TwojePC.pl © 2001 - 2024
|
|
Poniedziałek 1 września 2014 |
|
|
|
Włam się do czyjegoś routera ''jednym kliknięciem'' Autor: DamianW | źródło: Engadget | 00:40 |
(32) | Pewnie niektórzy z Czytelników pamiętają czasy, kiedy na własnym osiedlu można było korzystać z „darmowych” sieci Wi-Fi, gdyż wielu użytkowników nie zabezpieczało swojego routera. Z czasem ludzie zaczęli uświadamiać sobie, że sieci domowe wymagają odpowiedniej ochrony. Gdy weszły hasła WEP, można jeszcze było pobawić się w osiedlowego hakera i nawet siłowo złamać takowe zabezpieczenie. Wraz z pojawieniem się szyfrowania WPA era „darmowych” sieci się zakończyła. Trzeba przyznać, że patrząc na sieci w swoim zasięgu wszystkie teraz są zabezpieczone i najczęściej przez WPA2-PSK. Niestety ludzie z natury są leniwi i wielu producentów to zauważyło.
Chodzi mi konkretnie o magiczny przycisk WPS, który pojawia się już w każdym nowszym routerze. Po co wpisywać jakieś hasła, skoro można nacisnąć jeden guzik i już wszelkie urządzenia zostają podłączone do sieci. Osobiście bardzo nie lubię tego mechanizmu, gdyż proste i wygodne rozwiązania często okazują się bardziej podatne na ataki. W tym przypadku również znalazł się ktoś, kto potwierdził moje obawy.
Firma 0xcite znalazła lukę w tym protokole, dzięki której samo włamanie może zająć mniej niż sekundę! Cała procedura została opisana wyłącznie ogólnikowo, gdyż dopiero po pół roku od wykrycia luki można ogłosić jak ją się udało wykorzystać. Otóż w wielu urządzeniach wykorzystujących protokół WPS można dokonać „skopiowania” ich danych i na własnym komputerze wykonać symulację ataku. Po odnalezieniu określonej kombinacji hasła PIN do sieci wystarczy go odpowiednio wykorzystać i... mamy pełen dostęp do routera. Bardziej szczegółowa prezentacja znajduje się poniżej:
Oczywiście nie wiadomo jakie dokładnie urządzenia są dotknięte tą luką, więc zagrożenie na tą chwilę jest znikome. Jednak jako redakcja zalecamy, by wyłączać protokół WPS gdy nie jest on potrzebny.
Autor: DW |
| |
|
|
|
|
|
|
|
|
|
K O M E N T A R Z E |
|
|
|
- @Redakcja (autor: VP11 | data: 1/09/14 | godz.: 07:53)
zalecamy, by włączać protokół WPS gdy nie jest on potrzebny.
To zalecacie wlaczac czy wylaczac. Sam go dezaktywowalem w ustawieniach. Oraz jakiekolwiek urzadzenie bez odpowiednieko MAC adresu sie nie zadziala nawet jak uzyska haslo.
- zawsze WPS wyłączałem na każdym sprzęcie od wielu lat (autor: Sławekpl | data: 1/09/14 | godz.: 08:16)
filtrowanie MAC to prócz szyfrowania wręcz obowiązek, wyłączam również "ogłaszanie" SIDa, jak nie widać to nie kusi :)
- Oczywiście zależy to od implementacji WPS (autor: Kenjiro | data: 1/09/14 | godz.: 08:32)
Te nowsze włączają WPS tylko na czas autoryzacji, z limitem np. 30 czy 60s.
Poza tym PIN jest do *sieci*, a nie do *routera*. Znacząca różnica.
- @2. (autor: myszon | data: 1/09/14 | godz.: 08:57)
ukryte sieci znajdzie każdy program do skanowania np. NetStumbler.
Filtrowanie po MAC obejdzie każdy script kiddie w 10 sekund. Jest masa filminków na Youtubie jak to zrobić.
