Против взлома нет приема: найден способ легко взломать беспроводную сеть Wi-Fi

12.08.2018     

Простой метод позволяет взламывать большинство сетей Wi-Fi. К каким последствиям это может привести? Как защитить свою беспроводную сеть от вмешательства злоумышленников?

Хакинг налегке

Разработчик популярного легального средства для взлома паролей Hashcat Йенс Штойбе рассказал о новом способе атак на сети беспроводной передачи данных, зачищенные WPA/WPA2. Простой метод позволяет получить идентификатор спаренных мастер-ключей роутера, с помощью которого расшифровывается пароль, используемый для подключения к Wi-Fi. Уязвимости подвержены все устройства с протоколом 802.11i/p/q/r.

Ранее обход защиты WPA/WPA2 требовал обязательного подключения пользователя к сети – перехватить необходимые для взлома данные можно было только во время их ввода. Метод Штойбе позволяет получить доступ к роутеру в любой момент времени – злоумышленнику достаточно запросить у точки доступа один EAPOL-фрейм, из которого извлекается информационный элемент безопасности сети (RSN IE). Далее мошенник получает из этой информации PMKID, подтверждающий, что пользователь и устройство знают пароль доступа к сети. Злоумышленнику останется попытаться авторизоваться, чтобы извлечь управляющий фрейм.

Реальная угроза

Очевидно, что эта уязвимость подходит не только для взлома домашних роутеров и скачивания фильмов через сеть соседа. Ранее к Wi-Fi московского метрополитена получили доступ злоумышленники, которые демонстрировали при попытке авторизации изображение, высмеивающее Роскомнадзор. Оператор «Максимателеком», предоставляющий пользователям услуги беспроводной сети в метро, опроверг эту информацию, заявив, что изображенный на скриншотах домен не принадлежит провайдеру.

Это не первое сообщение о недостаточной защищенности Wi-Fi московского метрополитена. В апреле этого года независимый эксперт опубликовал статью, в которой рассказал, что при авторизации можно увидеть номер телефона пользователя в незашифрованном виде. Для этого достаточно просто знать MAC-адрес устройства, с которого он логинится в сети. «Максимателеком» тогда отверг обвинения, сообщив, что эта уязвимость уже давно устранена.

Новая проблема, связанная с безопасностью Wi-Fi, угрожает конфиденциальности при использовании публичной точки доступа. Это может привести к краже персональных данных, в том числе информации о банковских картах, когда пользователи совершают платежи через общедоступные сети Wi-Fi, не опасаясь того, что их данные могут быть перехвачены.

Как защититься

Метод Штойбе – это не «универсальный ключ ко всем паролям в интернете», который так любят создатели кинобоевиков. Способ имеет ряд недостатков, которые можно использовать для защиты устройства от взлома:

  • Применение метода Штойбе упрощает процесс хакинга и извлечение хэша, но эти действия по-прежнему остаются требовательными к мощностям. Поэтому сложные длинные пароли с различными символами все еще актуальны.

  • Хорошо показывает себя смена PSK, сгенерированных производителем, на роутерах. Часто создатели аппаратуры устанавливают эти ключи по определенным шаблонам, что упрощает взлом. Поэтому если длина PSK превышает 20 символов, хакинг займет продолжительное время.

В совокупности эти методы защиты обеспечат приемлемый уровень безопасности для бытовых устройств и большинства роутеров, которые использует малый и средний бизнес.


Автор:
Александр Вашкевич Аналитик


Опасаетесь ли вы обнаруженного недостатка WPA/WPA2?


Да, угроза реальна. (39.39%, 13 голосов)
39.39%
Рядовым пользователям бояться нечего. (24.24%, 8 голосов)
24.24%
Угроза преувеличена. (36.36%, 12 голосов)
36.36%

Комментарии
В избранное Подписаться на ответы Сортировка: Древо развёрнутое
Свернуть все
1. Petrosyanc 7 12.08.18 10:58 Сейчас в теме
Нефигово так
Вообще считаю безопасность на ПЕРВОМ! уровне, все остальное это фарш
maksa2005; +1 Ответить
2. Petrosyanc 7 12.08.18 10:58 Сейчас в теме
Теперь вирусняги новые появятся...
3. CheBurator 3439 12.08.18 22:50 Сейчас в теме
ну я сталкивался с тем, что безопасность была такая, что вместо 10 минут работы - требовалось полтора часа.
JohnyDeath; orfos; +2 Ответить
4. nvv1970 12.08.18 23:55 Сейчас в теме
ну у меня всегда пароли >20 символов)))
5. vipetrov2 13.08.18 05:29 Сейчас в теме
Сейчас Wi-Fi взламывают видеокартами путем полного перебора. И пароли на 20 символов скоро помогать перестанут.
7. nyam-nyam 13.08.18 09:28 Сейчас в теме
(6)Не надо ждать пока будет логиниться какой-нибудь легальный пользователь, т.е. метод более универсальный. А всё остальное по прежнему...
8. Vovan1975 13 13.08.18 12:32 Сейчас в теме
надо будет таки включить фильтрацию мак адресов на вайфае домашнем
PowerBoy; Krio2; +2 1 Ответить
9. KontoraB 15.08.18 09:06 Сейчас в теме
Проще будет зайти на ноут с клиент банком и на смартфон сидящего за ним
Оставьте свое сообщение

