.

5. Не свързвайте устройствата си директно с интернет

Това значи, че устройството ви не трябва да е последната стъпка преди световната мрежа – без защитна стена. Напредъкът във функционалността на IoT устройствата се случва прекалено бързо, за да се осигури максималното (или поне някакво) ниво на сигурност за всички устройства. Ако използвате рутер, то той най-вероятно има вградена защитна стена – дръжте всички устройства зад нея.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 13:31 ч.

Последен ъпдейт: 03 октомври 2017 г. 

Рисковете от подслушване, подмяна и инжектиране на трафик при използване на слабо защитени  или отворени мрежи са често обсъждана тема, но какво ще кажете за рискове в защитените мрежи?

Wi-Fi Protected Access II (WPA2) е стандарт на повече от 10 години, който е задължителен за всички  WiFi обозначени устройства. До скоро се смяташе, че WPA2 е изключително сигурен и непробиваем. Преди дни двама белгийски изследователи публикуваха своите открития за слабости в имплементацията на протокола, които могат да бъдат използвани в серия от атаки известни  с името – „KRACK“ (Key Reinstallation AttaCK). Важно е да споменем, че тези слабости са документирани и преди, но рисковете за експлоатацията им са били теоретични… до сега.

Какви са опасностите при успешна атака?

На практика престъпници могат да използват тази иновативна техника за да се сдобият с информацията, която при нормални обстоятелства трябва да е достатъчно добре защитена (криптирана). Могат да бъдат откраднати финансови данни, пароли, чат съобщения, електронни писма, мултимедия и т.н…. В зависимост от настройките на мрежата, е възможно инжектиране и/или изменяне на информация, тоест сервиране на ransomware или друг тип malware в услугите и сайтовете, които посещавате.

Какво всъщност представлява KRACK?

Слабостта се крие в преинсталацията на ключовете за криптиране при злоупотреба на съобщенията за договаряне. От време на време, докато се договаря криптирането на безжичната връзка, клиента и точката за достъп (Access Point или само AP) трябва да съгласуват ключове.
За да се постигне това съгласуване се ползва протокол, който има четири стъпки – “four-way handshake”:

1. AP-то до клиента – хайде да се разберем за сесиен ключ. Ето малко еднократна и произволна стойност за изчисляването му;
2. Клиента до AP-то – добре, ето и от мен малко еднократна и произволна стойност за изчислението на ключа;В този момент, двете страни включват в изчислението и паролата за достъп до WiFi мрежата (така нареченият Pre-Shared Key или PSK). Така се изчислява сесийният ключ и се избягва прекият обмен на паролата, като се гарантира уникален ключ за всяка сесия.
3. AP-то до клиента – потвърждавам, че сме се договорили за достатъчно данни за конструиране на сесиен ключ;
4. Клиента към AP-то – да, така е. Потвърждавам!

Въпреки, че математически погледнато четирите стъпки описани до тук са напълно достатъчни за генериране на сигурен ключ, процесът може да бъде реализиран несигурно, което прави KRACK атаката възможна:

• Злосторникът стартира AP, което е двойник на истинското и клонира MAC адреса му, но оперира на различен радио канал. Така „лошото“ AP отклонява съобщение №4 и то не достига крайната си цел.
• Докато трае това „неразбирателство“, клиентът вече може да е започнал комуникацията с точката за достъп (AP), понеже и двете страни имат сесийният ключ, макар и да не са довършили докрай “four-way handshake” протокола.

Това означава, че клиентът вече генерира криптографски материал, наричан keystream, с който ще защити предаваната информация. За да е сигурно, че keystream поредицата никога не се повтаря, клиентът добавя nonce (число което не се повтаря) към сесийният ключ. Това число се инкрементира за всеки фрейм, което гарантира, че keystream-a различен всеки път.

Има няколко вида KRACK атаки, но при всички тях се разчита на преизползване на keystream данни, което води до криптиране на различна информация с един ключ. Респективно, Ако знаете един набор от данни, можете да разберете другия – това е най-добрият случай. Някои случаи са по-лоши от това, защото могат да доведат до пълно компрометиране на връзката.

Вижте още: презентацията на официалните откриватели на атаката.

Обратно към атаката:

• В даден момент, легитимното AP ще изпрати копие на съобщение №3, вероятно няколко пъти… докато „лошото“ AP не реши да пропусне съобщението до клиента.
• Тук идва и „кофти“ реализацията, която обезсмисля заложената математическа гениалност – клиента най – накрая финализира договарянето, като рестартира keystream-a и „реинсталира“ сесийният ключ (от тук идва и името на похвата). Стойноста на числото, което никога не трябва да се повтаря (nonce), също е върната към това което е била след съобщение №2.

На практика keystream последователността започва да се повтаря, което е голямо НЕ СЕ ПРАВИ ТАКА в криптографията.

„…всяко WiFi устройство е уязвимо към някоя от атаките. Oсобено опустошителен ефект има срещу Android 6.0 – принуждава клиента да използва предсказуем ключ за криптиране – само `0`“

Ако се знае съдържанието на първоначалният фрейм, може да се възстанови keystream-a използван за криптирането му > ако keystream-a е известен, може да се използва за декриптиране на последващите фреймове.
Атаката е успешна дори, ако нападателят успее да прихване дори няколко фрейма от дадена сесия.

