После разразившегося в сети скандала, раскрывшего угрозу хакерской атаки на миллионы роутеров по всему миру, Wi-Fi соединение перестало считаться надёжным способом передачи данных. Возраст актуальной сегодня технологии шифрования WPA2 давно перевалил за десять лет — неудивительно, что она оказалась уязвимой для взлома. Но вскоре ситуация должна измениться: промышленная группа Wi-Fi Alliance начала сертификацию устройств с поддержкой нового протокола безопасности. Он позволит без опасений подключаться к беспроводным сетям.
Новая технология называется WPA3 — она призвана сменить устаревшую WPA2, появившуюся ещё в 2004 году. С принятием нового стандарта пользователей не изменится практически ничего — в отличие от хакеров, которым станет гораздо сложнее взломать роутер пользователя. Но даже если удастся получить доступ к устройству, дополнительные системы защиты ограничат возможности злоумышленника.
Теперь у хакера не получится «снять» поток информации с маршрутизатора и затем в оффлайне пытаться подобрать пароль — ему постоянно придётся находиться рядом с передающим оборудованием. Также сообщается, что старые данные будут защищены при последующих атаках. Иными словами, если злоумышленник всё же подберет пароль от соединения, то ранее переданная информация останется зашифрованной — он получит доступ только к новым передающимся данным.
Одним из ключевых нововведений станет поддержка индивидуального шифрования для каждого подключённого к беспроводной сети устройства. Это предотвратит утечку данных при использовании публичных точек доступа: например, в кафе или метрополитене.
Кроме WPA3, была анонсирована новая функция под названием Easy Connect. Как и предполагается в названии, её предназначение — облегчение подключения различных устройств к беспроводной сети. Пользователь сможет просто сканировать специальный QR-код, и соединение будет установлено автоматически.
Конечно, внедрение WPA3 — это очень долгий процесс. Пользователю потребуется купить новый роутер с поддержкой этого стандарта, а также заменить все свои гаджеты, либо же обновить их прошивки для поддержки WPA3. Впрочем, любой новый роутер будет поддерживать и старый протокол WPA2.
Wi-Fi Alliance ожидает, что массовое внедрение WPA3 начнется в следующем году — вместе с выходом нового стандарта 802.11ax и оборудования с его поддержкой.
Источник:
Вечная борьба добра со злом, зрители голосуют рублём...)
Зато сколько школьников останется не удел, которые соревнуются ради спортивного интереса по хаку всего что их окружает.
Очередной мертворожденный стандарт... Неужели производители шифрования считают, что хакеры объехали десятки миллионов роутеров вайфай и взломали их напрямую через расшифровку трафика? Это просто Пиппец... они тупо отсканировали открытые и использовали ошибки в прошивках роутеров... делайте хоть шифрование WPA10 сути проблемы это не изменит
-отсканировали открытые порты
> Неужели производители шифрования считают, что хакеры объехали десятки миллионов роутеров вайфай и взломали их напрямую через расшифровку трафика?
Нет. Ошибка у тебя. Не воспринимай статьи на 4pda, как рупор 📢 производителей.
Вообще как что-то пошатнувшее WPA2 на прямую можно вспомнить KRACK
На самом деле WPA2 ломают перебором паролей по захваченному хэндшейку. Я не уверен, что с захватом хэндшейка что-то можно сделать. Затруднить жизнь хакерам, безусловно, можно, но полностью исключить оффлайновый подбор пароля этим способом - не вижу метода.
Вы сути проблемы не уловили... Хакеры не ломают хешрейт... когда нужно миллион роутеров - у них на такой подход уйдет 10 жизней и все равно не успеют. Они просто запускают скан портов по диапозонам IP и юзают уязвимости в прошивке и миллион роутеров набирают за пару месяцев
Я знаю. Я конкретно про то, что пароли WiFi тоже ломают. Это просто два разных вектора атаки, которые применяют, чтобы добиться, естественно, разных целей.