См. также

Умер создатель Objective-C. Расскажем о его вкладе в развитие языков программирования

Новость ИТ-новость Языки программирования

Разработчик Брэд Кокс скончался на 76 году жизни. Вместе с Томом Лавом Кокс создал язык программирования Objective-C, который используют преимущественно для разработки приложений для macOS и iOS.

29.01.2021    2411    user1015646    3       

Разработчик может лишиться доступа к 280 млн долларов в биткоинах из-за забытого пароля

Новость Безопасность ИТ-новость

Новый год для мира криптовалют начался с подъема: биткоин пробил отметку в 40 тыс. долларов. Разработчик из Сан-Франциско Стефан Томас испытывает по этому поводу противоречивые чувства: он забыл пароль доступа к 7 тыс. биткоинов.

15.01.2021    1544    user1015646    7       

Сотрудники на удаленке чувствуют себя более измотанными, чем при работе в офисе

Новость ИТ-новость Новости компаний

Анонимный опрос, проведенный сервисом Blind, показал, что 68% технических работников на удаленке чувствуют себя более измотанными, чем когда они работали в офисе.

02.11.2020    2761    capitan    13       

Минэкономразвития предложило проактивное оказание госуслуг

Новость Автоматизация ИТ-новость Цифровая экономика

Портал госуслуг может начать предугадывать, какие сервисы понадобятся гражданам. Органы власти заранее подготовят необходимые документы для замены паспорта, прописки ребенка и других типовых задач.

04.09.2020    4110    VKuser24342747    0       

SuperJob проанализировал зарплаты выпускников российских ИТ-вузов

Новость ИТ-новость Образование

Сервис по поиску работы SuperJob составил список отечественных вузов, выпускники которых получают наиболее высокие заработные платы после окончания обучения. 

25.06.2020    5813    VKuser24342747    0       

Минфин раскритиковал планы Минкомсвязи по субсидированию онлайн-образования

Новость Образование

Министерство связи хочет выделить 300 млн рублей компаниям, предлагающим услуги онлайн-образования. Минфин опасается, что часть этих денег могут получить развлекательные и игровые сайты. 

22.05.2020    4879    VKuser24342747    1       

Боремся с «ленивой самоизоляцией»: цикл публикаций от Елены Дуюн на Infostart.ru

Новость Обучение, бизнес-тренинг, курсы

Организация работы в период пандемии – ценный опыт, которым нужно делиться. Продолжаем обсуждение вместе с бизнес-психологом, консультантом по подбору и развитию персонала – Еленой Дуюн. 

20.05.2020    8290    user997184    1       

Мир после коронавируса: российские компании не сохранят удаленку, США – наоборот

Новость Новости компаний

Многие компании вынуждены были полностью или частично перейти на удаленный формат работы. Но после снятия карантинных ограничений большая часть российских работодателей намерена вернуть сотрудников в офисы. В США ситуация противоположная.

15.05.2020    5334    user1015646    9       

Все.онлайн: в России запущен каталог бесплатных ресурсов для людей в самоизоляции

Новость Госдума Интернет

В России заработал портал, на котором собраны бесплатные ресурсы: развлекательные, образовательные и информационные. Они помогут провести время продуктивно, отдохнуть, заказать товары онлайн.

15.04.2020    4621    user1015646    0       

Минкомсвязи представило приложение для получения QR-пропусков на время карантина

Новость Минкомсвязь Мобильные приложения

В магазинах мобильных приложений появилась программа для получения QR-пропусков во время самоизоляции. В Минкомсвязи сообщили, что решение будет использоваться по всей России, кроме Москвы. 

14.04.2020    7168    VKuser24342747    2       

Опубликован список сайтов «бесплатного интернета»

Новость Интернет Минкомсвязь

Эксперимент продлится с 1 апреля по 1 июля 2020 года. Предполагается, что потоковое видео с сайтов при бесплатном доступе грузиться не будет.

10.04.2020    6648    AnastasiaKl    5       

Александр Жаров ушел из Роскомнадзора ради должности гендиректора «Газпром-Медиа»

Новость Роскомнадзор

Александр Жаров больше не возглавляет Роскомнадзор. Его место займет Андрей Липов, который руководит управлением президента по применению информационных технологий. 

