A 2018-as CES kiállításon a vezeték nélküli gyártókat tömörítő Wi-Fi Alliance szervezet már belengette a WPA2 biztonsági szabvány leváltását célzó, rengeteg újítást tartalmazó WPA3 megjelenését. A napokban viszont hivatalossá is vált: így várhatóan hamarosan alkalmazásra kerül az új szabvány!
A WPA, a Wi-Fi Protected Access, azaz a vezeték nélküli védett hozzáférés rövidítése. Amennyiben az otthoni routeredben jelszavas authentikáció van, akkor elég nagy valószínűséggel a régebbi-, WPA2 típust használod te is.
Létezik egy még régebbi verzió, a WPA, illetve egy WEP-nek titulált szabvány is, ezek azonban nem minősülnek biztonságosnak egy jó ideje már. Talán már te is találkoztál vele, hogy sok esetben azt ajánlják a WIFi-t felhasználóknak, hogy vagy ne használják lehetőség szerint az elavult készülékek WiFi-jét, vagy a csatlakozást követően építsenek ki egy VPN-t és azon keresztül kommunikáljanak.
A WPA2 egy olyan biztonsági rendszer része, amely azt a protokollt írja le, amellyel a Wi-Fi kliens és a router/AP egy ún. 4 utas kézfogásos (handshake) módszerrel kapcsolódnak, illetve kommunikálnak.
A sima WPA-tól eltérően, az új szabvány, az AES titkosítási algoritmust használja, amelyet sokkal körülményesebb feltörni. Ennek ellenére, az immár 10 éve piacon lévő WPA2 feltörésére is számos módszer látott napvilágot, sőt komplett Linux disztribúciók állnak rendelkezésre ahhoz, hogy egy lehallgatásos módszerrel, illetve az elfogott csomagok elleni brute-force támadással feltörjék a titkosításhoz használt jelszót.
Ezek közül kiemelhető az Aircrack-ng szótáras támadással kombinálva, az Airgeddon Pixie-dust módszer és az anno Krack-módszerként elhíresült, kulcs-manipulációs támadás is. Az előbbi lényege az, hogy az említett 4 utas handshake-ben átküldésre kerülő jelszót a megfelelő számú frame-mel megszerzik, majd azt feltörik egy szótáras támadással.
A Krack-módszer sikeresnek bizonyult a WPA és WPA2, a personal és enterprise (802.1x-es RADIUS) illetve a WPA-TKIP, AES-CCMP és GCMP titkosítások esetében is. Jelentősége pedig leginkább abban mutatkozik meg, hogy alkalmazásával nem a jelszavak kinyerése az elsődleges cél, hanem sokkal inkább az felhasználók kommunikációjának visszafejtésére használják, anélkül, hogy a többi módszer segítségével kinyerésre került jelszót egyáltalán megismernék.
Látszik tehát, hogy a 10-13 éve kiadott szabvány fölött igencsak eljárt az idő. Ugyan léteznek ökölszabályok arra, miként védekezhetünk az esetleges támadások ellen (pl. minimum 16-30 karakteres jelszóval), de bőven időszerű volt már a WPA rendszer frissítését kiadni és új módszereket beleépíteni, amelyek ellehetetlenítik a rosszindulatú támadásokat.
Az új biztonsági szabvány okos lesz és kell nekünk. Hogy miért? Mert a WPA3 lényege egy négyes pilléren alapul. Ahhoz, hogy a gyártók tanúsíttassák készülékeiket és elhelyezhessék rajtuk a Wi-Fi CERTIFIED™ WPA3™ feliratot, mindegyik követelményt implementálniuk kell.
Annak ellenére, hogy a WPA3 komplett kompatibilitást ígér a régi WPA2 szabvánnyal, nem várható tömeges elterjedése a jelenlegi hardware infrastruktúrákon. Ennek részint üzleti okai lesznek, hiszen gyártói szemmel egy ilyen biztonsági rendszer bevezetése szoftverfrissítésként nem generál bevételt, míg ezt új eszközökben implementálva nyilván sokkal profitábilisabb.
