-
Начало

Wi-Fi Alliance представи новия WPA3 стандарт

undefined

Wi-Fi Alliance днес официално обяви началото на стандарта WPA3 - следващото поколение стандарт за Wi-Fi защита, който обещава да премахне всички известни уязвимости в сигурността на безжичните мрежи.

WPA или Wi-Fi Protected Access е стандарт, предназначен да удостоверява безжичните устройства, използвайки протокола Advanced Encryption Standard (AES) и има за цел да ви предпази от хакерите, които могат да подслушват безжичните ви мрежи.

В края на миналата година обаче, специалистите в областта на киберсигурността разкриха сериозен недостатък в сегашния протокол WPA2, наречен KRACK (Key Reinstallation Attack), който позволява на атакуващите да подслушват, декриптират и дори да манипулират мрежовия Wi-Fi трафик.

Макар повечето производители на безжични устройства да са подсигурили вече устройствата си срещу нападенията от типа KRACK, WiFi Alliance без да губи време се втурна да финализира и стартира WPA3, за да адресират техническите недостатъци на WPA2.

Какво представлява WPA3 и какви нови функции за сигурност предлага?

Стандартът за защита на WPA3 ще замени съществуващия WPA2, който се използваше в продължение на 15 години и все още се използва в милиарди устройства по целия свят.

Ето някои основни функционалности, предлагани от новия протокол:

1. Защита от Brute-Force атаки
WPA3 осигурява по-голяма защита срещу Brute-Force атаки с речници, което прави по-трудно за хакерите да компрометират вашата WiFi парола - дори и да изберете по-лесни за разбиване пароли.

2. WPA3 Forward Secrecy
WPA3 използва SAE (Simultaneous Authentication of Equals), за да предложи forward secrecy, функция за защита, която не позволява на атакуващите да декриптират стария прихванат трафик, дори ако някога са научили паролата за мрежата.

3. Защита на обществени / отворени Wi-Fi мрежи
WPA3 подсигурява поверителността на потребителите в отворените мрежи чрез индивидуализирано криптиране на данни - функция, която криптира безжичния трафик между устройството ви и точката за достъп до Wi-Fi, за да се намали рискът от атаки тип "Man in the middle" (MiTM). За да се предотвратят такива пасивни атаки, WPA3 може да добави поддръжка за Opportunistic Wireless Encryption (OWE).

4. Допълнително криптиране за критичнo важни мрежи
Използвайки WPA3 Enterprise, важните Wi-Fi мрежи, обработващи чувствителна информация (като правителствени и корпоративни организации), могат да защитят своите Wi-Fi мрежи с цялостно 192-битово криптиране.

Wi-Fi Easy Connect

WiFi Alliance също така представи нова функционалност, наречена WiFi Easy Connect, която опростява процеса за свързване на IoT устройства към вашия рутер.
Новата технология е заместител на Wi-Fi Protected Setup (WPS), който се счита за изключително уязвим.
Очаква се, че с помоща на Easy Connect ще можете да свържете своята интелигентна джаджа с рутера ви, като просто сканирате QR код с вашия смартфон, за да получите автоматично удостоверение за Wi-Fi на новото устройство.

WPA3 се очаква да започне да се използва по-късно тази година и се очаква да достигне масовото приемане в края на 2019 г., когато в крайна сметка стане изискване устройствата да бъдат считани за Wi-Fi сертифицирани, според WiFi Alliance.

WebRTC: уязвимост или функционалност?

undefined

WebRTC е API, изготвен от World Wide Web Consortium (W3C), който поддържа браузър-към-браузър приложения за видео чат, гласова комуникация и P2P файлово споделяне, без нуждата от външни плъгини. През май 2011 г. Google стартира проект за браузър-базирана платформа за уеб-комуникация в реално време с отворен код, известна като WebRTC. Версията на W3C е в процес на работа по усъвършенстване и реализация в браузърите Chrome и Firefox.

Според Mozilla, възможността WebRTC да издаде информация посредством уеб браузъра на посетителя, не е уязвимост, а функционалност. За целта, браузърите трябва да спазват три изисквания изложени в чернова, публикувана на IETF организацията. Какво, обаче, е предпоставка за притеснение и защо се класифицира като уязвимост от множество хора онлайн?

Каква е заплахата?

Въпреки че тази функция може да бъде полезна за някои потребители, тя представлява заплаха за всеки, който използва проксиращ сървър (Web Proxy, VPN или друг вид) и се стреми да поддържа анонимност онлайн, без да разкрива истинския си IP адрес".

Приложение

WebRTC може да бъде използван за разкриването на истинския ви IP адрес, както и на вашия локален IP адрес. Това е възможно чрез STUN заявки с браузърите на Firefox, Chrome и Opera, дори когато използвате VPN.