В новой уязвимости там что то делают чтобы публичный ключ шифрования был тот на который уже есть приватный ключ и тем самым получается без проблем можно заглянуть во внутрь траффика у которого нет своего шифрования
Вы про KRACK, видимо? Какая-то эта уязвимость не очень страшная - пароль сети узнать не позволяет, инжектировать пакеты не позволяет, только сидеть рядом и прослушивать трафик одного конкретного клиента с уязвимостью (насколько я помню, эта уязвимость на стороне клиента). Не слишком перспективно, учитывая то, что обмен критичными вещами типа тех же логинов / паролей обычно зашифрован.
Так наоборот, выкатили патч, интерес к взлому и профит с нахождения дыр больше за счет того, что никто еще их не находил
Какие годы? Я конечно ничего не понимаю в этом но мне показалось что это дело прошивки. А если нет то портативные девайсы всё равно часто меняются а если нет то тоже пофиг потому что кому я нужен?
Увы и ах. Дело не в "прошивке". Одна только сертификация уже выпущенных устройств невозможна, т.е. старое оборудование про WPA3 может даже не мечтать.
> только сертификация уже выпущенных устройств невозможна
Возможна. Другое дело, что это требует денег, поэтому для старых устройств на практике действительно...
Наверное, человек имел ввиду, что пройдут годы, прежде чем это станет массовым. Конечно, лично вы можете купить новый роутер, перепрошить все смартфоны, ноут может поменять...
А вот большинство людей этого не сделает. Было время, людям проводил интернет, так большинство пользовались стандартом b, так как ноут n не поддерживает (да, конечно совместимый режим)
Так и тут...перепрошивать смартфон из-за вайфай будут единицы
К тому времени в рунете только телеграм и останется, остальное заблокируют
Главное чтобы к моменту появления железо соответствовало требованиям. Читаю абзац про индивидуальное шифрование и понимаю что большинство роутеров просто не вывезет такое шифрование
Оно, как и сейчас, будет на уровне железа реализовано. На уровне чипа.
И откуда вы такие берётесь?
Каждый продвинутый юзер знает, что самые криптоустойчивые пароли - это: 123123, admin, Qwerty )))
В пароли от вай фая минимум 8 символов должно быть
Значит название сети должно быть ровно 8 символов
нет, хоть пробел в название ставьте. А пароль минимум 8 символов
Ну akimov80 как сеть называлась такой и пароль
Блин пойду срочно пароли менять))
Откуда у тебя мои пароли от 4пда, банк клиента и фейсбука?
Самое главное не от вай фая
и мой с порнхаба)
Новые, скорее всего, получат программные апдейты.
А может рожу бить лучше тем, кто производит все эти новые защиты, выдавая это за нечто крайне необходимое, чтобы хомячки скорее им денег завезли?
Можно и тем, и тем.
Как всегда всё через Zhопу
Набиватели своих карманов.
ну, без хакеров кто бы нам консольки взламывал? Мы бы так и набивали карманы сони, майков и нинтендовцев!
Да и на тыщу тока раз десять и взламывают, - остальное заказуха с показухой
Сломают. Со временем. И вопрос, что раньше - сломают или поддержка в оборудовании массово появится. Телефончики то раз в пару лет меняются, а сетевое оборудование живёт долго.
Если слом займет 100 триллионов лет, используя все вычислительные мощности земли, то я согласен на такое.
Не стоит верить слепо заявлениям разработчиков стандарта про 100 триллионов лет. И мощности растут экспоненциально, и практически всегда находится дефект либо в алгоритме, либо (чаще) в реализации.
Разработчики стандарта здесь не при чем. Это чистая математика, в основе стойкости алгоритма RSA, например, лежит вычислительная сложность разложения астрономически больших чисел на множители. Разложить 2048- или 4096-битное число на множители не представляется возможным в разумные сроки, даже если взять миллиард раз все вычислительные мощи планеты и заставить их работать триллионы лет.
Если есть большие SSD, готовые радужные таблицы, а хеши паролей лежат не солёные, то пароли вида T&p/E$v-O6,1@} находятся за секунды. Гораздо больше времени уходит на генерацию этих таблиц, но когда они готовы - большинство паролей не устоит.
