זה לא לפרוטוקול: מדוע הוויי-פיי של כולנו בסכנת פריצה?
אחרי 14 שנה שבהן WPA2 נחשבה שיטה בטוחה, חוקרי אבטחה פירסמו חולשה בשיטה המאפשרת ציתות ושינוי של המידע באוויר. מה צריך לעשות כדי להתמגן? • טור מיוחד
מומחי קריפטוגרפיה בלגים מאוניברסיטת Ku Leuven חשפו השבוע פגם אבטחה חמור בפרוטוקול WPA2, פרוטוקול האבטחה הנפוץ ביותר לרשתות ה-WiFi. הלכה למעשה הפירצה מאפשרת לתוקפים לפרוץ לרשתות WiFi ולעשות בתוך אלו כרצונם. למשל, במידה והאקר פורץ לרשת WiFi הוא בעצם יכול לגנוב את הסיסמאות או מידע אחר של מי שגולש על אותה רשת. וזוהי רק דוגמא קטנה.אז עד כמה חמורה הפירצה הזו? גיא חרפק, מנכ"ל sitaro, סטארטאפ חדש המתמחה באבטחת רשתות אלחוט (שמאחוריו כמה שמות מאוד מסקרנים), עושה לנו סדר בדברים בטור מיוחד לעשר אונליין:
החולשה שהתגלתה בפרוטוקול ה-WiFi הנפוץ, WPA2, מהווה תזכורת מכאיבה למורכבויות במציאות הסייבר העכשווית. למעשה, בכל פעם שאנחנו מתחברים לאינטרנט האלחוטי בבית או בעסק, מידע נשלח באוויר בין המכשיר הנייד שלנו לבין תחנת בסיס המספקת קישור לאינטרנט. מידע זה מאובטח באמצעות שיטה המכונה WPA2 אשר כפי ששמה מרמז, החליפה את WPA1 לאחר שזו התגלתה כחשופה לפריצות. כאשר אנחנו מעבירים תמונות, הודעות ומידע פיננסי רגיש באינטרנט - אנו למעשה סומכים על WPA2 להגן על סודיות המידע שלנו ולמנוע זיופים ושינויים של המידע באוויר.
במהלך תקשורת תקינה באמצעות WPA2, הפרוטוקול מאפשר התמודדות עם תרחישי ניתוק וחיבור מהירים על ידי חזרה על פרמטרי הצפנה מהעבר. תוקף הנמצא בקרבת הקורבן יכול באמצעות שליחה חוזרת של הודעה שנשלחה בעבר לגרום לאיפוס פרמטרים אלה, אשר תפקידם להבטיח את הסודיות של ההצפנה. באמצעות איפוס הפרמטרים, התוקף יכול לקבל בצורה הדרגתית מידע על המפתח המשתמש להצפנה, ולמעשה לחשוף את המפתח כולו. החולשה היא ברמת הפרוטוקול התקני, ולכן כל מכשיר אשר מימש את הפרוטוקול בהתאם לתקן חשוף.
מעבר לכך, קיימים מימושים אשר מקלים על התקיפה בשל לקיחת הנחות מסוימות בעת מימוש הפרוטוקול. במימושים של וריאנטים של פרוטוקול WPA2 קיים אף איום להזרקה של פאקטות מזויפות וזיוף תקשורות על ידי אויב.
אחרי 14 שנה שבהן WPA2 נחשבה שיטה בטוחה, חוקרי אבטחה מאוניברסיטת לוון שבבלגיה פירסמו חולשה בשיטה המאפשרת ציתות למידע, ואף שינויו באוויר. החולשה משפיעה על כולנו וכל המכשירים שברשותנו: מחשבים, טלוויזיות המתחברות לאינטרנט וכמובן הטלפון הנייד.
בדומה למקרים קודמים, ניתן לצפות כי תוכנות זדוניות לניצול החולשה יהיו זמינות לכל רוכש ואף בחינם בתוך ימים ספורים. נקודת האור היחידה בסיפור היא שסגירת החולשה דורשת עדכון תוכנה פשוט, אך אליה וקוץ בה, שכן במציאות העכשווית עדכון של מגוון המכשירים המרכיבים את חיינו אינה פשוטה ולרוב גם לא מתבצעת.
לאזרחים ובעלי העסקים המודאגים, נמליץ לוודא שכלל המכשירים שברשותם כולל הראוטר הביתי מעודכנים עם גירסת תוכנה אשר כוללת תיקון לחולשה. ליצרני הציוד וספקי התקשורת נזכיר כי יש להיות מוכנים לכל תרחיש הדורש תיקונים ועדכונים ״בשטח״ בשל איומי סייבר מתפתחים. חוקרי האבטחה כבר קיבלו את התזכורת ישירות: גם אם מערכת נחשבת בטוחה במשך 14 שנה, חשוב לזכור כי לא לעולם חוסן.
הכותב הוא מנכ"ל חברת Sitaro