Против взлома нет приема: найден способ легко взломать беспроводную сеть Wi-Fi

12.08.2018      14186

Простой метод позволяет взламывать большинство сетей Wi-Fi. К каким последствиям это может привести? Как защитить свою беспроводную сеть от вмешательства злоумышленников?

Хакинг налегке

Разработчик популярного легального средства для взлома паролей Hashcat Йенс Штойбе рассказал о новом способе атак на сети беспроводной передачи данных, зачищенные WPA/WPA2. Простой метод позволяет получить идентификатор спаренных мастер-ключей роутера, с помощью которого расшифровывается пароль, используемый для подключения к Wi-Fi. Уязвимости подвержены все устройства с протоколом 802.11i/p/q/r.

Ранее обход защиты WPA/WPA2 требовал обязательного подключения пользователя к сети – перехватить необходимые для взлома данные можно было только во время их ввода. Метод Штойбе позволяет получить доступ к роутеру в любой момент времени – злоумышленнику достаточно запросить у точки доступа один EAPOL-фрейм, из которого извлекается информационный элемент безопасности сети (RSN IE). Далее мошенник получает из этой информации PMKID, подтверждающий, что пользователь и устройство знают пароль доступа к сети. Злоумышленнику останется попытаться авторизоваться, чтобы извлечь управляющий фрейм.

Реальная угроза

Очевидно, что эта уязвимость подходит не только для взлома домашних роутеров и скачивания фильмов через сеть соседа. Ранее к Wi-Fi московского метрополитена получили доступ злоумышленники, которые демонстрировали при попытке авторизации изображение, высмеивающее Роскомнадзор. Оператор «Максимателеком», предоставляющий пользователям услуги беспроводной сети в метро, опроверг эту информацию, заявив, что изображенный на скриншотах домен не принадлежит провайдеру.

Это не первое сообщение о недостаточной защищенности Wi-Fi московского метрополитена. В апреле этого года независимый эксперт опубликовал статью, в которой рассказал, что при авторизации можно увидеть номер телефона пользователя в незашифрованном виде. Для этого достаточно просто знать MAC-адрес устройства, с которого он логинится в сети. «Максимателеком» тогда отверг обвинения, сообщив, что эта уязвимость уже давно устранена.

Новая проблема, связанная с безопасностью Wi-Fi, угрожает конфиденциальности при использовании публичной точки доступа. Это может привести к краже персональных данных, в том числе информации о банковских картах, когда пользователи совершают платежи через общедоступные сети Wi-Fi, не опасаясь того, что их данные могут быть перехвачены.

Как защититься

Метод Штойбе – это не «универсальный ключ ко всем паролям в интернете», который так любят создатели кинобоевиков. Способ имеет ряд недостатков, которые можно использовать для защиты устройства от взлома:

  • Применение метода Штойбе упрощает процесс хакинга и извлечение хэша, но эти действия по-прежнему остаются требовательными к мощностям. Поэтому сложные длинные пароли с различными символами все еще актуальны.

  • Хорошо показывает себя смена PSK, сгенерированных производителем, на роутерах. Часто создатели аппаратуры устанавливают эти ключи по определенным шаблонам, что упрощает взлом. Поэтому если длина PSK превышает 20 символов, хакинг займет продолжительное время.

В совокупности эти методы защиты обеспечат приемлемый уровень безопасности для бытовых устройств и большинства роутеров, которые использует малый и средний бизнес.


Автор:
Аналитик


Опасаетесь ли вы обнаруженного недостатка WPA/WPA2?


Да, угроза реальна. (39.39%, 13 голосов)
39.39%
Рядовым пользователям бояться нечего. (24.24%, 8 голосов)
24.24%
Угроза преувеличена. (36.36%, 12 голосов)
36.36%

Комментарии
В избранное Подписаться на ответы Сортировка: Древо развёрнутое
Свернуть все
1. Petrosyanc 7 12.08.18 10:58 Сейчас в теме
Нефигово так
Вообще считаю безопасность на ПЕРВОМ! уровне, все остальное это фарш
maksa2005; +1 Ответить
2. Petrosyanc 7 12.08.18 10:58 Сейчас в теме
Теперь вирусняги новые появятся...
3. CheBurator 3077 12.08.18 22:50 Сейчас в теме
ну я сталкивался с тем, что безопасность была такая, что вместо 10 минут работы - требовалось полтора часа.
JohnyDeath; orfos; +2 Ответить
4. nvv1970 12.08.18 23:55 Сейчас в теме
ну у меня всегда пароли >20 символов)))
5. vipetrov2 13.08.18 05:29 Сейчас в теме
Сейчас Wi-Fi взламывают видеокартами путем полного перебора. И пароли на 20 символов скоро помогать перестанут.
6. пользователь 13.08.18 09:10
Сообщение было скрыто модератором.
...
7. nyam-nyam 13.08.18 09:28 Сейчас в теме
(6)Не надо ждать пока будет логиниться какой-нибудь легальный пользователь, т.е. метод более универсальный. А всё остальное по прежнему...
8. Vovan1975 13 13.08.18 12:32 Сейчас в теме
надо будет таки включить фильтрацию мак адресов на вайфае домашнем
PowerBoy; Krio2; +2 1 Ответить
9. KontoraB 15.08.18 09:06 Сейчас в теме
Проще будет зайти на ноут с клиент банком и на смартфон сидящего за ним
10. пользователь 11.04.20 19:00
Сообщение было скрыто модератором.
...
Оставьте свое сообщение

