Mají hackeři otevřené dveře do vašeho mobilu nebo počítače? Expert odpovídal k problémům s wi-fi

Jiří Hovorka Jiří Hovorka
Aktualizováno 17. 10. 2017 13:05
Vědci z univerzity v Lovani varují před kritickou chybou v zabezpečení wi-fi sítí. O jak reálné ohrožení každého z nás jde? Ptali jste se IT experta Michala Valáška.
Je váš počítač ohrožen? Ptali jste se experta
Rozhovor skončil
Michal Valášek odpovídal čtenářům online deníku Aktuálně.cz.
Přečíst si rozhovor

On-line rozhovor - Víceméně každý, kdo je připojený na wi-fi, má problém. I ta nejtajnější hesla, která zadáváte do svého počítače nebo mobilu, mohou hackeři vidět. Umožní jim to chyba pojmenovaná jako Krack. Tak zní varování, se kterým přišli vědci z univerzity v belgické Lovani.

"Může to být zneužito ke krádeži citlivých informací, jako jsou čísla kreditních karet, hesla, chatovací zprávy, e-maily, fotografie a tak dále," prohlásil bezpečnostní expert univerzity Mathy Vanhoef. Alespoň částečně uklidňující je fakt, že k využití této chyby se podle vědců útočník musí nacházet v dosahu své oběti. 

O jak závažnou hrozbu jde? Kdo za chybu může? Jak rychle ji výrobci softwaru "zalepí"? Jak chybu v počítači, mobilu či na routeru zjistit? Znamená to, že je nebezpečné se třeba v nákupním centru připojit k wi-fi? A co si musíte zkontrolovat, abyste si byli jisti, že wi-fi není s Krackem?

Na tyto a další dotazy jste se v online rozhovoru ptali nezávislého IT experta Michala Valáška.

Je váš počítač ohrožen? Ptali jste se experta

Rozhovor skončil
17. 10. 2017
Ptá se: Jarmila_Maxantová

Dobrý den možná to nesouvisí s daným problémem, ale od Seznamu (kde mám email) mi přišla zpráva, že si mi asi někdo do něho naboural a žádá o zadání nového hesla a telefonu. Je to bezpečné zadat ty údaje.Děkuji, moc tomu nerozumím. Hezký den

Odpovídá: Michal Valášek

Težko posoudit, ale působí to dosti podezřelým dojmem. Nevím zda, případně jakým způsobem Seznam notifikuje své uživatele. Na první pohled to působí jako pokus o phishing. Doporučuji kontaktovat podporu Seznam.cz: https://onas.seznam.cz/cz/technicka-podpora.html

17. 10. 2017
Ptá se: Jan Šindelář

Je tedy oproti wifi připojení kabelem bezpečnější?

Odpovídá: Michal Valášek

Ano. Je tak bezpečné, jak jsou kabely a zásuvky, takže je fyzicky lokalizovanější.

17. 10. 2017
Ptá se: Jarek

Zdravim,
Chapu to spravne, ze nyni kazdy trochu schopny utocnik muze odposlouchavat komunikaci obeti (tj. navstevovane stranky a odesilany/prijimany obsah?)

Zabrani pouziti VPN / Tor / https uniku URL a dat na 100%?
Dekuji?

Odpovídá: Michal Valášek

V zásadě to chápete správně. V současné době sice nejsou k dispozici nástroje v kvalitě a jednoduchosti pro "script kiddies", takže útočník musí být víc než jen "trochu" schopný, ale je záležitostí spíše dnů než týdnů, než se objeví.

Použití VPN, Toru nebo HTTPS vás ochrání, pokud jsou tyto nástroje použity správně.

17. 10. 2017
Ptá se: Michal Janous

Je mozne se pomoci teto zranitelnosti pripojit k jakemukoli access pointu chranenemu WPA a pouzit ho pro vlastni pripojeni k internetu? Je mozne, ze utocnik muze vyuzit wifi ve svem okoli ke stahovani dat?

