Oct 162017
 

Puhelinverkkomasto

Belgialaisen yliopiston tutkijat ovat ilmoittaneet murtaneensa WiFi-verkkojen salauksessa käytettävän WPA2-protokollan. Protokollan murtaminen onnistui KRACKattack-menetelmällä (key reinstallation attack), joka on WLAN-protokollan toteutusten haavoittuvuutta hyödyntävä välimieshyökkäys.

Käytännössä haavoittavuus vaarantaa luottamuksellisen tiedon kulkemisen WLAN-yhteyksissä, ja etenkin Linux- ja Android-puolella kaiken langattoman liikenteen salauksen voi purkaa. Verkkopalveluiden tietoturva-aukkoja jo vuosien ajan tutkinut suomalainen Second Nature Security Oy:n teknologiajohtaja Juho Ranta pitää tilannetta huolestuttavana.

”Aukko on periaateiltaan vakava, sillä se koskee kaikkia wifi-yhteyksiä käyttäviä laitteita. Langattoman verkon kantomatkan sisäpuolella oleva hyökkääjä pystyy hyödyntämään heikkouksia ja pääsemään sellaiseen tietoon käsiksi, jota on pidetty aiemmin ehdottoman salattuna”, kertoo Ranta.

”Nyt paljastunut haavoittuvuus kohdistuu kaikkiin wifin käyttäjiin, mutta suurimpana riskiryhmänä ovat yritykset, jotka eivät ole päivittäneet laitteistojaan tai ohjelmistojaan aktiivisesti. Haavoittuvuus voi mahdollistaa esimerkiksi arkaluonteisen tiedon salakuuntelun ja verkkoliikenteen muokkauksen”, Ranta korostaa. ”Onkin äärimmäisen tärkeää, että wifi-verkkojen tukiasemat pidetään aina päivitettyinä sekä laitekanta ja ohjelmistot mahdollisimman tuoreina. Lisäksi kaikessa viestiliikenteessä tulisi käyttää salattua liikennettä, kuten https-, starttls- ja ssh-yhteyksissä”, Ranta jatkaa.

Omassa tiedotteessaan Viestintävirasto kehottaa ihmisiä käyttämään luottamuksellisen tiedon käsittelyyn vaihtoehtoisia salausmenetelmiä, kuten SSL/TLS- ja SSH-salausprotokollia ja liikenteen salaamiseen tarkoitettuja VPN-ratkaisuja. Lisäksi Viestintävirasto kehottaa kytkemään WLAN-tukiaseman 802.11r-toiminnallisuuden pois.

Viestintäviraston ohjeiden lisäksi Microsoft on itse kommentoinut WPA2-protokollan haavoittuvuutta ja kertonut valmistaneensa ongelmaan korjauksen. Samalla Microsoft on muistuttanut Windows-käyttäjiä tietoturvapäivitysten latauksen tärkeydestä ja automaattisten päivitysten päälle kytkemisestä.

Langattomien verkkojen salaus murrettu – Viestintävirasto ja Microsoft julkaisivat toimintaohjeet
Lähde: Mobiili.fi