Jedyne zabezpieczenie którego potrzebujesz to WPA2 z mocnym kluczem. To co wymieniłeś przeszkadz tylko tobie w szybkim połączeniu się do AP-ka.
- ekhm (autor: Wedelek | data: 1/09/14 | godz.: 09:00)
WPS, to faktycznie g*wno, a wciskają go do wszystkich nowych routerów:/
Filtrowanie MAC owszem, jest pożyteczne, ale nie przeceniałbym jego skuteczności. Maskowanie MACów jest stosunkowo proste, więc to tylko taki dodatek:) Zwłaszcza, że jak już dobierzemy się do sieci lokalnej (myślę głównie o WiFi), to warstwa łącza danych (Ethernet) przesyła MAC który można bez większego problemu podsłuchać sniferami.
@SlawekPL
Tobie chyba chodziło o SSID... SID to identyfikator wykorzystywany w Active Directory/Windows. Nierozsyłanie SSID w ogóle nie poprawia bezpieczeństwa, bo chroni tylko przed hakerami-amatorami. Ci bardziej rozgarnięci wyłuskają sobie co trzeba z transmisji klient-router bez najmniejszego problemu. Jedyne co zyskujemy, to potencjalne problemy - niektóre urządzenia nie radzą sobie z brakiem rozgłaszania SSID.
- @5 pomimo, że WPS jest dalekie od ideału (autor: Lates | data: 1/09/14 | godz.: 09:18)
to jednak wiele starszych urządzeń sieciowych nie działa na WPA/WPA2 :( i tym samym zmusza nas do bycia bardziej podatnym na włam :( lub konieczności wymiany wszelkiego badziewia (TV, lodówki, IPPhone, tablety) na nowe, tylko czy wszystkich na to stać?
Najważniejsze jednak by stosować jakiekolwiek zabezpieczenia.
- Wedelek oczywiście, zjadłem literkę ;) (autor: Sławekpl | data: 1/09/14 | godz.: 09:29)
myszon nie mam problemu ze sparowaniem na tym co u mnie chodzi, a ewentualne opóźnienie nie jest odczuwalne, zgadzam się że na każde zabezpieczenie znajdzie się sposób aby je obejść, ale po co ułatwiać, zwłaszcza amatorom, bo to przecie o takich głównie chodzi, którzy się z ciekawości włamią i namieszają, profesjonalista nie zostawi widocznych śladów
- @Slawekpl (autor: szafran | data: 1/09/14 | godz.: 09:43)
Nie wiem czy zdajesz sobie sprawę, ale chowając SSID w zasadzie pogarszasz bezpieczeństwo swojej sieci. Stajesz się wtedy podatny na atak. Bez problemu ktoś może ustawić w swoim routerze SSID takie samo jak Ty ukryłeś i wtedy twoje urządzenia jako pierwsze będą się próbowały łączyć z routerem który emituje SSID (czyli nie twoim) wysyłając pakiety z kluczem do niego. Wtedy już tylko bardziej rozgarnięty człowiek użyje ich do połączenia w Twoją siecią. Problem znany od lat. Aż dziw bierze, że o tym nie wiecie.
- żaden (autor: myszon | data: 1/09/14 | godz.: 09:45)
amator nie będzie w stanie złamać WPA2 z dobrym kluczem.
A jeśli znajdzie się ktoś na tyle dobry żeby się dostać (łatwe hasło+rainbow tables) to ani filtr MAC ani ukrywanie SSID go nie powstrzyma.
- Zabezpieczenia (autor: piter_inc | data: 1/09/14 | godz.: 09:50)
Prawdę mówiąc to nasze zabezpieczenia nie powstrzymają fachowców, mają jedynie zniechęcić wszystkich innych do prób podłączenia się do naszego routera przez WiFi.