Odpovídá: Michal Valášek

Tento útok je cílen na klienta, ne na server. Není tedy možné se jen tak připojit na nějaké AP a jeho prostřednictvím do Internetu. Cílem tohoto útoku není se připojit na cizí AP a přes něj do Internetu, ale škodit zařízením v té síti připojeným.

17. 10. 2017
Ptá se: Jozef

Je tato chyba opravdu tak alarmujici za situace kdy valna vetsina citlivych dat proudi pres https?

Odpovídá: Michal Valášek

Správné použití HTTPS (potažmo jiných autentizovaných a šifrovaných protokolů) skutečně snižuje závažnost této chyby. Bohužel, mnoho aplikací HTTPS (et al.) nepoužívá nebo používá špatně. A i pokud by "valná většina citlivých dat" HTTPS používala, stačí jeden spustitelný soubor nebo aktualizace stažená přes prosté HTTP a jste v háji.

17. 10. 2017
Ptá se: P. Kindl

Dobrý den, jak jsem se dočetl, tak zranitelné je šifrování wpa2. Dá se tedy použít jiné z nastavení např. routeru, které není zneužitelné pro současnou dobu? Děkuji P. Kindl

Odpovídá: Michal Valášek

WPA2 je nejlepší úroveň zabezpečení, která je dnes k dispozici. Ostatní technologie (WPA, WEP) sice nejsou zranitelné tímto konkrétním útokem, ale existují pro ně mnohem závažnější zranitelnosti.

17. 10. 2017
Ptá se: Michal Janous

Jaka je skalovatelnost tohoto utoku? Da se behem jednoho sledovani monitorovat datovy tok od routeru k pouze jednomu vybranemu uzivateli anebo da se sledovat datovy tok mezi routerem a napr. 50 zarizenimi najednou?

Odpovídá: Michal Valášek

Podle dostupných informací to nevypadá, že by útok byl obtížně škálovatelný. Ale nezkoušel jsem to a ani pro tento scénář nejsou zatím k dispozici nástroje.

17. 10. 2017
Ptá se: Tomáš Černý

Dobrý den, zajímá mě Váš názor na to, zda tyto "chyby" jsou dílem odfláknutého firmware anebo byly udělány záměrně... Děkuji T. Černý

Odpovídá: Michal Valášek

Za prvé, nejedná se o chybu ve firmware, ale v návrhu protokolu. Je to chyba ideje, ne implementace.

Za druhé, nepředpokládal bych tady úmysl, že by se jednalo o nějaký "backdoor" záměrně do standardu vložený, na to jsou vhodnější místa.

17. 10. 2017
Ptá se: Ondřej Podhradský

Dobrý den,

jsou ohroženy i telefony se systémem IOS? Jak je známo, tak zabezpečení a uzavřenost systému již z logiky věci zabraňuje takovým scénářům, jaké jsou popsány v dnešních mnoha článcích.

Díky OP

Odpovídá: Michal Valášek

Ano, zařízení se systémem iOS jsou tímto útokem napadnutelná, stejně jako Windows, Linux, Android... Uzavřenost systému z logiky věci ničemu nezabraňuje, vaše přesvědčení o tom "co je známo" je zcela chybné.

V tomto okamžiku jsou uvolňovány aktualizace pro různé platformy. Konkrétně Apple má venku beta verzi pro vývojáře, která obsahuje opravu a předpokládá se, že verzi pro běžné uživatele uvolní v následujících týdnech: http://appleinsider.com/articles/17/10/16/apple-confirms-krack-wi-fi-wpa-2-attack-vector-patched-in-ios-tvos-watchos-macos-betas

Pokud se Windows týče, tam je oprava již dostupná pro všechny podporované verze: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-13080

17. 10. 2017
Ptá se: Michal

Dobrý den,
co tedy může běžný uživatel chytrých telefonů a tabletů dělat, aby se maximálně ochránil? Může omezit připojování se na veřejné wi-fi, platby provádět pouze přes mobilní data, ale nepoužívat wi-fi vůbec asi není v dnešní průchodné řešení.

