Ochrana před KRACK útoky v roce 2024 (průvodce)
Co je KRACK?
KRACK je zkratka pro Key Reinstallation Attack. Objevil ho Mathy Vanhoef, postdoctorální badatel na Katolické univerzitě v belgickém Leuvenu. Je to velmi chytrý útok zaměřený na protokol WPA2, který je nejnovějším standardem a je považován za velmi bezpečný.
KRACK se zaměřuje na chybu ve specifikaci protokolu, takže téměř všechny Wi-Fi routery používané v domácnostech, korporacích, vládních organizacích atd. jsou zranitelné.
Jak útok funguje?
Útok KRACK se zaměřuje na třetí fázi čtyřstranného přenosu v protokolu WPA2. Tento čtyřstranný přenos je způsob, jakým se router připojuje k internetu.
Když klient a směrovač komunikují, používají jedinečný kryptografický klíč, který se mění s každým připojením a každým zařízením. Ostatní zařízení tak nemohou využít stejného připojení, i když jsou ve stejné síti.
Avšak za účelem optimalizace komunikace a minimalizace problémů s připojením protokol dovoluje a doporučuje opakované použití kryptografického klíče několikrát, pokud router neobdrží potvrzení od klienta. KRACK útok tuto výhodu využívá a zachycuje jednorázový kryptografický klíč. Poté znovu a znovu přenáší tento klíč, což donutí klienta resetovat čítače paketů.
Porovnáním zašifrovaného textu před a po odeslání klíče může útočník zjistit celkový klíč relace. Pak útočníci mohou dělat mnoho věcí, jako je špehovat provoz (podobně jako člověk ve středním útoku), nainstalovat jakýkoli malware (jako je ransomware nebo Trojan) a nechat uživatele připojit se k zabezpečenému webu bez HTTPS (přestože správně nakonfigurovány webové stránky nejsou tímto postiženy).
Dobrou zprávou je, že útočník musí být ve fyzickém okolí vašeho routeru, aby mohl provést tento útok, takže je menší šance, že k němu dojde u vás doma. To by však nemělo znevážit skutečnost, jak důležité je přijmout opatření.
Která zařízení jsou ovlivněna?
Každé zařízení, které používá Wi-Fi s běžně nakonfigurovaným protokolem WPA2, je ohroženo. Nicméně, některé operační systémy jsou náchylnější k útoku než jiné.
Systémy Android a Linux jsou kvůli implementaci extrémně zranitelné vůči útoku KRACK. V těchto scénářích může útočník přinutit komunikaci k použití šifrovacího klíče s nulovým číslem, který znemožní bezpečnost. Systém Windows OS je vůči tomuto útoku poměrně imunní a společnost Apple již začala vydávat opravy.
Jak mohu zůstat v bezpečí před útokem?
Mnoho lidí si myslí, že změna Wi-Fi hesla může zabránit této zranitelnosti, ale ve skutečnosti tomu tak není. Zde je několik způsobů, jak můžete zůstat v bezpečí před rizikem napadení:
- Přestaňte používat Wi-Fi: Ačkoli to může znít příliš dramaticky, toto je jedno z nejlepších možných řešení, dokud není implementována aktualizace. Na chytrých telefonech používejte mobilní data a nikoliv Wi-Fi, zejména na Android zařízeních, a vyvarujte se používání Wi-Fi na veřejných místech, jako jsou kavárny, letiště atd.
- Navštěvujte jen HTTPS stránky: Data přenášená prostřednictvím protokolu HTTP lze velmi snadno špehovat a číst v prostém textu. Měli byste navštěvovat pouze HTTPS stránky, zejména pokud odhalujete citlivé informace nebo provádíte online transakce. Upozorňujeme, že útočník vás může uvést v omyl, kdy používáte protokol HTTP i pro zabezpečené webové stránky, takže je musíte ručně potvrdit tak, že zaškrtnete zelený štítek HTTPS na URL adresním řádku.
- Používejte VPN: Použití VPN určitě poskytne spolehlivější způsob potírání útoku, protože poskytuje přímý a bezpečný komunikační kanál mezi klientem a serverem. Použití VPN vás také chrání před jinými hrozbami, takže je velmi doporučeno.
Mějte na paměti, že tyto DNS požadavky mohou i nadále probíhat mimo VPN síť. Chcete-li tomu zabránit, musíte si vybrat VPN poskytovatele, který vám také poskytuje vestavěný DNS server. Nemluvě o tom, že zvolený VPN poskytovatel musí být důvěryhodný a spolehlivý, protože má schopnost sledovat kompletní provoz. Je-li to možné, použijte placenou VPN službu a nikoliv ty bezplatné, protože existují známé případy, kdy jsou prodávány údaje o klientovi. (Níže naleznete nejlepší a nejvíce doporučované VPN pro použití proti útoku KRACK.) - Aktualizujte svá zařízení: Toto je nejdůležitější a nejspolehlivější řešení. Výrobce zařízení dříve nebo později uvede opravu tohoto problému, proto byste měli vaše zařízení aktualizovat, jakmile ji získáte. To opraví problém z kořenového adresáře. Takže dbejte na aktualizace a přečtěte si poznámky těchto vydání. Nicméně ne všichni výrobci jsou tak rychlí a je pravděpodobné, že mnoho zařízení nikdy neuvidí aktualizaci. V takových případech je třeba dodržovat další přístupy popsané výše.
Útok KRACK může být škodlivý, pokud bude ignorován, ale ochrana pomocí výše uvedených strategií zajistí, že vy a vaše informace zůstanou v bezpečí.
Doporučené VPN pro použití proti útoku KRACK
Poznámka redakce: Vážíme si vztahu s našimi čtenáři a snažíme se získat vaši důvěru transparentností a poctivostí. Jsme ve stejné vlastnické skupině jako některé z předních produktů recenzovaných na těchto stránkách: Intego, Cyberghost, ExpressVPN a Private Internet Access. To však nemá vliv na náš proces hodnocení, protože dodržujeme přísnou metodiku testování.
Navštěvovaným stránkám odhalujete informace o své osobě!
Vaše IP adresa:
Vaše umístění:
Váš poskytovatel internetu:
Informace uvedené výše lze použít k vašemu sledování, cílení reklamy a monitorování vaší online činnosti.
VPN vám pomůže tyto informace skrýt a vy tak budete neustále chráněni. Doporučujeme ExpressVPN – jedničku mezi VPN. A to jsme jich otestovali více než 350. Používá šifrování na armádní úrovni a funkce, které zajistí bezpečnost vašeho digitálního soukromí. A navíc momentálně nabízí 61% slevu.
Napište nám komentář, jak tento článek vylepšit. Vaše zpětná vazba je pro nás důležitá!