Wi-Fi Protected Setup (WPS) je nesiguran: Evo zašto biste ga trebali onemogućiti

WPA2 sa snažnom lozinkom je siguran sve dok onemogućite WPS. Taj savjet možete pronaći u vodičima kako biste osigurali Wi-Fi na cijelom webu. Wi-Fi Protected Setup bila je zgodna ideja, ali koristeći je pogrešku.

Vaš usmjerivač vjerojatno podržava WPS i vjerojatno je omogućen prema zadanim postavkama. Poput UPnP-a, to je nesigurna značajka koja vašu bežičnu mrežu čini ranjivijima za napad.

Što je Wi-Fi Protected Setup?

Većina kućnih korisnika bi trebala koristiti WPA2-Personal, poznatu i kao WPA2-PSK. "PSK" označava "pre-shared key". Postavili ste bežičnu zaporku na ruteru, a zatim navedite istu zaporku na svakom uređaju koji se povezujete s Wi-Fi mrežom. To u osnovi pruža lozinku koja štiti Wi-Fi mrežu od neovlaštenog pristupa. Usmjerivač izvodi ključ za šifriranje iz zaporke koja koristi za šifriranje vašeg bežičnog mrežnog prometa kako bi se osiguralo da ljudi bez ključa ne mogu prisluškivati ​​na njoj.

To može biti malo nezgodno jer morate unijeti zaporku na svaki novi uređaj koji povezujete. Wi-Fi Protected Setup (WPS), stvoren je za rješavanje ovog problema. Kada se povežete s usmjerivačem koji ima omogućen WPS, vidjet ćete poruku da možete upotrijebiti lakši način povezivanja umjesto unosa zaporke za Wi-Fi.

Zašto je Wi-Fi Protected Setup nesiguran

Postoji nekoliko različitih načina implementacije postavki zaštićenih Wi-Fi mrežom:

PIN: Usmjerivač ima osmeroznamenkasti PIN koji morate unijeti na svoje uređaje za povezivanje. Umjesto da provjerite cijeli osmeroznamenkasti PIN istodobno, usmjerivač provjerava prve četiri znamenke zasebno od posljednje četiri znamenke. To čini WPS PIN-ove vrlo lako za "brute force" nagađanjem različitih kombinacija. Postoji samo 11.000 mogućih četveroznamenkastih šifri, a jednom kada se softver brute force dobije prve četiri znamenke, napadač može prebaciti na preostale znamenke. Mnogi potrošački usmjerivači ne odustaju od pogrešnog WPS PIN-a, što dozvoljava napadačima da nagađaju iznova i iznova. PIN WPS-a može biti brutalno prisiljen oko jedan dan. [Izvor] Svatko može koristiti softver pod nazivom "Reaver" da ispuni WPS PIN.

Push-button-Connect: Umjesto unosa PIN ili lozinke, možete jednostavno pritisnuti fizički gumb na usmjerivaču nakon pokušaja povezivanja. (Gumb također može biti softverski gumb na zaslonu za postavljanje.) To je sigurnije, jer se uređaji mogu povezati s tom metodom nekoliko minuta nakon pritiskanja gumba ili nakon povezivanja pojedinačnih uređaja. Neće biti aktivno i na raspolaganju za iskorištavanje svih vremena, kao WPS PIN. Pritiskanje gumba za povezivanje izgleda uglavnom sigurno, a jedina je ranjivost da svatko s fizičkim pristupom routeru može pritisnuti gumb i povezati se, čak i ako nisu znali zaporku za Wi-Fi.

PIN je obavezan

Dok je gumb za spajanje s gumbima pritisak siguran, metoda PIN provjere je obavezna, osnovna metoda koju svi certificirani WPS uređaji moraju podržavati. Točno - WPS specifikacija zahtijeva da uređaji moraju implementirati najsigurniju metodu provjere autentičnosti.

Proizvođači usmjerivača ne mogu riješiti ovaj sigurnosni problem jer WPS specifikacija poziva na nesiguran način provjere PIN-ova. Bilo koji uređaj koji će implementirati Wi-Fi Protected Setup sukladan specifikaciji bit će ranjiv. Samu specifikaciju nije dobro.

Možete li onemogućiti WPS?

Postoji nekoliko različitih vrsta usmjerivača vani.

• Neki usmjerivači ne dopuštaju onemogućivanje WPS-a, a to ne daje nikakvu mogućnost u konfiguracijskim sučeljima.
• Neki usmjerivači omogućuju onemogućivanje WPS-a, ali ova opcija ne čini ništa i WPS je još uvijek omogućen bez vašeg znanja. U 2012. godini ovaj je nedostatak pronađen na "svakoj Wireless Point pristupnoj točki Linksys i Cisco Valet." [Izvor]
• Neki usmjerivači će vam omogućiti da onemogućite ili omogućite WPS, bez mogućnosti odabira metoda provjere autentičnosti.
• Neki usmjerivači omogućuju vam da onemogućite provjeru autentičnosti WPS-a na temelju PIN-a dok koristite automatsku autentifikaciju pritiskom na gumb.
• Neki usmjerivači uopće ne podržavaju WPS. To su vjerojatno najsigurniji.

Kako onemogućiti WPS

Ako vaš usmjerivač omogućuje onemogućavanje WPS-a, vjerojatnije ćete pronaći ovu opciju putem Wi-Fi Protected Setupa ili WPS-a u konfiguracijskom sučelju na webu.

Trebali biste barem onemogućiti opciju provjere autentičnosti PIN-a. Na mnogim uređajima moći ćete odabrati samo hoćete li omogućiti ili onemogućiti WPS. Odaberite onemogućiti WPS ako je to jedini izbor koji možete napraviti.

Bili bismo malo zabrinuti što je WPS omogućen, čak i ako izgleda da je PIN onemogućen. S obzirom na strašan zapis proizvođača usmjerivača kada je riječ o WPS-u i drugim nesigurnim značajkama kao što je UPnP, nije li moguće da će neke implementacije WPS-a nastaviti s provođenjem autentifikacije PIN-a, čak i kada bi se činilo da je onemogućen?

Naravno, teoretski možete biti sigurni s omogućenim WPS-om dokle god je autentičnost bazirana na PIN-u onemogućena, ali zašto riskirati? Sva WPS uistinu dopušta jednostavnije povezivanje s Wi-Fi mrežom. Ako stvorite lozinku koju možete lako zapamtiti, trebali biste se moći povezati jednako brzo. I ovo je samo problem prvi put - nakon što jednom spojite uređaj, ne biste trebali to ponoviti. WPS je strašno rizično za značajku koja nudi takvu malu korist.

Slika: Jeff Keyzer na Flickr