См. также

ФНС рассказала о темпах выдачи электронных подписей по новым правилам

Новость ИТ-новость ФНС

Налоговики опубликовали первые статистические данные о выданных по новым правилам электронных подписях. А также призвали пользователей оформить новые сертификаты КЭП до конца этого года, не дожидаясь январского ажиотажа.

18.10.2022    1707    ЕленаЧерепнева    0       

Минобороны предоставит сотрудникам ИТ-компаний отсрочку от частичной мобилизации

Новость ИТ-новость

Министерство для обеспечения работы высокотехнологической отрасли намерено освободить от частичной мобилизации разработчиков с высшим образованием из аккредитованных в Минцифры ИТ-компаний.

27.09.2022    1865    VKuser24342747    10       

Граждане смогут управлять своими персональными данными через Госуслуги

Новость Безопасность ИТ-новость

Минцифры намерено создать реестр, в котором будут представлены все согласия на обработку персональных данных. Россияне получат к нему доступ через Госуслуги и смогут отзывать собственные разрешения.

16.09.2022    1334    VKuser24342747    1       

В дипломах выпускников колледжей появятся QR-коды со сведениями о компетенциях

Новость ИТ-новость Образование Цифровая экономика

Минпросвещения сообщило, что при помощи кода можно будет получить подробную информацию о теоретических знаниях и практических навыках студента. Это упростит трудоустройство выпускников.

23.08.2022    1007    VKuser24342747    0       

Банки обяжут идентифицировать клиентов через биометрическую систему

Новость Банки Безопасность ИТ-новость

Центробанк планирует установить обязательное условие регистрации новых клиентов – прохождение идентификации через единую биометрическую систему (ЕБС). Регулятор считает действующие методы регистрации ненадежными.

22.07.2022    1827    VKuser24342747    0       

Минцифры запустило на «Госуслугах» сервис с информацией о мерах поддержки ИТ-отрасли

Новость Импортозамещение ИТ-новость

В новом разделе можно узнать о действующих льготах и преференциях, а также ознакомиться с последними новостями о реализации проектов поддержки и нормативными документами.

10.06.2022    1931    VKuser24342747    0       

Минцифры запустит цифровые кафедры в более чем 100 вузах России

Новость ИТ-новость Минкомсвязь Образование Цифровая экономика

Глава Минцифры Максут Шадаев рассказал о старте программы дополнительного обучения студентов, школьников и взрослых, в ходе которой они смогут овладеть цифровой специальностью.

10.06.2022    2241    VKuser24342747    0       

Госдума одобрила к первому чтению упрощенное получение ВНЖ для ИТ-специалистов

Новость ИТ-новость

Госдума приступила к рассмотрению законопроекта, упрощающего процедуру получения вида на жительство для иностранных разработчиков и их семей. Документ получил также одобрение Совета Федерации.

08.06.2022    2021    VKuser24342747    7       

На сайте «Госуслуги» заработал справочник по льготной ипотеке для ИТ-специалистов

Новость ИТ-новость

На портале работники ИТ-индустрии могут узнать, имеют ли право на получение кредита, где можно его оформить и на каких условиях. Льготная ипотека предоставляется в рамках поддержки ИТ-отрасли.

02.06.2022    2585    VKuser24342747    4       

Правительство переведет большую часть госуслуг в онлайн до конца 2023 года

Новость ИТ-новость Цифровая экономика

Правительство подготовило концепцию поэтапного перехода к цифровому формату предоставления госуслуг. Россияне смогут воспользоваться сервисами в режиме 24/7.

21.04.2022    3896    VKuser24342747    0       

В России будут готовить киберспортсменов – с нормативами по бегу и приседаниям

Новость ИТ-новость

Министерство спорта утвердило стандарт подготовки по компьютерному спорту. Перечня игр или количества фрагов на разряд там нет – зато есть нормативы по общей физической подготовке.

24.01.2022    8743    user1015646    5       

«Госуслуги» интегрируют с государственной биометрической системой

Новость ИТ-новость Минкомсвязь Цифровая экономика

Заходить на сайт «Госуслуг» станет проще. Единую систему идентификации и аутентификации (ЕСИА) сервиса интегрируют с «Единой биометрической системой» (ГИС ЕБС) – Минцифры заключило соответствующий контракт с «Ростелекомом».

