Skip to content

WPA2 + KRACK ei tähenda midagi head - enamus maailma WiFi ühendustest on pealtkuulatavad ja kontrollitavad

Tänase päeva pommuudis on küberturvalisuse valdkonnast. Key Reinstallation Attack ehk KRACK võimaldab WPA2'd kasutavaid WiFi ühendusi pealt kuulata ning andmed muuta ja seeläbi väga palju kurja korda saata.

See on üks hullemaid andmeturva probleeme (võib olla ka kõige suurem), mis läbi aegade on leitud.

Viga on WPA2 protokollis endas ning kõik tugijaamad ja kliendid, kes selle vähegi korralikult on implementeerinud, on ka haavatavad. Ja see puudutab arvuteid, tahvelarveuteid, mobiiltelefone, külmkappe ja mida iganes, mis WPA2'ga WiFi't kasutavad. Lihtsamalt öeldes puudutab see kõiki WiFi'ga vidinaid siin maailmas.

Seni kuni tugijaamade tootjad ja kliendi-tarkvara valmistajad veaparandused valmis saavad, on 2 valikut:

  • ära kasuta WiFi't (kasuta arvutite puhul traadiga ühendust ja mobiilsete puhul 3G/4G tüüpi ühendusi)
  • ja kui kasutad WiFi't, siis jälgi, et kõik liiklus oleks VPN'iga kaetud ja/või kõik rakenduste poolt tehtavad ühendused krüpteeritud - kui sa ise ei tea kuidas seda kontrollida ja seadistada, siis küsi neilt kes teavad

Mida tähendab "kõik rakenduste poolt tehtavad ühendused krüpteeritud"? Näiteks seda, kus iganes liigutad privaatset teavet või ei taha et kolmas osapool saaks seda lugeda, siis:

  • vaata et sinu veebibrauseris url algaks https-iga ja et sa pole brauseris ssl'i teemalisi vigu maha keeranud
  • vaata et sinu e-posti kliendis kirjade lugemine IMAP või POP3'ga oleks krüpteeritud
  • vaata et sinu e-posti kliendis kirjade saatmine SMTP'ga oleks krüpteeritud
  • vaata, et sinu lemmik-sõnumiklient kasutaks krüptograafiat

Õnneks on tarkvara paikamine juba alanud. Näiteks wpa_supplicant (alusteek Androidis ja Linuxis) on paigad juba avaldanud, kuid alati on õhus küsimus, et millal need sinu vastavate WiFi-suutlike seadmeteni jõuavad.

Täiendatud 21:50

Läbi aegade suurimale arvutiturvaprobleemile on saanud osaks ka pretsedenditu ja koordineeritud lahenduse otsimine. Viimase paari kuu jooksul on teavitatud kõiki olulisimaid operatsioonisüsteemiarendajaid ning tänasel pärastlõunal (i.e. peale turvavea avalikustamist) on ükshaaval hakanud ka turvaparandusi ilmuma (sh Windowsile ja mitmele Linuxile). Oluline oleks et ka tugijaamade tootjad järgi tuleksid ning kasutajad oleksid suutelised ka neid uuendusi tegema.

Seega uuendage niipea, kui see teil võimalik on.

Kõu ja internetiühendus Vormsil

Mul on Vormsil vaja netiühendust. Seni oli abiks GPRS, aga see teadagi on hullult aeglasevõitu (minu kasutataval operaatoril pole seal EDGE võimalust).

Seega valikud on:

  • jääda GPRS'i juurde - turu parim pakkumine hinnaga alates 99 kr/kuus hind on vägagi mõistlik, kuid kiirus lootusetu

  • küsida Elionilt mõnda traadipõhist ühendust (ADSL) - sain vastuseks et teie külla vabu paare pole ning uusi ei panda

  • Levira või Elioni WiMax - sain vastuseks et peate enda juurde tohutu väliantenni üles panema ning siis ka ei tea kui hästi see toimib

  • Vormsi valla poolt hallatav küla-wifi - sain valla-ametnikult selle kohta andekaid vastuseid nagu "see on vaid teie arvamus et praegune tugijaama asukoht küla servas ja nõlva all vallavanema maja peal pole mõistlik" ning "ega te ometi ei arva et vald tuleb teie ja teiste küla keskel asuvate majade jaoks wifi leviala parandama" ning "teie arvutis wifi ühendus ei saagi toimida kuna teil on nimeserverid seadistamata" ning loomulikult jäi edasine asjaajamine katki

  • Televõrkude Kõu - tundus eelinfo põhjal kõikidele eelmistele mõistliku alternatiivina ning otsustasin seda proovida



Senised kogemused Kõu'ga:

  • kasutan Accesteli välist CDMA-modemit

  • vahemaa Haapsalu mastist meie majani on linnulennult 19 kilomeetrit ning põhimõtteliselt toimib ühendus juba maja esimesel korrusel (välja tugevus üldjuhul punane ning ühendus latentne ning mõnikord katkendlik)

  • loomulikult paraneb levi ning ühenduse kvaliteet oluliselt pannes modemi teisele korrusele (välja tugevuse näitaja on oranž)

  • oluliselt paraneb ühenduse kvaliteet kui kasutada vanast veneaegsest telekaantennist tehtud lisaantenni; et seda modemiga ühendada selleks võtsin modemi ja antenni kaasa, astusin sisse Tallinnas asuvasse Oomipoodi ning mulle otsiti välja kolm vajalikku vahejuppi

  • ühenduse kiirus võrgust on tavaliselt 200 kbit/s ning heal juhul kuni 400 kbit/s; olen sama modemit ka Tallinnas ja mitmes kohas Harjumaal kasutanud ning siis on kiirused rahulikult ulatunud kuni 1Mbit/s

  • ühenduse kiirus võrgu suunas on lootusetu ja igasugune materjalide üles laadimine võtab aega

  • keskmine ping'i aeg põhiliste eesti serveriteni on 150 ms ning see on paljuvõitu

  • pruukides välist antenni muutub ka ssh ja mstsc/rdp kasutamine talutavaks

  • Kõu's on hetkel võimalik kasutada ainult väliseid dünaamilisi ip-aadresse Televõrgu 77.233.64.0 - 77.233.79.255 netblock'ist ning nende lease-time tundub olema lühikesevõitu

  • olen ka paar korda helistanud Kõu kasutajatoe telefonil ning nende tegutsemine on olnud asjalik - mulle pole aetud suvalist "kas te oma arvutile restarti tegite" juttu vaid on suudetud alati öelda mis olukord on võrgus olnud (seda just siis kui juuli alguses oli paras pusa ühendustega) ning vastatud minu konkreetsetele küsimustele