Против взлома нет приема: найден способ легко взломать беспроводную сеть Wi-Fi

12.08.2018     

Простой метод позволяет взламывать большинство сетей Wi-Fi. К каким последствиям это может привести? Как защитить свою беспроводную сеть от вмешательства злоумышленников?

Хакинг налегке

Разработчик популярного легального средства для взлома паролей Hashcat Йенс Штойбе рассказал о новом способе атак на сети беспроводной передачи данных, зачищенные WPA/WPA2. Простой метод позволяет получить идентификатор спаренных мастер-ключей роутера, с помощью которого расшифровывается пароль, используемый для подключения к Wi-Fi. Уязвимости подвержены все устройства с протоколом 802.11i/p/q/r.

Ранее обход защиты WPA/WPA2 требовал обязательного подключения пользователя к сети – перехватить необходимые для взлома данные можно было только во время их ввода. Метод Штойбе позволяет получить доступ к роутеру в любой момент времени – злоумышленнику достаточно запросить у точки доступа один EAPOL-фрейм, из которого извлекается информационный элемент безопасности сети (RSN IE). Далее мошенник получает из этой информации PMKID, подтверждающий, что пользователь и устройство знают пароль доступа к сети. Злоумышленнику останется попытаться авторизоваться, чтобы извлечь управляющий фрейм.

Реальная угроза

Очевидно, что эта уязвимость подходит не только для взлома домашних роутеров и скачивания фильмов через сеть соседа. Ранее к Wi-Fi московского метрополитена получили доступ злоумышленники, которые демонстрировали при попытке авторизации изображение, высмеивающее Роскомнадзор. Оператор «Максимателеком», предоставляющий пользователям услуги беспроводной сети в метро, опроверг эту информацию, заявив, что изображенный на скриншотах домен не принадлежит провайдеру.

Это не первое сообщение о недостаточной защищенности Wi-Fi московского метрополитена. В апреле этого года независимый эксперт опубликовал статью, в которой рассказал, что при авторизации можно увидеть номер телефона пользователя в незашифрованном виде. Для этого достаточно просто знать MAC-адрес устройства, с которого он логинится в сети. «Максимателеком» тогда отверг обвинения, сообщив, что эта уязвимость уже давно устранена.

Новая проблема, связанная с безопасностью Wi-Fi, угрожает конфиденциальности при использовании публичной точки доступа. Это может привести к краже персональных данных, в том числе информации о банковских картах, когда пользователи совершают платежи через общедоступные сети Wi-Fi, не опасаясь того, что их данные могут быть перехвачены.

Как защититься

Метод Штойбе – это не «универсальный ключ ко всем паролям в интернете», который так любят создатели кинобоевиков. Способ имеет ряд недостатков, которые можно использовать для защиты устройства от взлома:

  • Применение метода Штойбе упрощает процесс хакинга и извлечение хэша, но эти действия по-прежнему остаются требовательными к мощностям. Поэтому сложные длинные пароли с различными символами все еще актуальны.

  • Хорошо показывает себя смена PSK, сгенерированных производителем, на роутерах. Часто создатели аппаратуры устанавливают эти ключи по определенным шаблонам, что упрощает взлом. Поэтому если длина PSK превышает 20 символов, хакинг займет продолжительное время.

В совокупности эти методы защиты обеспечат приемлемый уровень безопасности для бытовых устройств и большинства роутеров, которые использует малый и средний бизнес.


Автор:
Александр Вашкевич Аналитик


Опасаетесь ли вы обнаруженного недостатка WPA/WPA2?


Да, угроза реальна. (39.39%, 13 голосов)
39.39%
Рядовым пользователям бояться нечего. (24.24%, 8 голосов)
24.24%
Угроза преувеличена. (36.36%, 12 голосов)
36.36%

Комментарии
В избранное Подписаться на ответы Сортировка: Древо развёрнутое
Свернуть все
1. Petrosyanc 7 12.08.18 10:58 Сейчас в теме
Нефигово так
Вообще считаю безопасность на ПЕРВОМ! уровне, все остальное это фарш
maksa2005; +1 Ответить
2. Petrosyanc 7 12.08.18 10:58 Сейчас в теме
Теперь вирусняги новые появятся...
3. CheBurator 3456 12.08.18 22:50 Сейчас в теме
ну я сталкивался с тем, что безопасность была такая, что вместо 10 минут работы - требовалось полтора часа.
JohnyDeath; orfos; +2 Ответить
4. nvv1970 12.08.18 23:55 Сейчас в теме
ну у меня всегда пароли >20 символов)))
5. vipetrov2 13.08.18 05:29 Сейчас в теме
Сейчас Wi-Fi взламывают видеокартами путем полного перебора. И пароли на 20 символов скоро помогать перестанут.
7. nyam-nyam 13.08.18 09:28 Сейчас в теме
(6)Не надо ждать пока будет логиниться какой-нибудь легальный пользователь, т.е. метод более универсальный. А всё остальное по прежнему...
8. Vovan1975 13 13.08.18 12:32 Сейчас в теме
надо будет таки включить фильтрацию мак адресов на вайфае домашнем
PowerBoy; Krio2; +2 1 Ответить
9. KontoraB 15.08.18 09:06 Сейчас в теме
Проще будет зайти на ноут с клиент банком и на смартфон сидящего за ним
Оставьте свое сообщение