25.03.2020    5871    VKuser24342747    0       

В России обсуждают введение нового вида занятости – удаленной работы

Новость Госдума Законодательство

Если поправки примут, работники смогут трудиться дома и в офисе по одному трудовому договору.

24.03.2020    5541    ЕленаЧерепнева    7       

На карантине: Google Chrome перестанет получать обновления до апреля

Новость Google

Google временно приостановила выпуск обновлений для Chrome. Команда разработчиков браузера переведена на удаленную работу и будет заниматься лишь исправлением проблем с безопасностью.

23.03.2020    7285    VKuser24342747    6       

Минкомсвязь не хочет компенсировать затраты операторов на «бесплатный» интернет

Новость Минкомсвязь Телекоммуникации

Доступ к сайту госуслуг и другим социально значимым ресурсам обещали сделать бесплатным с 1 марта. Но запуск проекта пришлось отложить: Минкомсвязь не успела согласовать нужные документы. 

17.03.2020    5979    user1015646    6       

Фельдшерам и учителям не хватило компьютеров для подключения к интернету

Новость Образование Цифровая экономика

Школам и фельдшерским пунктам не досталось компьютеров, положенных по проекту «Цифровая экономика». Заведения так и не получили возможность выхода в интернет. 

05.03.2020    5480    VKuser24342747    4       

Умер Ларри Теслер – разработчик, придумавший команды «копировать», «вырезать» и «вставить»

Новость Искусственный интеллект Языки программирования

Ларри Теслер , скончавшийся 16 февраля 2020 года, возможно, не является всемирно известным, как Стив Джобс или Билл Гейтс, но его вклад в упрощение использования компьютеров и мобильных устройств нельзя переоценить. Ведь именно он изобрел используемые по всему миру функции «вырезать», «копировать» и «вставить».

25.02.2020    6300    user-programmist    6       

Не на своем месте: суд оштрафовал Twitter и Facebook на 4 млн рублей

Новость Роскомнадзор Судебная практика

Роскомнадзор добился наказания для Twitter и Facebook. Суд принял решение оштрафовать каждую компанию на 4 млн рублей за отказ перенести данные о пользователях в Россию.

20.02.2020    5174    VKuser24342747    9       

ФАС попросит Apple и Google очистить смартфоны для российского ПО

Новость Google

Антимонопольная служба предложила привлечь Apple, Google и Microsoft к исполнению закона об обязательной предустановке российских приложений. Компании будут отвечать наравне с производителями и продавцами устройств. 

04.02.2020    5640    VKuser24342747    30       

Почтовый сервис Protonmail заблокирован в России

Новость Интернет

Спецслужбы считают, что через Protonmail, рассылались ложные сообщения об угрозах минирования на территории РФ.

03.02.2020    6911    Senator_I    68       

Чешские программисты бесплатно создали сайт, на который правительство хотело потратить 16 млн евро

Новость Государственные, бюджетные структуры Госзакупки Онлайн-торговля

Власти Чехии собирались потратить 16 млн евро на создание интернет-магазина для покупки талонов на проезд по платным дорогам. Местных разработчиков возмутил объем затрат: они организовали хакатон и за выходные бесплатно создали онлайн-магазин.

03.02.2020    7065    user1015646    31       

Лучше, чем Google: «Яндекс» возглавил рейтинг лучших работодателей для студентов в России

Новость Google Образование Яндекс

Сервис поиска вакансий FutureToday составил список лучших работодателей для студентов. На первом месте рейтинга в России – «Яндекс», который в этом году смог обогнать Google. 

31.01.2020    6437    user1015646    6       

Большие перемены: назначен новый министр по цифровому развитию и связи

Новость Цифровая экономика

Новым главой Министерства цифрового развития, связи и массовых коммуникаций стал Максут Шадаев. Он сменил на посту Константина Носкова, который сложил полномочия в связи с отставкой правительства.

28.01.2020    7720    user1015646    16       

Готовьте ваши миллиарды: утверждены новые требования к российским DNS

Новость Интернет Минкомсвязь

Минкомсвязи утвердило требования к операторам связи и интернет-сервисам, выполняющим функции DNS. Такие сервисы должны будут в течение года хранить информацию о пользователях и обеспечивать время отклика не более 100 мс.

28.01.2020    8473    user1015646    0       

Всем даром: доступ к сайтам госуслуг и госорганов станет бесплатным

Новость Интернет Телекоммуникации

Уже с 1 марта зайти на сайты государственных органов и госуслуг можно будет бесплатно. Ресурсы должны открываться, даже если у вас на счете «жирный минус», заявили в Минкомсвязи.

24.01.2020    7718    user1015646    4