Természetesen lesznek majd új firmwarek, de az igazi térnyerést a kliens eszközök megjelenése fogja magával rántani, ugyanis mindkettő megléte fontos a WPA3 alkalmazásához. Ezen túlmenően az új 802.11ax Wi-Fi szabvány szerinti eszközök megjelenése is küszöbön áll, így valószínű, hogy ezek tömeges elterjedése kedvezni fog majd a WPA3-nak is.
A jelenlegi rendszerek, a szállodák, kávézók nyilvános vezeték nélküli hálózatai egyáltalán nem védettek, a rajtuk folyó forgalom nem titkosított, így nagyon egyszerű adatokat megszerezni, mivel minden „plain text” formátumban kerül átküldésre, mint pl. a weboldalak böngészése stb. Ezen sokat segített a HTTPS térnyerése, de sok esetben még a POP3 e-mail forgalomban sincs semmiféle titkosítás, így komplett levelezések szerezhetők meg.
A WPA3 Enhanced Open™ ez ellen úgy véd, hogy egyéni adattitkosítást alkalmaz, titkosítva a két pont közti forgalmat, akkor is, ha nem kell jelszót beütni a csatlakozáshoz. Így azért elég nehéz lesz a snooping (lehallgatás) módszerrel történő adathoz jutás.
A fentiekben ecsetelt támadások, amelyek a 4 utas handshake feltörésére irányulnak, (mondjuk a 2017-ben napvilágot látot KRACK sérülékenységre sok gyártó kiadott egy – a protokollt kijavító patch-et) a jövőben nem alkalmazhatóak majd, mivel a WPA3 egy új módszerrel akkor is védelmet nyújt majd, amikor a felhasználó egy gyenge jelszóval védte hálózatát. Lássuk csak!
Mindennapossá váltak életünkben az olyan IoT és okosotthon rendszerek elemei, mint a Google Home, Amazon Echo, okos izzók és egyéb eszközök, amelyeken nincs kijelző, ami az interaktivitást segítené, ellenben WiFi-re csatlakoznak legtöbbször egy okostelefonos applikációval.
A WPA3 bevezet egy Easy Connect-nek hívott módszert ennek megkönnyítésére, így az ilyen eszközök csatlakozási műveletét jelentősen egyszerűbbé teszi. Ugyan még nem világos, hogy pontosan miként néz majd ki ez a gyakorlatban, de egy, a WPS-hez (Wi-Fi Protected Setup-hoz) hasonló rendszert kell elképzelni, sőt az is lehet, hogy a már sok gyártónál látott – az eszközön lévő QR-kód leolvasásával fog működni.
Az otthoni felhasználók mellett más szektorokban is égető újításokat hoz az új szabvány, mert egy olyan, valós, komoly védelmi láb, ami a 192 bites titkosításra épül a CNSS (Committee on National Security Systems) ajánlásai alapján, illetve az Egyesült Államok kormánya kéréseinek megfelelően, egy fokozottabb titkosítással védi a kritikus WiFi hálózatokat.
Hogy mikor jut el az új szabvány mindenkihez? Némi időre biztosan szükség lesz. Ugyanúgy, mint a WPA2 esetében, várhatóan lesz egy hosszabb átmeneti időszak, mert a teljes rendszer minden elemének támogatnia kell majd az új mechanizmust. Kellenek az új routerek/AP-k, kellenek a régiekhez esetlegesen kiadandó firmware-frissítések, kellenek a kliens eszközök új szoftverei, esetleg az új kliensek, amelyek ezt kezelni tudják.
A Wi-Fi Alliance idáig a fejlesztéseket titokban tartotta és a világ csak a bejelentéseket követően ismerhette meg a színfalak mögötti munka eredményeit. A rengeteg kritika, ami emiatt érte őket, azért volt, mert sokszor rövid időn belül derültek ki óriási hiányosságok, melyeket később foltozgatni kényszerültek a gyártók. Most, ezzel a gyakorlattal szakítva, széles körben alkalmazott protokollokat és szabványokat vesznek alapul a fejlesztéseknél, amelyekben mindenki megbízik.
2018. július