- Ukrywanie SSID i filtrowanie MACów (autor: szafran | data: 1/09/14 | godz.: 09:53)
http://www.zdnet.com/...o-secure-a-wireless-lan/43
Ukrywanie SSID i filtrowanie MACów na 2 peirwszych miejscach. Obie rzeczy działają w rzeczywistości w drugą stronę. A wy je tu wypisujecie jako podstawowe sposoby na zabezpieczenie. Poszukajcie trochę informacji o tym co macie zamiar stosować, a dopiero później je polecajcie dalej.
- szafran dzięki, tego akurat nie wiedziałem (autor: Sławekpl | data: 1/09/14 | godz.: 09:59)
ja mam tak poustawiane routery GSM HSDPA+ i drugi LTE ale one nie chodzą u mnie cały czas, w domu mam kablowe połączenia, więc jak napisałem chodzi by amatorom trochę utrudnić i nie kusić :>
- osobiście pod przyciskiem WPS w swoim routerze z zainstalowanym OpenWRT (autor: Qjanusz | data: 1/09/14 | godz.: 10:05)
mam podpięty skrypt z właczeniem/wyłaczeniem WiFi.
Co do zabezpieczenia, to tylko i wyłącznie mocne hasełko z WPA2-PSK.
Wszelkie filtrowania maców i ukrywania SSID można komórką z Androidem od ręki załatwić. Kiepskie hasło z WPA2-PSK też jest złym pomysłem, ponieważ zawsze znajdzie się w okolicy osoba z opanowanym backtrackextremepl lub podobnym.
Cieszyć się tylko że świadomość posiadaczy routerów wzrasta. Widzę to na przestrzeni kilku lat na tzw osiedlu. Dziś już nie da się wejść bez hasełka do WiFi i zalogować na konto admina do routera z fabrycznym hasełkiem ;-)
- @Qjanusz (autor: szafran | data: 1/09/14 | godz.: 10:22)
Prawidłowo. Jedyny dobry sposób to mocne i długie hasło WPA2 (oczywiście z włączonym rozgłaszaniem SSID i wyłączonym filtrowaniem MACów). Chociaż i to też nie gwarantuje pełnego bezpieczeństwa. Ale to już temat do sporej polemiki.
- @szafran (autor: Wedelek | data: 1/09/14 | godz.: 10:31)
Akurat filtrowanie adresów MAC bywa przydatne choć bezpieczeństwa faktycznie nie wzmacnia. Tak naprawdę to maksymalne bezpieczeństwo zapewniają dopiero algorytmy sprzęgnięte z serwerem kluczy (np RADIUS), które dla każdego użytkownika używają innego klucza szyfrującego. A najlepiej, jeśli tylko możemy, to trzeba ograniczać zasięg WiFi. Nie będzie atakujący sieci wykrywać, to się nie włamie na 100%. Sam korzystam z takowego zabezpieczenia i mam spokój, a żadnych algorytmów szyfrowania nie stosuję. Tylko MACi filtruję. W ten sposób mam zabezpieczenie przeciw domorosłym hackerom co to w odwiedziny przyjdą, a reszta i tak się z siecią nie połączy, bo zasięg ginie mniej więcej w połowie odległości pomiędzy budynkiem a ogrodzeniem.
- @Wedelek (autor: Qjanusz | data: 1/09/14 | godz.: 10:38)
zasięg załatwia się z reguły antena kierunkową. Jeżeli już zabezpieczasz się przed domorosłymi hakerami, to lepiej (i szybciej) zabezpieczyć się konkretniej, czyli lepszym hasełkiem WPA2. Będzie to nie do przeskoczenia nie tylko przez domorosłych hakerów, ale tych deko bardziej wyedukowanych.
btw... jakiś czas się nie udzielałaś. Urlopik? :-)
- Ta pewnie (autor: Wyrzym | data: 1/09/14 | godz.: 10:43)
nawalic mocngo szyfrowania, wlaczyc filtry i przy kilku urzadzenaich do domowego routera ten router zwyczajnie plonie, juz nie mowie o samym obslugiwaniu wpa2 przez starsze urzadzenia ;p
Wywalic wszystkie zabezpieczniea, zadnych hasel itp i zyjemy w swiecie szybko dzialajacych i niezwieszajacych sie tanich routerkow, a co do bezpieczenstwa? sciany z olowiu i po problemie
- A ja (autor: biuro74 | data: 1/09/14 | godz.: 10:50)
mam to gdzies.