Колко сме уязвими и как да се предпазим?
Въпреки, че всичко до сега звучеше доста заплашително и лесно за изпълнение, пък и доста медиен шум се вдигна, има няколко фактора които смекчават обстоятелствата:

• Атаката изисква нападателя да се намира физически в обхвата на WiFi мрежата. Иначе казано, ако видите подозрителна персона с качулка да удря по клавиатурата до домът или офисът Ви, имате сериозен проблем и той не е в WiFi настройките;
• Атаката е изключително сложна за изпълнение и лесна за неутрализиране – трябва просто да приложите последните актуализации върху точките за достъп или върху клиентите. Microsoft пуснаха ъпдейт адресиращ уязвимостта в началото на месеца. И Apple iOS устройствата, и macOS са уязвими! Тук може да намерите подробен списък със засегнатите операционните системи и производители, както дали вече имат ъпдейти с фиксове. Apple публикуваха патч за уязвимостта.
• Остават си препоръките за използване на сигурни протоколи (тези които завършват на „S“ обикновено са такива ;), както активиране на VPN при свързване с непознати и отворени мрежи.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 13:51 ч.

Казват, че вкъщи е там, където смартфонът се включва автоматично в Wi-Fi мрежата. Отдавна вече сме приели безжичния интернет за даденост и не се замисляме особено за това как работи и дали връзката ни е подсигурена от външно вмешателство. Рутерът е устройството, без което „вкъщи“ няма да е толкова уютно, а с неговата безопасност започва нашата информационна сигурност.

Ето защо ви предлагаме 7 лесни настройки на домашния рутер, за да направите безжичния си интернет по-защитен.

1. Сменете незабавно фабричната парола за рутъра си

Подобно на нова дебитна карта, всеки новозакупен рутър идва с фабрични настройки за достъп – произволно избрани име и парола. Разликата е там, че за повечето марки и модели рутъри тези данни за достъп са публикувани от производителите  и е препоръчително да се използват само за първоначален достъп до устройството. След това веднага трябва да ги сменим със собствени. Ако не го направите, давате лесен и пълен достъп до всички настройки на рутъра си на всеки свързал се в Wi-Fi мрежата.

2. Сменете името на безжичната си мрежа

Името на мрежата, което всеки вижда в списъка с достъпни мрежи, се крие зад абревиатурата SSID (service set identifier) и ако не го промените, подсказва марката и дори модела на рутъра ви, а това може да помогне на недоброжелатели да използват уязвимостта му. Хубавата новина е, че само 3% от Wi-Fi мрежите са с несменено име. Ако решите да се възползвате от възможността да скриете напълно името на мрежата си, трябва да се уверите, че сте запомнили как сте я наименували, за да получите достъп до нея.

3. Активирайте криптирането на връзката си

Криптирането е най-важната стъпка, с която да гарантирате максимално сигурна връзка. Криптирането на сигнала между рутъра и свързаните към него устройства гарантира, че обменяната информация е недостъпна в „чистия ѝ вид“ и, че дори и някой да „подслушва“ сигнала, той няма да има достъп до данните. Активирайте опцията WPA2 Personal (показвана и като WPA2-PSK) от Security Options в менюто с настройките на рутера. За криптиращ алгоритъм изберете AES. Въведете  паролата на мрежата (network key). Това е паролата, която ще използвате, за да се свържете, така че я направете максимално сигурна. Избягвайте лесни пароли като: 123456, qwerty, admin, името си и т.н.

Прочетете повече: Как да защитим паролата си?

4. Разрешен достъп само за определени устройства

Всяко устройство комуникира в мрежа чрез свой уникален MAC адрес (media access control address). От менюто Access Control може лесно да видите всички устройства, които вече са свързани с нея (заедно с техните MAC адреси), а от този списък може да селектирате само онези, на които искате да разрешите достъп. Имате опцията динамично да променяте списъка с устройствата, на които имате или нямате доверие. Тези в т. нар. black list не могат да се свържат дори да имат паролата за достъп до мрежата.

5. Изключете WPS опцията

Тази опция позволява на рутъра ви лесно свързване към други устройства дори когато е активирано криптирането. Подобно е на Bluetooth сдвояването, при което двете устройства взаимно си разменят пълномощни и се разпознават като свързани. При рутъра това става с натискане на физически бутон едновременно със същото действие при другото устройство. Става бързо и всеки с кратковременен физически достъп до рутъра ви може да се сдобие с устройство, закачено за него.

6. Намалете силата на излъчвания от рутъра ви сигнал

Съвременните рутъри имат сравнително голямо покритие и силен сигнал, който може да се улови поне на 20 метра извън помещението, в което са поставени. Ако офисът или домът ви се намира на 4-5 етаж на сградата, това означава, че освен непосредствените ви съседи, сигналът от мрежата ви може да бъде уловен и от всеки, преминаващ покрай сградата. При повечето рутъри може да намалите опцията Transmit Power Control на 70-75%, което няма да повлияе на връзката ви, но значително ще намали обхвата на мрежата ви. Можете да скриете рутъра си в кутия, облицована с фолио, или да използвате специална боя за стени, блокираща сигнала извън вашите помещения.

7. Редовно обновявайте фърмуера на рутъра

Производителите обновяват фабричния софтуер сравнително често, но вие ръчно трябва да проверявате за нови версии за вашия модел рутер (в сайта на марката) и да правите нужните актуализации. Често новите версии на фърмуера съдържат важни кръпки на сигурността на вече известни уязвимости, наред с различни оптимизации, позволяващи на рутъра да функционира по-добре.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook.