Злом WPA2 WiFi: чому багато шуму і як захистити корпоративну мережу?

1. Експлойт KRACK - злом будь-яких мереж Wi-Fi?
2. Захист від KRACK: розумні рішення і прості правила
3. Фізичний захист і оновлення

Повідомлення про злом протоколу шифрування WPA2 бездротових мереж Wi-Fi стало головною новиною ІТ в кінці жовтня. Наскільки серйозною є ця проблема і як запобігти серйозні порушення кібербезпеки, пов'язані з виявленої вразливістю?

Експлойт KRACK - злом будь-яких мереж Wi-Fi?

Експерт з кібербезпеки з бельгійського Льовенського католицького університету Меті Ванхоф (Mathy Vanhoef) разом з групою фахівців в понеділок 16 жовтня опублікував детальну інформацію про експлойтів KRACK. Цей експлойт використовує критичні уразливості протоколу шифрування WPA2 і дозволяє прослуховувати трафік, що проходить через мережу Wi-Fi. Таким чином, за допомогою експлойта зловмисники можуть перехопити конфіденційні дані, включаючи паролі до акаунтів, ідентифікаційну інформацію, особисті файли і т.д.

Основним напрямком атаки за допомогою KRACK є чотирьохелементний хендшейк WPA2, тобто момент обміну даними між точкою доступу (AP) і клієнтським пристроєм. Такий хендшейк використовується повсюдно, в тому числі і в корпоративних мережах, а значить, уразливі багато мереж, навіть використовують тільки алгоритм шифрування AES, сертифікований як національний стандарт в США.

Сам по собі злом є класичною атаку «людина посередині» і здійснює реінсталляцію ключа шифрування. Всі пристрої, підключені до однієї мережі, стають вразливими і можуть бути інфіковані шкідливим ПЗ.

Малюнок 1. Підготовлена атака за допомогою KRACK здійснюється протягом лічених хвилин

На жаль, KRACK є універсальним і дозволяє зламати мобільні і стаціонарні пристрої на будь-яких операційних системах, а також пристрої IoT. Останнє є найбільшою проблемою, так як багато пристроїв інтернету речей не отримають оновлення і залишаться вразливими.

Зрозуміло, злом WPA2 був питанням часу. Близько 16 років тому був зламаний протокол WEP. Тепер з'явилася атака KRACK, яка використовує уразливості WPA2 і небезпечна для всіх мереж Wi-Fi.

Малюнок 2. Уразливості, які використовує KRACK

В даний час виробники апаратного та програмного забезпечення аналізують свої рішення на предмет уразливості до KRACK, публікують списки і готують патчі.

Злом WPA2 наробив багато шуму і є серйозною проблемою через масштабу мереж Wi-Fi. Однак методи захисту від атаки все ж існують.

Захист від KRACK: розумні рішення і прості правила

Хороша новина в тому, що для злому за допомогою KRACK зловмисникові необхідно перебувати в зоні дії Wi-Fi мережі. Таким чином, першою лінією захисту є обмеження зони дії Wi-Fi межами офісу, житла і т. Д.

Також необхідним є аналіз уразливості мережі за допомогою професійного програмно-апаратного комплексу, такого як NETSCOUT AirMagnet Enterprise для забезпечення безпеки і моніторингу мереж Wi-Fi (Wireless IDS / IPS).

Малюнок 3. NETSCOUT AirMagnet Enterprise дає можливість швидко виявити і заблокувати підозрілу активність

Це рішення є надійною корпоративною системою захисту, яка інтегруються в будь-яку Wi-Fi мережу незалежно від виробника обладнання. AirMagnet Enterprise дозволяє аналізувати бездротової трафік всіх стандартів 802.11a / b / g / n / ac і по всіх каналах, виявляти джерела перешкод і підозрілі клієнтські пристрої, які можуть бути інструментами зловмисника.

Як згадувалося раніше, для перехоплення чотирьохелементний хендшейка WPA2 можна використовувати різні утиліти, більшість з них доступні в дистрибутиві Kali Linux, а також Reaver і CommView, не кажучи вже про портативних пристроях типу Pineapple і ін. Власне після захоплення пакетів далі застосовується той самий KRACK. AirMagnet Enterprise в свою чергу здатний виявити і класифікувати роботу цих утиліт і своєчасно оповістити про це адміністраторів мережі або відповідальних за інформаційну безпеку, благо в даному продукті є великий список визначених загроз, а оновлення цього списки відбувається автоматично по мірі виходу нових сигнатур безпеки. Синхронізація з сервером оновлень виробника даного рішення - щоденна.

Малюнок 4. Список ідентифікованих загроз в AirMagnet Enterprise

При появі нового виду атаки KRACK, лабораторія NETSCOUT тут же приступила до визначення сигнатури роботи даного методу злому і найближчим часом новий вид загрози буде додано до списку вже відомих.

Для оперативного пошуку несанкціонованих підключень (клієнтів або точки доступу) також можна застосовувати портативний аналізатор мереж Wi-Fi NETSCOUT AirCheck G2 . C його допомогою можна знайти джерела перешкод, несанкціоновані клієнтські пристрої, в тому числі безпосередньо на місці, наприклад, в зоні навантаження або гостьовому приміщенні.

Малюнок 5. NETSCOUT AirCheck G2 - портативний аналізатор Wi-Fi мереж

NETSCOUT AirCheck G2 - це «польовий інструмент» фахівця з інформаційної безпеки, що дозволяє знаходити несправності і уразливості бездротових мереж.

Фізичний захист і оновлення

В даний час виробники обладнання та операційних систем випускають патчі, які захищають від атаки за допомогою KRACK. Однак вразливість WPA2 - очевидний довгостроковий фактор. Необхідно враховувати вразливість будь-яких бездротових мереж, до яких легко отримати фізичний доступ, на відміну від дротяних. Тому крім поновлення софта, необхідно мінімізувати вихід покриття Wi-Fi за межі контрольованої зони і забезпечувати безперервний моніторинг загроз.