В начале этой недели представитель исследовательской группы Imec-DistriNet Мати Ванхоф (Mathy Vanhoef) рассказал об обнаруженных им серьезных уязвимостях в протоколе шифрования WPA2, который используется для защиты большинства современных сетей Wi-Fi.
Ванхуф отметил:
«Злоумышленник, находящийся в пределах досягаемости жертвы, может использовать эти уязвимости для атаки KRACK (Key reinstallation attack — подмена ключей шифрования). Атакующий применяет этот новый вид атаки для получения доступа к информации, которая ранее считалась зашифрованной. Это может применяться для хищения таких конфиденциальных данных, как номера кредитных карт, сообщения чатов, электронная почта, фотографии и тому подобное. Атака действует против всех существующих защищенных сетей WI-FI».Возможное влияние на криптовалютные кошельки
Как объясняет Ванхуф, информацию можно похитить с любых устройств, использующих открытое соединение WI-FI, начиная от мобильных телефонов до компьютеров. Многие аналитики, в том числе ответственный редактор компании CNET Роджер Чен (Roger Cheng) считают, что сейчас уязвимым является любое устройство, использующее соединение Wi-Fi.
«Это очень серьезно. Плохо то, что уязвимым становится любое использующее Wi-Fi устройство. Хорошо то, что необходима локальность. Злоумышленник должен находиться вблизи сети Wi-Fi. Запустить масштабную атаку невозможно», — говорит Чен.
Аналитики объясняют, что хакеры, атакующие локальные соединения Wi-Fi, например, в аэропортах, могут взломать локальные системы устройств с поддержкой Wi-Fi и похитить любую информацию — от паролей до данных приложений. Кроме того, поскольку по сравнению с другими операционными системами устройства на Android и Linux более подвержены атакам KRACK, криптовалютные кошельки, установленные на таких устройствах, имеют больше шансов подвергнуться локальным атакам.
Около 50% устройств на Android являются уязвимыми перед атаками KRACK и другими видами атак, способными извлечь передаваемую устройствами секретную информацию.
Двухфакторная аутентификация (2FA) для криптовалютных кошельков
Чтобы защититься от атак KRACK и других нацеленных на Wi-Fi атак и не потерять пароли и пин-коды криптовалютных кошельков, очень важно использовать многоуровневую аутентификацию 2FA. Blockchain — второй по количеству пользователей кошелек биткоина после Coinbase — рекомендует использовать защиту через электронную почту и приложение Google Authenticator — четыре слоя защиты, пробить которые чрезвычайно сложно.
Разработчики криптовалютных кошельков советуют также избегать двухфакторной аутентификации через СМС, так как телефоны являются уязвимыми, и пароли могут быть украдены. Руководитель разработки Zcash Зуко Уилкокс (Zooko Wilcox) заявил:
«В последнее время я видел сообщения «мой телефон взломан» от трех разных людей. Будьте настороже и используйте 2fa [*]».
Команда разработчиков самого популярного и безопасного на сегодняшний день аппаратного кошелька Trezor предлагает своим пользователям пойти еще дальше и использовать вместо приложений двухфакторной аутентификации 2FA (наподобие Google Authenticator и СМС) протокол аутентификации U2F. Аналогичные Google Authenticator приложения, которые все же обладают большей безопасностью по сравнению с СМС, используют систему под названием Time-Based One-time Password (TOTP), которая демонстрируется в представленном ниже инфографике Trezor:
Однако разработчики Trezor объясняют, что система TOTP может оказаться уязвимой, поэтому пользователям необходимо предпринимать дополнительные меры безопасности, делая резервное копирование «секретной» или частной информации. Кроме того, если атакующие получат доступ к провайдеру TOTP, то данные пользователей могут оказаться подвержены другим видам атак.
«Резервные коды отправляются через интернет, что небезопасно. Вы и ваш провайдер знаете один и тот же секрет. Если злоумышленник взломает компанию и получит доступ к базе данных паролей и секретных кодов, он или она смогут абсолютно незаметно проникнуть в любой аккаунт», — заявляет команда разработчиков Trezor.
В заключение необходимо сказать, что для защиты от нежелательного доступа к кошелькам и пробоя систем безопасности пользователям следует отказаться от использования открытых сетей Wi-Fi и не осуществлять вход в свои аккаунты в таких сетях. Дополнительно эксперты советуют применять мощную систему двухфакторной аутентификации 2FA, предпочтительно Google Authenticator и U2F.
Тем не менее, не стоит паниковать — взлом шифрования WPA2 означает лишь то, что злоумышленник сможет подключиться к Wi-Fi сети в обход пароля, но это не позволяет ему так же легко проникнуть в операционную систему ваших устройств. Он сможет получать данные, передаваемые внутри сети без шифрования. Все передачи по зашифрованным протоколам, таким как HTTPS, различные виды VPN и т. д. по-прежнему остаются в безопасности. По сути, использование взломанной сети Wi-Fi аналогично использованию общедоступной сети Wi-Fi, например в кафе или аэропортах, или домашней/офисной проводной сети, где большая часть трафика, как правило, не шифруется. При работе в такой сети следует соблюдать повышенные меры предосторожности, но безопасность вашей информации в основном зависит от защищенности вашего устройства.