В WPA2 имя сети (SSID) используется в качестве соли, поэтому готовые таблицы могут быть только для статических SSID'ов (которых, кстати, мало — сейчас почти все роутеры поставляются с SSID'ом вида Linksys_3DFF1A, где последние 6 символов берутся из MAC-адреса), то есть радужные таблицы здесь бессмысленны.
Ну и слабость пароля, который выбрал пользователь, не означает слабости алгоритма. Пароль должен быть надежным, а не 123456.
Практическая реалия такова, что взлом WPA2+AES с уникальным SSID и адекватным паролем не представляется практически реализуемым. А WPA2-Enterprise с аутентификацией по сертификатам тем более.
Только чтобы сгенерировать большое число для разложения чисел на множители, нужно сначала найти два больших простых числа. А это тоже задача большой вычислительной сложности. И в алгоритме RSA процедура генерации ключей не оговорена. А значит у вас нет никакой гарантии, что программист, создающий ваш ключ не возьмёт, например, множители из какой-нибудь well known таблицы, и внезапно решать задачу на разложение окажется не нужным.
"Официальная" процедура описана в FIPS 186-4, приложенрие B.3.1
Сгенерировать пару ключей занимает несколько секунд на современных машинах. А программистам, реализующим шифрование в своих продуктах, нет необходимости писать собственную реализацию. Они берут готовые библиотеки, открытые и проверенные.
FIPS 186-4 не является частью стандарта RSA, неожиданно. А на тему "готовых, открытых и проверенных" библиотек после Heartbleed говорить немного смешно.
Хартблид закрыт давно. Смысл не меняется — WPA2+AES на сегодняшний день это надежная защита.
При условии нормального выбора пароля (т.е. пользовательского фактора) и отсутствия стороннего канала утечки (скажем, вендорской реализации WPS).
Спасибо, что сообщили, а то не дай бог бы взломали! :D
-Хакер, не хакери!
-О УУУУЖААААС!!!
Или "Вы не можете ломать, когда рядом находится WPA3"
В EMUI такая же штука есть
WPA2+AES в настоящее время считается надежным.
WPA2+AES в настоящее время считается надежным, разве что в чьих-то влажных фантазиях. Wi-Fi запрещено использовать для подключения к интернету в любой серьёзной компании и правительственных учреждениях США например, потому что Wi-Fi не соответствует стандартам безопасности, даже WPA2+AES. Да, это удобно, но безопасным Wi-Fi не был никогда.
Запрещено потому, что пароль от Wi-Fi может легко быть передан левым лицам, а не потому, что само по себе шифрование слабое.
Wi-Fi это L1 в модели OSI со всеми вытекающими. Например, снифить воздух на порядок легче чем провод. И кроме этого сеть на Wi-Fi невозможно прогнозировать на предмет стабильности соединения и площади покрытия. Wi-Fi в кафе это одно, а стабильная корпоративная сеть это совсем другое. Ни одна компания, которая дорожит своими данными не станет использовать Wi-Fi для серьёзной коммуникации и построения корпоративной сети.
Ну и наснифал ты кучу мусорных (для тебя) данных, зашифрованных AES'ом.
Му-ха-ха. Серьёзная компания, 200+ тыс. сотрудников глобально, WPA2-Enterprise, авторизация по сертификатам, worldwide connect (я со своим ноутбуком без дополнительных действий подключаюсь в любом офисе компании в мире). Сеть в любом новом офисе планируется по принципу Wireless first.
А обеспечение безопасности в т.ч. и WiFi - постоянный процесс.
Под NDA, если есть желание.
>делать сеть скрытой два, прописать все МАС адреса устройств и включить белый список три.
Это ничего не даст, кроме неудобства легальным юзерам.
Мой вайфай мои правила) остальные пусть в окошке ловят 4g )))
>управлению определенный IP раз
Спуфится
>сделать сеть скрытой два
Слушается
>прописать все МАС адреса устройств и включить белый список
Слушается и спуфится
> Надежный 8+ значный пароль на роутер
Ну вот один полезный совет. Только его ещё нужно менять регулярно.
И кактус рядом ещё поставьте для защиты от вредного излучения 😁
Серьёзно, единственное разумное у вас - это неподбираемый пароль (но его неудобно вводить простым юзерам 😉) А скрывать сети и прописывать MAC'и - это всё равно что подпирать дверь от воров поленом. Снаружи.