A druhá otázka, myslíte si, že je reálné, aby desítky výrobců stovek různých zařízení (routery, modemy atd.) byly schopny přijít rychle s úpravou firmwaru i pro starší zařízení, u kterých často podpora končí jejich uvedením na trh?

Díky.

Odpovídá: Michal Valášek

Pro připojení na veřejných místech bez ohledu na KRACK platí, že byste měli používat důvěryhodnou VPN. Buďto komerční (ale tam je problém najít důvěryhodného poskytovatele) nebo vlastní, viz. https://altair.is/streisand. Veřejně dostupných Wi-Fi se ale KRACK vůbec netýká, protože tam je většinou přístup zcela otevřený nebo je heslo známé. KRACK se týká soukromých sítí, proto byste VPN měli používat i tam.

Drtivá většina existujících zařízení nikdy žádný update firmware nedostane a pokud dostane, uživatelé ho nenainstalují. Naštěstí KRACK lze řešit na straně klienta, kde je podpora o něco málo lepší, nebavíme-li se o Androidu.

17. 10. 2017
Ptá se: Lucie

Dobrý den, jak je to tedy s těmi obchodními domy/kavárnami.. připojovat se, nebo ne?
Díky

Odpovídá: Michal Valášek

Veřejných Wi-Fi se tento útok nijak netýká. Útočník ho nepotřebuje, zná heslo nebo tam žádné není.

Pro používání nedůvěryhodných sítí platí pořád to samé: používat důsledně VPN.

17. 10. 2017
Ptá se: Petr Vyprchal

Dobrý den !
Mám doma router a na něm přes kabely připojen počítač, televizi, satelitní přijimač. Kvůli použiti tabletu mám však i WIfi.
Otázka zní - může takto dojít k ohrožení toho počítače připojeném kabelem ? ( tablet je požíván jen na běžné čtení a surfování)

Odpovídá: Michal Valášek

Záleží na tom, zda jsou bezdrátová a drátová síť odděleny nebo ne. Pokud se jedná o jednu síť (drátová zařízení se navzájem vidí a věří si), lze zneužitím této chyby zaútočit i na zařízení připojená drátem.

17. 10. 2017
Ptá se: Jiří

Dobrý den,

jak si můžu doma ověřit, jestli je moje wi-fi bezpečná? A je to skutečně tak, že by mi hacker musel "stát za dveřmi", aby mohl té chyby využít? Na dálku Krack zneužít nejde?

Odpovídá: Michal Valášek

Pokud mají vaše zařízení firmware starší než řádově dny, jsou téměř s jistotou napadnutelná.

Je to tak, že útočník musí být v dosahu Wi-Fi. Tj. musí být ve fyzické blízkosti.

Nicméně existují i komplikovanější vektory útoku. Například útočník může nakazit váš mobil, notebook nebo tablet mimo domácí síť a jeho prostřednictvím potom útočit dále.

17. 10. 2017
Ptá se: DžejDžej

Dobrý den, často koukám na porno a občas mě to přesměruje na jiné stránky, které jsou oficiálně taky zdarma. Myslíte, že nehrozí žádné nebezpečí? Preferuji zahraniční servery, i když jsou na nich stejně z 90% české ženy.

Odpovídá: Michal Valášek

Záleží na tom, na jaké porno a kde se koukáte. Doporučuji se držet osvědčených a velkých poskytovatelů obsahu a případně za obsah platit. Je to levné a mnohem bezpečnější. Navíc i pornoherečky se musí něčím živit, věřte mi, vím o čem mluvím :)

 

Právě se děje

Další zprávy