Накратко това означава, че всеки сайт може да изпрати няколко конкретни заявки посредством Javascript, за да получи вашия истински IP адрес посредством използвания от вас уеб браузър.

Гарантират ли ни пълна анонимност използваните VPN услуги?

Отговорът на този въпрос е също толкова труден, колкото и самият въпрос – може би.

За да сте най-добре информирани, е препоръчително да се обърнете към използвания от вас доставчик на VPN услуги, за да проверите дали от тяхна страна се предлага допълнителна защита, която предпазва от изтичане на информация посредством WebRTC.

Решение на проблема

Съществуват няколко решения на проблема, като някои от тях са:

  1. Изключването на WebRTC функционалността от браузъра, който използвате.
  2. Използването на външни плъгини и добавки към браузърита, които да блокират уязвимостта. Имайте впредвид, че това решение не винаги е на 100% сигурно.
  3. Използването на VPN, който има политика за защита срещу WebRTC. Някои от тях са – ExpressVPN, HoxxVPN, Perfect Privacy
  4. Използването на Tor Browser, в който по подразбиране има изключен WebRTC и имплементирани някои други защити.

Тъй като Google Chrome и базираните на него други браузъри нямат възможност за изключване на WebRTC под Desktop, единствените 2 варианта за предпазване остават използването на добавки и горепосочените VPN услуги.

За да изключите WebRTC от Mozilla Firefox напишете about.config в URL полето и след това в полето за търсене въведете "media.peerconnection.enabled". Кликнете два пъти върху предпочитанието, за да промените стойността на "false".

За да изключите WebRTC от мобилната версия на Chrome въведете в URL полето chrome://flags/#disable-webrtc, след което намерете WebRTC STUN origin header и го изключете.

За да изключите WebRTC от Opera ще се наложи също както при Chrome да използвате външна добавка, която се казва WebRTC Leak Prevent. След това в разширените опции за разширението WebRTC Leak Prevent изберете "Disable non-proxied UDP (force proxy)" и след това щракнете върху Apply settings.

Бизнесът изнудван по нова схема - „рансъмхак“

Престъпниците искат откуп, за да не оповестяват публично пробива.

undefined

С влизане в сила на новия европейски регламент за защита на личните данни GDPR, който по идея трябва да повиши информационната сигурност, се появи и нов метод за изнудване на бизнеса.


Собственици на фирми споделят, че са обект на хакерски атаки от типа „рансъмуер“, при които се изтеглят личните данни на потребителите или клиентите на дадена компания и се иска откуп. Този път обаче той не е за декриптиране на файловете с данните, а за да не бъде оповестен пробивът публично.


Ако жертвата откаже да заплати, хакерите заплашват с публикуване на цялото съдържание на базата с лични данни в публичен сървър, което съгласно регламента, означава на фирмата да бъде наложена солена глоба.

Потърпевши са средни и големи български фирми, от които хакерите искат откуп в непроследима криптовалута. Исканите суми варират от 1000 до 20 000 лв., а глобите, които според еврорегламента заплашват фирмите, са в размер на 4% от оборота за предходната година или до 20 млн. евро. За краткост, може да наричаме този тип хакерски атаки „рансъмхак“ („ransomhack“).


От допълнителни източници става ясно, че атакуваните фирми са взели мерки за защита съгласно GDPR, като са си създали политики за съхраняване на личната информация, подсигурявайки данните в офисите си, но не са направили тестове за информационна сигурност, за да проверят дали реално не са уязвими от виртуални престъпници.


Иначе казано, направили са това, което би ги спасило при евентуална проверка на Комисията за защита на личните данни. Те обаче не са помислили за подсигуряване на достъпната от интернет инфраструктура. Единственият начин да си гарантират по-голяма сигурност срещу кибератаки е извършване на тестове на информационната им сигурност или така наречените пенетрейшън тестове.

Тестовете представляват симулация на реални кибератаки. Целта е като се използват всички методи и техники на злонамерените хакери, да се открият и поправят уязвимостите.


Тъй като често пробивът в киберсигурността е последица от човешка грешка, допълнителна полза би донесло и прилагането на т.нар. тестове за социално инженерство. Те представляват комплекс от тестове на терен, по телефон или имейл, които се провеждат на персонала без неговото знание. Чрез различни техники се правят опити за подвеждане на служителите да разкрият чувствителна или конфиденциална за фирмата информация на подставени лица, които не би трябвало да имат достъп до нея.


Фирмите, при които вече е станал киберинцидент, според регламента са длъжни в срок до 72 часа да информират регулиращия орган. За България това е Комисията за защита на личните данни, която трябва да прецени какви санкции да наложи. Ако обаче не я уведомят, санкциите са сигурни и ще бъдат в пъти по-големи.

Начало