È davvero possibile per la maggior parte degli appassionati rompere le reti Wi-Fi delle persone?


157

Gli utenti più entusiasti (anche se non sono professionisti) possono utilizzare tecniche ben note per superare la sicurezza del router domestico medio?

Alcune opzioni di sicurezza di base sono:

  • password di rete complessa con vari metodi di crittografia
  • password di accesso al router personalizzata
  • WPS
  • nessuna trasmissione SSID
  • Filtro indirizzi MAC

Alcuni di questi sono compromessi e cosa fare per rendere più sicura la rete domestica?


26
Con gli strumenti giusti e abbastanza tempo tutto è possibile.
joeqwerty,

61
Il filtro MAC è assolutamente inutile
Ramhound

12
@Mondrianaire Per l'accesso a Internet, la mia rete universitaria ha richiesto l'iscrizione e in seguito ti avrebbe identificato tramite l'indirizzo MAC. È stato banale falsificare l'indirizzo di uno dei miei vicini di dormitorio. Se avessi fatto qualcosa di brutto usando quella connessione, sarebbe stato identificato come lei lo stava facendo. Direi che il filtro degli indirizzi MAC è una di quelle cose troppo facili da creare un falso senso di sicurezza.
Izkata,

8
Bene, sto dicendo che il filtro MAC non è una funzione di sicurezza
Ramhound,

10
@Mondrianaire - Introduce un buco. Se qualcuno sta mascherando il proprio indirizzo MAC come indirizzo di appartenenza, è un indizio in meno che qualcuno che non dovrebbe essere lì è stato sulla tua rete. Se non stai filtrando gli indirizzi MAC, probabilmente non si preoccuperanno di farlo.
Compro01

Risposte:


147

Senza discutere la semantica, sì, l'affermazione è vera.

Esistono diversi standard per la crittografia WIFI, inclusi WEP, WPA e WPA2. WEP è compromesso, quindi se lo si utilizza, anche con una password complessa può essere banalmente rotto. Credo che WPA sia molto più difficile da decifrare (ma potresti avere problemi di sicurezza relativi a WPS che lo aggirano) e, a partire da ottobre 2017, WPA2 offre anche una sicurezza discutibile. Inoltre, anche le password ragionevolmente difficili possono essere forzate brutalmente - Moxie Marlinspike - un noto hacker offre un servizio per farlo da $ 17 usando il cloud computing - sebbene non sia garantito.

Una password del router forte non farà nulla per impedire a qualcuno sul lato WIFI di trasmettere dati attraverso il router, quindi ciò è irrilevante.

Una rete nascosta è un mito: mentre ci sono caselle per non far apparire una rete in un elenco di siti, i client effettuano il beaconing del router WIFI, quindi la sua presenza viene rilevata in modo banale.

Il filtro MAC è uno scherzo poiché molti (quasi / tutti?) Dispositivi WIFI possono essere programmati / riprogrammati per clonare un indirizzo MAC esistente e bypassare il filtro MAC.

La sicurezza della rete è un argomento importante, e non qualcosa di adatto a una domanda da superutente, ma le basi sono che la sicurezza è costruita a strati in modo che, anche se alcuni sono compromessi, non tutti lo sono - inoltre, è possibile penetrare qualsiasi sistema con abbastanza tempo, risorse e conoscenza, quindi la sicurezza in realtà non è tanto una questione di "può essere hackerata", ma "quanto tempo ci vorrà" per hackerare. WPA e una password protetta proteggono da "Joe Average".

Se si desidera migliorare la protezione della propria rete WIFI, è possibile visualizzarla solo come un livello di trasporto e crittografare e filtrare tutto ciò che attraversa quel livello. Questo è eccessivo per la stragrande maggioranza delle persone, ma un modo in cui potresti farlo sarebbe impostare il router in modo da consentire l'accesso a un determinato server VPN sotto il tuo controllo e richiedere a ciascun client di autenticarsi attraverso la connessione WIFI attraverso la VPN - quindi anche se il WIFI è compromesso, ci sono altri livelli [più difficili] da sconfiggere. Un sottoinsieme di questo comportamento non è raro nei grandi ambienti aziendali.

Un'alternativa più semplice per proteggere meglio una rete domestica è abbandonare del tutto il WIFI e richiedere solo soluzioni cablate. Se hai cose come cellulari o tablet, questo potrebbe non essere pratico. In questo caso puoi mitigare i rischi (certamente non eliminarli) riducendo la potenza del segnale del tuo router. Puoi anche proteggere la tua casa in modo che le perdite di frequenza diminuiscano - non l'ho fatto, ma si dice che una forte indiscrezione (persino una rete di alluminio) come una zanzariera attraverso l'esterno della tua casa, con una buona messa a terra possa fare un enorme differenza rispetto alla quantità di segnale che sfuggirà. [Ma, naturalmente, ciao ciao copertura cellulare]

Sul fronte della protezione, un'altra alternativa potrebbe essere quella di ottenere il tuo router (se è in grado di farlo, la maggior parte non lo è, ma immagino che i router che eseguono openwrt e possibilmente pomodoro / dd-wrt possano) per registrare tutti i pacchetti che attraversano la tua rete e tenerlo d'occhio: l'inferno, anche solo il monitoraggio di anomalie con byte totali in entrata e in uscita da varie interfacce potrebbe offrire un buon grado di protezione.