См. также

В России прирост стартапов по разработке ПО упал до ста новых компаний в год

Новость Аналитика ИТ-новость Стартапы

Некоммерческая ассоциация «Руссофт» провела исследование российского рынка разработки. Эксперты установили, что за последние пять лет в этой отрасли ежегодно появляется около 100 новых устойчивых компаний.

22.07.2021    930    VKuser24342747    2       

На московском хакатоне разработчики со всей России поборолись за миллионы рублей

Новость Искусственный интеллект ИТ-новость Стартапы Цифровая экономика

В Москве подведены результаты онлайн-хакатона Moscow City Hack. По итогам 72-часового конкурса победили получили крупные денежные призы и дорогостоящие гранты на обучение.

16.07.2021    733    VKuser24342747    1       

Исследование: компаниям не хватает сотрудников, разбирающихся в старых технологиях

Новость Аналитика ИТ-новость

Исследование Advanced Software показало, что многие крупные ИТ-компании испытывают сложности с передачей знаний о старых технологиях и не могут нанять специалистов для поддержки легаcи-проектов. 

08.07.2021    1172    user1015646    16       

Минцифры в этом году представит стратегию развития открытого ПО в России

Новость Законодательство

Министерство цифрового развития совместно с ИТ-бизнесом занимается разработкой стратегии развития open source в стране. Об этом рассказал заместитель министра связи Максим Паршин.

01.07.2021    755    VKuser24342747    0       

Исследователи рассказали, как уровень кибербезопасности снизился из-за пандемии

Новость Безопасность ИТ-новость

Из-за перехода на удаленку многие специалисты завели десятки новых аккаунтов. Эксперты IBM установили, что это негативно сказалось на уровне безопасности в интернете.

24.06.2021    2293    user1015646    0       

Минпросвещения начало эксперимент по внедрению электронных досье в детских садах

Новость ИТ-новость Цифровая экономика

Минпросвещения приступило к разработке системы, которая позволит собирать и хранить данные о школьниках и студентах. Цифровой профиль будет создан сразу же после зачисления ребенка в детский сад или первый класс.

11.06.2021    1915    VKuser24342747    0       

GitHub узнал, как совещания влияют на работоспособность программиста

Новость GitHub Аналитика ИТ-новость

GitHub провел исследование, чтобы выяснить, действительно ли отрыв от работы для обсуждения задач влияет на работу разработчиков. Анализ показал, что отвлечение в течение дня сильно снижает продуктивность сотрудника.

31.05.2021    3481    VKuser24342747    3       

Google показал фото новых офисов и рассказал о гибридном графике

Новость Google ИТ-новость

Google переводит сотрудников на гибридный график работы: три дня в неделю сотрудники будут работать из офиса, два дня в неделю – из дома. Поисковый гигант пересмотрел свои политики организации команд и показал обновленные офисы.

25.05.2021    5851    user1015646    0       

Осторожно, бонусы: компания устроила сотрудникам необычную проверку кибербезопасности

Новость Безопасность Интернет ИТ-новость

Киберпреступники часто атакуют пользователей с помощью писем, содержащих ссылки на фишинговые сайты. Они имитируют банковские и другие ресурсы, собирают личные и платежные данные, могут поставить под угрозу всю ИТ-инфраструктуру предприятия.

19.05.2021    2971    user1015646    4       

Минцифры переводит портал «Госуслуги» на отечественный софт

Новость Импортозамещение ИТ-новость Минкомсвязь Облачные технологии Цифровая экономика

В Министерстве цифрового развития рассказали о доступности бета-версии нового портала и планах дальнейшего развития. Наиболее заметные нововведения – новая ИТ-архитектура и полный отказ от поиска.

05.04.2021    8188    ЕленаЧерепнева    4       

Обладательница фамилии True полгода не может войти в аккаунт Apple iCloud

Новость Интернет ИТ-новость

Девушка по имени Рэйчел Тру (Rachel True) рассказала, что не может залогиниться в своей учетной записи Apple. Система авторизации iCloud преобразовывает ее фамилию в логический тип данных.

12.03.2021    10034    VKuser24342747    1       

Эксперты рассказали, почему вместе с Twitter замедлился GitHub и десятки других сайтов

Новость GitHub ИТ-новость Соцсети

Роскомнадзор впервые ограничил скорость доступа к сайту. Но, помимо Twitter, замедлились и другие ресурсы, например, GitHub, Reddit, Steam, Microsoft. Аналитики рассказали, почему так произошло.

