Zabezpečte svoji domácí síť před crackery
25. 9. 2019
Zabezpečte svoji domácí síť před crackery

​Když se hacker (resp. black hat hacker, správně cracker) dostane do nechráněné domácí sítě, může napáchat nemalé škody: krádež identity, využití vašich IoT zařízení pro botnet nebo odposlech provozu - to je jen pár možností, které mohou nastat v případě narušení nesprávně zabezpečené domácí sítě. Proto je důležité dodržovat základní bezpečnostní zásady při nastavování vaší domácí wi-fi sítě.

Dobře zvažte název sítě

Při vytváření nové wi-fi sítě je dobré zvolit název sítě (SSID) tak, aby o vás prozrazoval co nejméně informací. Názvy jako "Petřina wi-fi", "UPC4241282", "Winter is coming" nebo "TP-LINK_F166" vyzrazují informace, které mohou útočníci snadno zneužít ve svůj prospěch.

V případě sousedů lze využít informace veřejně dostupné z jejich profilu na facebooku, osobní stránky nebo jiných sociálních sítí ke snadnějšímu uhádnutí hesla (oblíbený film, jména domácích mazlíčků, jméno partnera, datum narození). 

Už jen samotné zanechání původního jména sítě o vás vypovídá jistou neznalost a indikuje útočníkovi snadnou oběť, která bude pravděpodobně mít jednoduché heslo a router v původním nastavení (tzn. snadno odvoditelné přihlašovací údaje do admin sekce routeru), v "lepším" případě s neaktualizovaným firmwarem s neopravenými dírami.

WPA2 protokol (viz níže) používá název sítě a délku tohoto řetězce při generování předsdíleného tajemství (pre-shared key, PMK), které je použito pro další komunikaci.

Čím unikátnější a delší název vaší domácí sítě, tím bezpečnější je. Pro krátká a běžná slova jsou již vygenerovány tzv. rainbow tabulky, které útočníkovi umožní prolomit heslo cca 200x rychleji.

nazvy_wifi.png

Jak vytvořit bezpečné heslo

Při volbě hesla se řiďte základními zásadami pro bezpečná hesla. Několik let jsem žil se studenty IT oboru "Bezpečnost informačních technologií", a i přesto bylo heslo našeho bytového routeru složeno ze dvou českých slov, psaných malými písmeny bez diakritiky - v případě WPA2 by stačila útočníkovi používajícímu slovníkový útok cca hodina (pokud by použil cloud computing možná i minuty), než by toto heslo zjistil a dostal se do naší sítě. Při stěhování do nového bytu jsme však heslo "vylepšili" - slova začínají velkými písmeny a na konci je číslo... to by crackerovi zabralo o pár hodin víc - proto je důležité si zvolit kvalitní heslo.

Nejsnadnější a zároveň nejbezpečnější je prostá věta. Cracker neočekává, že budou v hesle mezery, slangové výrazy a doufá, že neobsahuje diakritiku. Věta samotná dovolí, aby heslo bylo dlouhé a snadno zapamatovatelné - nikdo nechce používat heslo "1@xKCHrrcca67" - avšak heslo "Budeš zmizelej nebo tě zmizím já" je jednoduché, dlouhé a takřka neprolomitelné.

Jak je to s těmi protokoly

A teď trochu detailů k protokolům. Pokud vás nudí technické detaily, s klidem přeskočte detaily na shrnutí v poslední větě.

WEP (Wired Equivalent Privacy) je protokol pro šifrování komunikace (pomocí proudové šifry RC4). Za dobu jeho existence v něm byly nalezeny slabiny, které dnes může využít v podstatě kdokoliv se základními IT znalostmi. Hlavní slabinou je zejména velikost klíče - pouhých 40 bitů - a inicializační vektor, který je zasílán s každým paketem. Při tzv. caffe latte útoku stačí útočníkovi nasbírat několik desítek tisíc paketů, ze kterých potom na základě nasbíraných dat vypočítá původní klíč. Jelikož zahltí síť tzv. ARP floodem, nasbírat dostatek dat pro prolomení hesla mu nezabere déle než dopití jednoho "caffe latte". WEP šifrování je dnes proto naprosto nepoužitelné a nebezpečné - i můj technologicky nepříliš zdatný kamarád dokázal prolomit WEP wi-fi svého souseda během 2 hodin při následování  tutoriálů na youtube.