Запустите хоть один раз airodump-ng, и вам всё сразу станет ясно. Ну ладно, кроме имени сети. Чтобы его узнать, нужно поймать чей-нибудь хэндшейк. Который легко инициируется при наличии хотя бы одного клиента.
Скрывать точку - еще бОльший вред.
ШРАЗ
Что, и пятизначной аськи ни разу не доводилось лишиться? :D
Если TP-LINK, то Рут + WPS WPA TESTER и паролю 3,14здец.
Если, конечно, не заморочились изменить стандартный пароль на роутере
+1, даже без спецсиволов, просто буквы и цифры разного регистра достаточно 10-13 знаков и хрен кто сломает)
кто сомневаеца могу, скинуть .hccapx :D
А у многих включен WPS и пинкод стандартный.
Уже давно никто не брутфорсит пароли. Используются уязвимости и фишинг.
вопрос в том, какие будут требования к железу. Не исключено, что многие модели обойдутся программным обновлением.
Быстрее скорость, быстрее подбор данных.
Быстрее передача данных - быстрее работает подбор
Дешевле роутер - меньше защита от взлома (Обычно).
Так что моя мысль - все как ломалось, так и будет ломаться) Даже если будет требоваться больше ресурсов - сейчас выходят новые адаптеры и новые ноутбуки и мощности. Так что как было так и будет.
В таком случае им будет пох на это))
(Комментарий удален)
Просто я живу там где большинство людей не знают какая операционная система у них на телефоне установлена
впа2 дно.
WPS человек который печется о бещопасности отключить может.
А с WPA2 уязвимостями ничего не поделать.
WPA3 необходим. Давно необходим.
Только, вот, увы, никто не откажется от обратной совместимости с WPA2.
И кулхацкеры будут еще не один десяток лет перехватывать рукопожатия и брутфорсить.
Именно, что скриптиками общедоступными ломается. Без каких либо знаний. Все что нужно уметь- запустить готовую исошочку в виртуалочке и поклацать мышечкой по иконочкам.
Как пример: AirSlax
слуайте! ни каких скриптиков! не, ну эту историю вы можете рассказывать, но не мне. впс - да. если дырявый, сломает скриптик. впа - нет. как его ломать я знаю. как его защитить - я знаю. раблта такая. а скриптики - не, ребят. нету скриптиков впа крякать. и слава богам
В смысле не взламывают? Вполне себе взламывают. Те, кому надо, а WPS выключен или неуязвим, например. Просто это сложнее и дольше.
те, кто боятся взлома ставят пароль немного сложнее, чем 1234567890, а еще знают, как отправлять взломщика в утиль
а те, кто не боятся - даже стандартный менять не будут, вне зависимости от технологии, WPA2 или WPA3 или WPA9001.
Ключевое слово - "немного".
Вы удивитесь, если узнаете, какие пароли подбирались за несколько часов на дохлом по сегодняшним меркам железе.
немного было иронией.
Мой пароль на wifi комментируют как "ты зачем такие пароли ставишь? не хочу с тобой общаться" и это при том, что я ни разу не параноик)
Почему же не взламывают?
Да, немного сложнее, но при наличии мощного компа(с пригодной для "майнинга" видяхой) WPA2 с 10значным паролем не держится дольше суток.
Интересно, откуда уверенность, что искомый пароль 10значный? А если он 40-значный, типа парольной фразы. Аирслакс сдувается?
усложняется. Если пароля в словарях нет. Там брутфорс.
Видяха типа GTX1060(взял среднюю игровую) перебирает пароли со скоростью ~200000 в секунду.
То есть через триллион триллион триллион триллионов лет мы таки подберем пароль?
Обнадеживает!
даже постоянная смена mac-адреса не поможет перебирать на такой скорости, железка просто не потянет такой частоты запросов и ляжет
Доступ к железке не нужен. После перехвата хендшейка(аутентификации клиента) доступ к железке уже не нужен. Потому WPA2 не считается надежным.
Это не теоретические выдержки. Оно доступно каждому, кто протянет руку. Оно работает.