W swoim routerze wlaczam zawsze najlepsza opcje, czyli "wylacz WiFi". Tego go*na po prostu nie trawie i uzywam w calym domu PLC.
- @Qjanusz (autor: Wedelek | data: 1/09/14 | godz.: 10:54)
A niby po co ktoś miałby z antenami kierunkowymi pojawiać się na moim osiedlu? Nie prowadzę żadnej firmy, żeby ktoś posądzał mnie o przesyłanie przez sieć WiFi danych wrażliwych. Wszelkie zabezpieczenia, jak wspomniał Wyrzym wymagają dodatkowych zasobów i trzeba skarkulować czy aż tak wysoki poziom zabezpieczeń faktycznie jest nam potrzebny. To tak jak gdybyś na zakupy wybierał się czołgiem, bo a nuż ktoś Cię zaatakuje. Bez sensu, no chyba, że ktoś cierpi na paranoję:)
Coś w tym guście - delektuję się błogim spokojem:)
- Wedelek (autor: myszon | data: 1/09/14 | godz.: 11:22)
powtórzę jeszcze raz tylko dla ciebie: filtrowanie po MAC nie działa jako zabezpieczenie. Adresy MAC nie są szyfrowane. Podsłuchanie MACa z twojej sieci i podmiana na komputerze atakującego to dziesięć sekund roboty. Wytłumacz w jakim sensie takie filtrowanie jest przydatne? Mocne hasło WPA2 to jedyne potrzebne zabezpieczenie.
- @18. (autor: Shamoth | data: 1/09/14 | godz.: 11:56)
Hehe w sumie jedyne słuszne zabezpieczenie ale echelon i tak posłucha ;]
Nie wiem jak teraz ale kiedyś PLC wymagało jednego obwodu i np w kuchni gdzie częściej lodówka czy kuchenka wywala korki i jest zrobiony osobny obwód neta nie można było zrobić po PLC ;/
@Wedelek
Zaskakujesz mnie, nie musisz być potentatem żeby ktoś chciał się pobawić twoim kosztem czy ewentualnie naraził na wizytę Policji.
Sam jakiś czas temu zrezygnowałem z filtrowania MAC i ukrywania SSID bo same problemy z tym były, extendery nie dawały rady, starsze urządzenia też a i czasem miałem wrażenie że router też. Teraz tylko długie hasełko na WPA2.
Co do newsa, to nie jest przypadkiem ewolucja wykrytej jakiś czas temu dziury w niektórych urządzeniach, że można było ściągnąć z routera konfigurację, z której router się podnosił w przypadku nieświadomej próby uceglenia go przez użytkownika. Sam router mógł by być zabezpieczony kwantowo a i tak folder z konfiguracją był wystawiony od tak w niektórych urządzeniach.
- @myszon (autor: Wedelek | data: 1/09/14 | godz.: 12:09)
Dla kogoś obeznanego z tematem filtrowanie MAC nie jest problemem bo wystarczy uruchomić program ala WireShark i dogrzebać się do ramki Ethernet (MACi są podpisane jako source i destination, a kierunek łatwo rozpoznać chociażby po numerze portu TCP/UDP) i świetnie o tym wiem. Filtrowanie MAC chroni mnie przed typowymi userami, którzy nawet nie wiedzą co to tak naprawdę jest ten MAC, a Ci stanowią większość. Dla nich jest to zabezpieczenie nie do przeskoczenia.