Poté, co byly zjištěny nedostatky ve WEP protokolu, se začal používat hotifx jménem WPA (Wi-Fi Protected Access). Používá předsdílený klíč a TKIP (Temporal Key Integrity Protocol) pro šifrování dat. Klíč byl oproti WEP rozšířen ze 40 na 128 bitů. V době zavedení WPA však nebyl ještě bezpečnostní standard 802.11i plně definován, proto se dnes používá verze WPA2, která již splňuje dané specifikace.

WPA2 byl uveden do praxe v roce 2004. Nejdůležitější změnou oproti předchozím protokolům je použití AES (Advanced Encryption Standard) pro šifrování. Cestou k jeho prolomení je získání tzv. 4-way handshaku. Po dešifrování tajemství použitého během handshaku může útočník odposlouchávat i veškerou další komunikaci (v případě WPA2 však složitost prolomení hesla závisí na více faktorech, zejména na délce a složitosti hesla).

Nový standard WPA3 používá oproti předsdílenému tajemství novou metodu, SAE (Simultaneous Authentication of Equals), která zajišťuje, že se po síti nebude přenášet žádná část hesla nebo data, která by umožnila jeho výpočet. Po uvedení protokolu WPA3 byly nalezeny další zranitelnosti WPA2, např. downgrade attack.

WPA protokoly existují ve verzích Personal a Enterprise. V případě Personal jde o jednoduché zabezpečení heslem, v případě Enterprise je použita pokročilá autentizace, a to díky protokolům EAP, EAP-MD5, LEAP, EAP-TLS nebo TTLS v kombinaci s autentikačním serverem (RADIUS, TACACS+, Diameter).

Pro běžnou domácí síť tedy volte protokoly WPA2-Personal nebo WPA3-Personal.

Jak správně nastavit router

Metody "zabezpečení" jako skrývání SSID nefungují, jelikož útočník má nástroje pro detekci probíhajícího provozu v éteru.

  1. Firmware routeru udržujte aktualizovaný, výrobce často vydává opravy na kritické chyby. Pokud nemáte důvod používat vzdálený login (který může útočník zneužít), zakažte ho. 
  2. Samozřejmostí je změna login údajů do administrační sekce routeru - pokud se útočník dostane do vaší sítě, může napáchat mnohem víc škody - může totiž odposlouchávat veškerou komunikaci všech klientů připojených k routeru (za použití vhodných metod). První věcí, kterou útočník v síti udělá, je totiž zjištění modelu routeru. Pak zkontroluje defaultní přihlašovací údaje a vyzkouší je - pokud je necháte nastaveny na původní - průšvih.
  3. Dále - pokud má router povoleno WPS, zakažte jej. WPS se používá k jednoduchému přidávání nových mobilních zařízení do sítě, stačí stisknout WPS tlačítko na routeru. WPS zároveň používá tzv. WPS PIN, 8 místný PIN, který musí klient zadat, pokud chce připojit svoje zařízení - útok jménem Pixie Dust tohoto mechanismu zneužívá a umožňuje útočníkovi obejít zabezpečení wi-fi sítě (WPA2 atd.) a získat PSK přímo od routeru. Offline útok za použití nástrojů jako pixiewps zabere pouze několik desítek sekund.

Zkuste si hacknout vlastní síť

Pokud si chcete vyzkoušet penetrační testování sítě, ideálními pomocníky jsou nástroje aircrack-ng a linuxové live distribuce pro pentestery, např. Kali Linux. Můžete si tak sami otestovat sílu zabezpečení a zkusit prolomit ochranu svojí domácí sítě.

Jan Jileček