а как именно вы собираетесь перехватить его?
Подается сигнал точке доступа на отключение от имени подключенного клиента и когда клиент переподключается-записывается(в файл) рукопожатие. Всё это, современными скриптами, делается в автоматическом режиме
ну вот, если бы меня так отключили - я бы задумался.
тебя могут так отключать по 10 раз за день.
Выглядит это, как инет пропадает и переподключается к роутеру. Ничего криминального. На все про все уходит 10 секунд.
у меня такие ситуации сами по себе не возникают, поэтому криминально.
Впрочем, не знаю, кто сейчас по своей воле воспользуется чужим wifi. Сделать подлянку подлецу - это ведь так приятно.
Там основная проблема не в том, что оно брутфорсится.
Беда в том, что оно сливает все необходимые данные для того, чтобы брутфорсить удаленно. Перехватив хендшейк можно передать его в распределенное вычисление своему ботнету, например.
Да с 40-значным паролем не страшно.
смотря сколько аппаратной мощи есть у атакующего.
Если твой пароль будет ломать один комп- не страшно.
Если тысяча ботов- сломают.
У 40-символьного пароля, состоящего из набора [a-zA-Z0-9] всего комбинаций 1.30 x 10 в 79-ой степени (12,987,930,716,685,978,204,438,138,512,147,879,490,757,688,938,557,941,795,845,684,456,698,437,954,517,120).
Предположим, что нас перебирают со скоростью 100 триллионов попыток в секунду.
Допустим, что пароль будет найден при исчерпании примерно 50% этого пространства.
Простым расчетом видим, что для исчерпания половины пространства 1.30 x 10 в 79-ой степени при скорости перебора в 100 триллионов попыток в секунду нам потребуется 20.5 миллионов триллионов триллионов триллионов триллионов столетий.
Пусть ломают.
Два слова: человеческая лень.
Пароли ставят такие, чтобы было удобно запоминать. И набирать. Так что энтропия типичного пароля типичного пользователя гораздо ниже, чем была бы у полностью случайного пароля той же длины. Подобрать больше половины таких "удобных" паролей вполне реально, если знать, как обычно их придумывают.
Речь идёт о уязвимости алгоритма. Естественно пароль должен быть стойким.
Так в том-то и проблема, что пароль выбирают нестойкий.
Алгоритм уязвим тем, что позволяет перехватить данные необходимые для перебора пароля автономно.
Если бы каждый пароль нужно было бы пытаться скормить устройству- от перебора спасло бы примитивное введение ограничений на, скажем, 10 неправильных вводов пароля с устройства.
Но сейчас хендшейк перехватывается. А пароли перебираются со скоростью до миллиона в секунду(на старшей Веге).
Вы что-то где-то слышали, но вопросом не интересовались. Во-первых, только те WiFi, на которых включён WPS, во-вторых - многие из них вскрываются не за 13 часов подбора, а за несколько секунд "угадывания" WPS PIN (это называется Pixie Dust attack, если кому-то интересно), а в-третьих - многие из WiFi с включённым WPS неуязвимы к Pixie Dust и блокируют WPS при обнаружении попытки подбора PIN, какие там 13 часов - меньше чем за минуту точка перестаёт отвечать на попытки подключения по WPS в принципе...
В общем, устаревшие и неполные знания по поводу безопасности чего бы то ни было, естественно, ни к чему хорошему не приводят. Хотя вот в чём вы правы - так это в том, что в любой сети необходимо действовать так, как будто за вами совершенно точно следят и обязательно сопрут пароли / подсадят трояна / etc / etc / etc при первой возможности. "Если вы параноик - это ещё не значит..."
Как приятно читать на сайте умных и понимающих. Я бы сказал сознательных. Все правильно вы сказали. Сам у себя дома проверял. Проверял wep и wps они ломались, но только в определенной ситуации. Это были идеальные условия. С wep защитой ломалось только 64 битная, а 128 битная уже нет. Wps из 5-8 удалось только один. И этот сосед был этажом ниже. А другие роутере уходят в защиту и блочат. А подбор пароля 2 раза в минуту, а то и больше. Единственное хендшейки плохо знаю и не пробовал.