@21 Shamoth
Nie mam takowych wrogów, a w około mnie mieszkają tacy userzy, którzy mnie proszą o pomoc gdy coś nie działa. Mam zatem pewność, że mi nie zagrażają. Do drogi publicznej mam natomiast ok 80m od budynku i ok. 70m od końca zasięgu routera. Ograniczam też ilość klientów przypisanych do DHCP do minimum i czuję się póki co bezpieczny.
- @all (autor: djXone | data: 1/09/14 | godz.: 12:12)
a mnie ciekawi co takiego wszyscy macie, że tak strasznie boicie się włamu do sieci? Może limit transferu? (ja mam wpa2 i proste hasło do zapamiętania)
Po pierwsze to lepiej patrzeć na zabezpieczenia komputera, a nie sieci bo prędzej ktoś Ci się włamie przez Internet, a po drugie, jestem Ciekaw kto by się chciał podpinać pod sieć w innym celu niż tylko skorzystania z internetu.
A, i tak dla waszej informacji, jeśli łączyliście się ze swoją siecią telefonem z Androidem, to google już ma wasze hasło, podobnie już jest na WP 8.1 i to tyle o bezpieczeństwie!
- @djXone (autor: Qjanusz | data: 1/09/14 | godz.: 13:33)
nie chodzi o to co my takiego mamy że boimy się włamu, tylko o to co może zrobić ktoś na nasze konto, kto włamie się nam do sieci. Tu można na prawdę dużo, a będzie można jeszcze więcej. Kwestia wyobraźni.
Dłuższe hasełko WPA2 na prawdę nie boli, a jest dużo
prostsze w ogarnięciu niż filtrowanie MAC, wyłączenie DHCP, czy zabawa ukrywaniem SSIDa.
Rozwiązanie problemu jest tak banalne, że aż dziwi bierze że o tym dyskutujemy :-)
- @23. (autor: Shamoth | data: 1/09/14 | godz.: 14:33)
Tak jak Qjanusz naskrobał, pukniesz córkę sąsiada z drugiego krańca wsi to Ci po złości na twoje konto zainicjuje kilka poprań p2p a po pół roku przyjdzie pismo ugodowe lub odsiadka za udostępnianie treści.
Sygnał wifi ściągałem z ~3km anteną własnej roboty i wystarczał na powolne przeglądanie netu czy granie z pingiem 600ms, więc i p2p dało by radę zainicjować ;]
- @23. (autor: TeXXaS | data: 1/09/14 | godz.: 14:49)
Wejdą na Twój router, a potem zrobią włam do banku. Udowodnisz, że nie to nie Ty? Kontrola nad routerem to pełna sesja ssl - niby klucz asymetryczny, ale dziś to nie problem - ba wszystkie maszynki co liczą bitcoiny mogą równie dobrze łamać hasła. Jest sporo rzeczy, które można z takimi danymi zrobić, a próba odkręcenia potem to udowadnianie, że nie jesteś wielbłądem...
- ukrywanie ssida (autor: TeXXaS | data: 1/09/14 | godz.: 14:51)
ma jedną wadę - jak jest dużo sieci pakują się na głowę / kanał...
- @27. (autor: Shamoth | data: 1/09/14 | godz.: 15:07)
W nowych kartonowych blokach ogólnie jest masakra z sieciami. Bywa że i 50 sieci widzę w niektórych miejscach lub więcej ale tam to słychać nawet jak sąsiad dwa piętra wyżej puszcza podkołdernika pospolitego ;] Pozostaje 5GHz lub PCL względnie przeprowadzka w stare żelbetowe budownictwo, przynajmniej trochę ekranuje ;]
- tu nawet nie trzeba robić włamu do banku czy bawić się z torrentami (autor: Qjanusz | data: 1/09/14 | godz.: 15:08)
wystarczy wysłać kilka maili o odpowiedniej treści np na adres policji.
Jeżeli ktoś będzie chciał zrobić nam na złość i podąży tą ścieżką, zadowoli się zapewne zarekwirowaniem nam kompa, laptopa i komórek na kilka miesięcy. Piszę tu o pobudkach niskich lotów, a życie może zdecydowanie napisać bardziej ekstremalne scenariusze, jak chociażby modne ostatnio zakładanie kont bankowych z czyjegoś IPka, kont Allegro i weź człowieku udowodnij że to nie ty.