11.03.2021    6152    user1015646    1       

Роскомнадзор замедлил работу Twitter в России

Новость Законодательство ИТ-новость Роскомнадзор Соцсети

Роскомнадзор с 10 марта начал замедлять работу Twitter в России. Причина ограничений – соцсеть игнорирует требования регулятора и не удаляет противоправный контент. 

10.03.2021    10108    SeiOkami    19       

Исследование: как пандемия изменила ожидания ИТ-шников от профессии

Новость ИТ-новость Цифровая экономика

Из-за пандемии коронавируса и ускоренной цифровой трансформации ИТ-специалисты испытывают повышенный стресс на работе. Большинство опрошенных с трудом переключается на личные дела в конце дня и чаще конфликтует с коллегами.

04.03.2021    6784    VKuser24342747    3       

Умер создатель Objective-C. Расскажем о его вкладе в развитие языков программирования

Новость ИТ-новость Языки программирования

Разработчик Брэд Кокс скончался на 76 году жизни. Вместе с Томом Лавом Кокс создал язык программирования Objective-C, который используют преимущественно для разработки приложений для macOS и iOS.

29.01.2021    6669    user1015646    3       

Разработчик может лишиться доступа к 280 млн долларов в биткоинах из-за забытого пароля

Новость Безопасность ИТ-новость

Новый год для мира криптовалют начался с подъема: биткоин пробил отметку в 40 тыс. долларов. Разработчик из Сан-Франциско Стефан Томас испытывает по этому поводу противоречивые чувства: он забыл пароль доступа к 7 тыс. биткоинов.

15.01.2021    4331    user1015646    7       

Сотрудники на удаленке чувствуют себя более измотанными, чем при работе в офисе

Новость ИТ-новость Новости компаний

Анонимный опрос, проведенный сервисом Blind, показал, что 68% технических работников на удаленке чувствуют себя более измотанными, чем когда они работали в офисе.

02.11.2020    5833    capitan    14       

Минэкономразвития предложило проактивное оказание госуслуг

Новость Автоматизация ИТ-новость Цифровая экономика

Портал госуслуг может начать предугадывать, какие сервисы понадобятся гражданам. Органы власти заранее подготовят необходимые документы для замены паспорта, прописки ребенка и других типовых задач.

04.09.2020    7711    VKuser24342747    0       

SuperJob проанализировал зарплаты выпускников российских ИТ-вузов

Новость ИТ-новость Образование

Сервис по поиску работы SuperJob составил список отечественных вузов, выпускники которых получают наиболее высокие заработные платы после окончания обучения. 

25.06.2020    9864    VKuser24342747    0       

Минфин раскритиковал планы Минкомсвязи по субсидированию онлайн-образования

Новость Образование

Министерство связи хочет выделить 300 млн рублей компаниям, предлагающим услуги онлайн-образования. Минфин опасается, что часть этих денег могут получить развлекательные и игровые сайты. 

22.05.2020    8405    VKuser24342747    1       

Боремся с «ленивой самоизоляцией»: цикл публикаций от Елены Дуюн на Infostart.ru

Новость Обучение, бизнес-тренинг, курсы

Организация работы в период пандемии – ценный опыт, которым нужно делиться. Продолжаем обсуждение вместе с бизнес-психологом, консультантом по подбору и развитию персонала – Еленой Дуюн. 

20.05.2020    14668    user997184    1       

Мир после коронавируса: российские компании не сохранят удаленку, США – наоборот

Новость Новости компаний

Многие компании вынуждены были полностью или частично перейти на удаленный формат работы. Но после снятия карантинных ограничений большая часть российских работодателей намерена вернуть сотрудников в офисы. В США ситуация противоположная.

15.05.2020    9686    user1015646    9       

Все.онлайн: в России запущен каталог бесплатных ресурсов для людей в самоизоляции

Новость Госдума Интернет

В России заработал портал, на котором собраны бесплатные ресурсы: развлекательные, образовательные и информационные. Они помогут провести время продуктивно, отдохнуть, заказать товары онлайн.

15.04.2020    8016    user1015646    0       

Минкомсвязи представило приложение для получения QR-пропусков на время карантина

Новость Минкомсвязь Мобильные приложения

В магазинах мобильных приложений появилась программа для получения QR-пропусков во время самоизоляции. В Минкомсвязи сообщили, что решение будет использоваться по всей России, кроме Москвы. 

14.04.2020    11332    VKuser24342747    2       

Опубликован список сайтов «бесплатного интернета»

Новость Интернет Минкомсвязь

Эксперимент продлится с 1 апреля по 1 июля 2020 года. Предполагается, что потоковое видео с сайтов при бесплатном доступе грузиться не будет.

10.04.2020    10587    AnastasiaKl    5