Do sada većina ljudi zna da otvorena Wi-Fi mreža omogućuje ljudima prisluškivanje vašeg prometa. Šifriranje standardnog WPA2-PSK trebalo bi spriječiti da se to dogodi - ali nije tako besprijekoran kao što mislite.
Ovo nije velika vijest o novoj sigurnosnoj maniri. Umjesto toga, to je način na koji je WPA2-PSK uvijek bio implementiran. Ali to je nešto što većina ljudi ne zna.
Ne biste trebali ugostiti otvorenu Wi-Fi mrežu kod kuće, ali možete se naći u javnosti - na primjer, u kafiću, dok prolazite kroz zračnu luku ili u hotelu. Otvorene Wi-Fi mreže nemaju šifriranje, što znači da je sve što se šalje preko zraka "jasno". Korisnici mogu nadzirati vašu aktivnost pregledavanja, a svaka aktivnost na mreži koja nije osigurana samim enkripcijom može se prekinuti. Da, to je istina čak i ako se morate prijaviti korisničkim imenom i zaporkom na web stranici nakon što se prijavite na otvorenu Wi-Fi mrežu.
Šifriranje - poput WPA2-PSK enkripcije koju preporučujemo da koristite kod kuće - donekle to popravi. Netko u blizini ne može jednostavno uhvatiti vaš promet i njuškati se. Dobit će hrpu šifriranog prometa. To znači da šifrirana Wi-Fi mreža štiti od vašeg privatnog prometa.
To je istina - ali ovdje postoji velika slabost.
Problem s WPA2-PSK jest taj da koristi "Pre-Shared Key". Ovaj ključ je lozinka ili zaporka, morate unijeti za povezivanje s Wi-Fi mrežom. Svatko tko povezuje koristi istu zaporku.
Jednostavno je da netko prati taj šifrirani promet. Sve što im treba jest:
Stvarno ne možemo naglasiti koliko je to jednostavno. Wireshark ima ugrađenu opciju automatskog dešifriranja WPA2-PSK prometa sve dok imate pre-dijeljeni ključ i snimili ste promet za proces pridruživanja.
Ono što to zapravo znači jest da WPA2-PSK nije puno sigurniji od prisluškivanja ako ne vjerujete svima na mreži. Kod kuće trebate biti sigurni jer je vaša Wi-Fi zaporka tajna.
Međutim, ako izlazite u kafić i upotrebljavate WPA2-PSK umjesto otvorene Wi-FI mreže, možda ćete se osjećati mnogo sigurnijima u vašoj privatnosti. Ali ne biste trebali - svatko tko ima Wi-Fi zaporku za kafiću može pratiti vaš promet pregledavanja. Drugi ljudi na mreži, ili samo drugi ljudi s lozinkom, mogli bi skočiti na vaš promet ako žele.
Obavezno uzmite u obzir. WPA2-PSK sprječava korisnike bez pristupa mreži od njuškanja. Međutim, nakon što imaju mrežnu zaporku, sve oklade su isključene.
WPA2-PSK zapravo pokušava zaustaviti to upotrebom "pacijentu prijelaznog ključa" (PTK). Svaki bežični klijent ima jedinstveni PTK. Međutim, to ne pomaže mnogo jer jedinstveni ključ po klijentu uvijek proizlazi iz unaprijed dijeljenog ključa (Wi-Fi zaporka). Zato je trivijalno zabilježiti jedinstveni ključ klijenta sve dok imate Wi- Fi passphrase i može uhvatiti promet koji se šalje putem postupka pridruživanja.
Za velike organizacije koje zahtijevaju sigurnu Wi-Fi mrežu, ta se sigurnosna slabost može izbjeći korištenjem EAP autentifikacije pomoću RADIUS poslužitelja - ponekad nazvanog WPA2-Enterprise. S ovim sustavom svaki Wi-Fi klijent prima uistinu jedinstven ključ. Nijedan Wi-Fi klijent nema dovoljno informacija da bi se samo počelo njuškati na drugom klijentu, pa to pruža mnogo veću sigurnost. Veliki korporativni uredi ili vladine agencije trebaju koristiti WPA2-Enteprise iz tog razloga.
Ali to je prekomplicirano i složeno za veliku većinu ljudi - ili čak većinu geekova - da ih koriste kod kuće. Umjesto Wi-Fi zaporke morate unijeti na uređaje koje želite povezati, trebali biste upravljati RADIUS poslužiteljem koji obrađuje autentifikaciju i upravljanje ključem. To je puno komplicirano za kućne korisnike da se postave.
U stvari, ne vrijedi ni vaše vrijeme ako vjerujete svima na Wi-Fi mreži ili svima koji imaju pristup vašoj Wi-Fi zaporci. To je neophodno samo ako ste povezani s WPA2-PSK šifriranom Wi-Fi mrežom na javnoj lokaciji - kafiću, zračnoj luci, hotelu ili čak većem uredu - gdje drugi korisnici kojima ne vjerujete imaju Wi- FI mrežna zaporka.
Dakle, padne nebo? Ne, naravno da ne. No, imajte to na umu: kada ste povezani s mrežom WPA2-PSK, ostali korisnici koji imaju pristup toj mreži mogli bi lakše skočiti na vaš promet. Unatoč onome što većina ljudi vjeruje, ta enkripcija ne pruža zaštitu od drugih ljudi koji imaju pristup mreži.
Ako morate pristupiti osjetljivim web stranicama na javnoj Wi-Fi mreži - osobito na web stranicama koje ne koriste HTTPS enkripciju - razmotrite to putem VPN-a ili čak SSH tunela. Šifriranje WPA2-PSK na javnim mrežama nije dovoljno dobro.
Image Credit: Cory Doctorow na Flickr, Food Group na Flickr, Robert Couse-Baker na Flickr-u