Jak wcześniej napisałem, to kwestia wyobraźni i to nawet nie tej wybujałej.
- @TeXXas (autor: Wedelek | data: 1/09/14 | godz.: 15:38)
Na router nie wejdą (a przynajmniej nie pójdzie im łatwo) bo korzystam z HTTPS i wyłączyłem możliwość zarządzania urządzeniem za pośrednictwem WiFi. Innymi słowy jeśli nie ma dziury w oprogramowaniu, to i nie ma problemu. Swoją drogą da się połączyć z siecią odległą nawet i o 10KM, tylko trzeba sobie samemu zrobić antenę typu biquad (nie wiem czy jej używanie jest u nas legalne), no i muszą być dobre warunki - górki wokół mnie skutecznie by hakierom sprawę utrudniły. Co do torrentów, to faktycznie byłby to problem, ale raz, że zauważyłbym spowolnienie w działaniu sieci, a dwa, że blokuję najczęściej używane porty dla tychże aplikacji - tak na wszelki wypadek. Wiem, że da się to prosto obejść, ale nadal musiałbym mieć jakichś zdeterminowanych wrogów:)
Co do WPA2+PSK to nie twierdzę, że jest to złe rozwiązanie, tylko że trochę przesadzacie z tym bezpieczeństwem. Ponadto część mojego sprzętu nie chce współpracować z WPA2+...
- #30 (autor: Qjanusz | data: 1/09/14 | godz.: 18:29)
nie trzeba zarządzać routerem żeby z netu skorzystać. Wpisujesz na lapie podsłuchanego w sieci MACa i logujesz się za pomocą złamanego backtrackiem słabego hasełka WPA2.
Co do legalności, to myślę że legalność anteny tego typu będzie średnim argumentem dla osoby, która za jej pomocą będzie chciała robić włamy :-)
- @Qjanusz (autor: Wedelek | data: 1/09/14 | godz.: 20:36)
"nie trzeba zarządzać routerem żeby z netu skorzystać" - wcale tak nie twierdzę:) Odpowiedziałem tylko na stwierdzenie "Wejdą na Twój router, a potem zrobią włam do banku".
Swoją drogą muszę przyznać, że Twoje (i innych) stwierdzenie odnośnie zawistnych ludzi dało mi do myślenia. Do tej pory myśląc o atakujących brałem pod uwagę głównie kwestie opłacalności i sensowności ataku, no i potencjalny atak wrogów/konkurentów, których póki co nie mam. Masz jednak rację, że ktoś z czystej, niezrozumiałej zawiści może mnie zaatakować. Może faktycznie warto podnieść poziom zabezpieczeń... No ale najpierw trzeba wymienić drukarkę - to cholerstwo w zabezpieczonej sieci gwiazdorzy.
Dodam jeszcze, że koniecznie trzeba zmieniać hasło do routera, stosować protokół HTTPS i zablokować możliwość konfiguracji routera za pośrednictwem sieci WiFi. Ileż to ja już widziałem super zabezpieczonych routerów z loginem i hasłem: admin... Pilnujcie też plików z konfiguracją routera - zazwyczaj to po prostu nieszyfrowane XMLe. Tako rzecze "wujek Dobra Rada"
"Po pierwsze to lepiej patrzeć na zabezpieczenia komputera, a nie sieci bo prędzej ktoś Ci się włamie przez Internet" - jeśli nie mieszkasz w mieście, to prawda.
|
|
|
|
|
|
|
|
|
D O D A J K O M E N T A R Z |
|
|
|
Aby dodawać komentarze, należy się wpierw zarejestrować, ewentualnie jeśli posiadasz już swoje konto, należy się zalogować.
|
|
|
|
|
|
|
|
|
|