Стандарт Wi-Fi Protected Setup (WPS) стал достаточно популярным среди производителей марщрутизаторов как средство, дающее возможность пользователям легко додавать новые устройства в собственную беспроводную сеть, разрешая не запоминать любой раз защитный пароль, и до недавних пор считался в полной мере надежным. Но важная уязвимость, найденная исследователем в области информационной безопасности Стефаном Вибоком (Stefan Viehbock), ставит под сомнение эффективность WPS защиты.
Дело в том, что обычный восьмизначный защитный пароль, на угадывание которого способом перебора вариантов (так называемая брутфорс-атака) уходит огромное время, благодаря изюминкам работы многих маршрутизаторов быстро теряет собственную эффективность. К примеру, при вводе неверного PIN кода роутер может отсылать сообщение, разрешающее делать выводы о правильности первых четырех цифр в пароле, помимо этого, последняя цифра ключа употребляется как контрольная сумма и раскрывается маршрутизатором в ходе согласования.
По сути это указывает, что вместо 100 000 000 вероятных числовых комбинаций, каковые обязан предоставлять WPS, на деле уровень защиты этого стандарта образовывает всего-навсего 11 000 комбинаций, другими словами на пара порядков меньше. Это разрешает хакеру выявлять пароль и приобретать доступ к защищенной Wi-Fi сети за в полной мере приемлемое время (в среднем за два часа, если доверять Стефану Вибоку). Эти сведенья уже встревожили группу US-CERT (Компьютерная команда экстренной готовности), являющуюся частью Национального отдела киберзащиты Министерства внутренней безопасности США.
Эта работа порекомендовала в качестве мер противодействия деактивировать WPS и применять только WPA2 шифрование с хорошим паролем, отключить комплект сетевых протоколов UPnP и активировать фильтрацию MAC адреса. Наряду с этим сам Стефан Вибок постарался обсудить найденную уязвимость с производителями маршрутизаторов, такими, как Buffalo, D-Link, Linksys и Netgear, но, он утвержает, что ответной реакции не последовало, как и признания наличия неприятности. Наряду с этим в качестве вероятного финального шага эксперт обещает скоро выпустить инструмент для брутфорс-атаки, что, возможно, вынудит-таки вендоров обратить внимание на указанную уязвимость.
Источник: engadget
Увлекательные записи:
- Обнаруженная уязвимость открывает доступ к фото на заблокированном iphone (2 видео)
- Обновленная модель xiaomi mi notebook air 13.3 с дактилоскопическим сканером
- Обновленный принцип робототехники предотвратит восстание машин