24.01.2022    7915    user1015646    0       

Унылые пользовательские соглашения-многостраничники могут исчезнуть

Новость ИТ-новость

Прочитать до конца пользовательское соглашение и понять все юридические формулировки в нем способен только действительно упорный человек. Но вскоре соглашения могут стать короче и понятнее – в США разрабатывают соответствующий законопроект.

18.01.2022    5529    user1015646    0       

Стартап с российскими корнями оценили в 17,5 млрд долларов США

Новость ИТ-новость Управление проектами

Стартап Miro, основанный выходцами из России, привлек 400 млн долларов США в рамках инвестиционного раунда С. В целом же компанию оценили в 17,5 млрд долларов.

12.01.2022    9490    user1015646    2       

Банк России с января начнет собирать обезличенные данные о денежных переводах россиян

Новость Банки ИТ-новость

Центробанк с 2022 года ужесточит контроль потенциально нелегальных платежей между физлицами. Некоторые банки сообщили о необходимости передавать личные данные граждан, но ЦБ отрицает эту информацию.

30.12.2021    15774    VKuser24342747    3       

Жители России смогут получить зарплату через СБП

Новость Банки ИТ-новость Цифровая экономика

Система быстрых платежей, запущенная в начале 2019 года, позволяет моментально переводить деньги, оплачивать товары и услуги. В 2022 году СБП начнут использовать и для выплаты зарплат – правда, пока лишь в пилотном режиме.

27.12.2021    14280    user1015646    3       

Госдума начала рассмотрение закона о базовом доходе для семей с детьми

Новость Законодательство ИТ-новость

В Госдуму внесен законопроект, который устанавливает обязательные выплаты для семей, в которых воспитываются дети до 18 лет. Платежи будут рассчитываться в зависимости от числа членов семейства.

22.12.2021    15465    VKuser24342747    8       

«Google Диск» не позволит расшаривать файлы, нарушающие правила сервиса

Новость Google Безопасность ИТ-новость Новости компаний

Сервис «Google Диск» ввел ограничение на доступ к загруженным файлам, если они нарушают политику компании. Пользователи получат уведомление, если их контент не соответствует правилам хранилища.

21.12.2021    21293    VKuser24342747    3       

В России может появиться право на отказ от интернета

Новость Интернет ИТ-новость

Совет при президенте по правам человека (СПЧ) представил Концепцию по защите прав и свобод человека и гражданина в цифровом пространстве. Одно из положений документа – возможность отказаться от сетевого взаимодействия.

17.12.2021    19207    VKuser24342747    30       

На Госуслугах появилось проактивное информирование по сервисам ОМС

Новость ИТ-новость Медицина Минкомсвязь Мобильные приложения Цифровая экономика

Фонд обязательного медицинского страхования (ФОМС) совместно с Минцифры запустил услугу уведомления граждан о процессе получения медицинских услуг по ОМС.

07.12.2021    13162    VKuser24342747    1       

Крупные коммерческие сервисы подключают авторизацию через Госуслуги

Новость Безопасность Интернет ИТ-новость

Аккаунт на Госуслугах можно использовать, чтобы авторизоваться на популярных онлайн-площадках. Такую возможность уже открыли «Авто.ру», HeadHunter и ЦИАН.

03.12.2021    27946    user1015646    4       

«Яндекс» подключит регистрацию в своих сервисах через Госуслуги

Новость Безопасность ИТ-новость Новости компаний

Для доступа к профилю пользователи «Яндекса» смогут использовать Единую систему идентификации и аутентификации (ЕСИА), которая доступна для владельцев учетной записи на портале Госуслуг.

26.11.2021    19887    VKuser24342747    1       

Минцифры не будет превращать некоторые госуслуги в суперсервисы

Новость ИТ-новость Минкомсвязь Цифровая экономика

Министерство цифрового развития исключило четверть госуслуг из плана по превращению их в суперсервисы, полностью охватывающие типовые жизненные ситуации.

25.11.2021    13516    VKuser24342747    1       

Правительство разрешило сервисам такси и каршеринга собирать биометрию водителей

Новость ИТ-новость Цифровая экономика

Правительство внесло такси и каршеринг в список нефинансовых организаций, которые обладают правом собирать биометрические данные. Это поможет бороться с использованием поддельных документов.

08.11.2021    11843    VKuser24342747    1       

Минцифры запустит на Госуслугах сервисы для школьников и студентов

Новость ИТ-новость Цифровая экономика

Минцифры намерено разрешить создавать учетную запись на едином портале Госуслуг для детей младше 14 лет. Кроме того, ведомство предложит студентам сервис электронных зачетных книжек.

22.10.2021    10604    VKuser24342747    0