Alla fine della giornata, forse la domanda da porsi è "Cosa devo fare per fare in modo che non valga la pena un tempo per gli hacker occasionali di penetrare nella mia rete" o "Qual è il costo reale di compromettere la mia rete" e andare da li. Non esiste una risposta semplice e veloce.

Aggiornamento - ottobre 2017

La maggior parte dei client che utilizzano WPA2, a meno che non siano sottoposti a patch, possono avere il traffico esposto in testo normale utilizzando "Key Reinstallation Attacks - KRACK" - che rappresenta un punto debole dello standard WPA2. In particolare, ciò non dà accesso alla rete, o al PSK, solo al traffico del dispositivo target.


2
Sì, chiunque può cambiare il proprio indirizzo MAC in uno autorizzato, ma ciò a) non causa immediatamente problemi evidenti per il proprietario originale dell'indirizzo MAC eb) non è forse una sicurezza piuttosto oscura per oscurità? Quando un computer trasmette il proprio MAC in chiaro su una rete domestica?
stella luminosa il

3
Il momento più comune in cui un computer espone il suo indirizzo MAC è quando utilizza una connessione di rete - non è raro. Per quanto riguarda l'oscuro, non è oscuro rispetto al contesto della domanda che è cosa potrebbe fare un appassionato che presumibilmente include efficacemente la ricerca sul web.
Ram

2
@landroni - No, non facilmente, tuttavia se la password è composta da parole comuni messe insieme è ancora ben all'interno del regno del cracking. Il crack non deve essere eseguito dalla macchina che cerca di connettersi, ma può raccogliere le informazioni di cui ha bisogno e inviarle al cloud per crackare con molta più energia, risorse e persino tabelle arcobaleno. Una password casuale di 20 caratteri sarà comunque a prova di proiettile. Dai
davidgo,

2
@clabacchio perché ora hai notevolmente disturbato i tuoi utenti?
Cruncher,

1
Anche @clabacchio chiudendo completamente la rete la renderebbe più "sicura". Gli utenti ne sarebbero contenti?
o0 '.

52

Come altri hanno già detto, nascondere il SSID è banale da rompere. In effetti, la tua rete verrà visualizzata per impostazione predefinita nell'elenco delle reti di Windows 8 anche se non sta trasmettendo il suo SSID. La rete trasmette ancora la sua presenza tramite frame beacon in entrambi i casi; semplicemente non include l'SSID nel frame beacon se questa opzione è selezionata. L'SSID è banale da ottenere dal traffico di rete esistente.

Anche il filtro MAC non è di grande aiuto. Potrebbe rallentare brevemente il kiddie dello script che ha scaricato un crack WEP, ma sicuramente non fermerà nessuno che sa cosa sta facendo, dal momento che può semplicemente falsificare un indirizzo MAC legittimo.

Per quanto riguarda WEP, è completamente rotto. La forza della tua password non ha molta importanza qui. Se stai usando WEP, chiunque può scaricare software che entrerà rapidamente nella tua rete, anche se hai una passkey sicura.

WPA è significativamente più sicuro di WEP, ma è ancora considerato rotto. Se il tuo hardware supporta WPA ma non WPA2, è meglio di niente, ma un utente determinato può probabilmente romperlo con gli strumenti giusti.

WPS (configurazione protetta wireless) è la rovina della sicurezza della rete. Disabilita indipendentemente dalla tecnologia di crittografia di rete che stai utilizzando.

WPA2 - in particolare la versione di esso che utilizza AES - è abbastanza sicura. Se hai una password decente, il tuo amico non entrerà nella tua rete protetta WPA2 senza ottenere la password. Ora, se l'NSA sta cercando di entrare nella tua rete, questa è un'altra questione. Quindi dovresti semplicemente spegnere completamente il wireless. E probabilmente anche la tua connessione Internet e tutti i tuoi computer. Dato il tempo e le risorse sufficienti, WPA2 (e qualsiasi altra cosa) può essere hackerato, ma probabilmente richiederà molto più tempo e molte più capacità di quelle che il tuo hobby medio avrà a disposizione.

Come ha detto David, la vera domanda non è "Questo può essere hackerato?" ma, piuttosto, "Quanto tempo impiegherà qualcuno con una particolare serie di capacità per hackerarlo?" Ovviamente, la risposta a questa domanda varia notevolmente rispetto a quello che è quel particolare insieme di capacità. Ha anche assolutamente corretto che la sicurezza dovrebbe essere fatta a strati. Le cose che ti interessano non dovrebbero andare sulla tua rete senza essere prima criptate. Quindi, se qualcuno rompe il tuo wireless, non dovrebbe essere in grado di entrare in qualcosa di significativo oltre a usare la tua connessione Internet. Qualsiasi comunicazione che deve essere sicura dovrebbe comunque utilizzare un forte algoritmo di crittografia (come AES,) eventualmente impostato tramite TLS o alcuni di questi schemi PKI. Assicurati che la tua e-mail e qualsiasi altro traffico Web sensibile siano crittografati e che non


Aggiornamento del 17 ottobre 2017: questa risposta riflette la situazione precedente alla recente scoperta di una nuova importante vulnerabilità che interessa sia WPA che WPA2. La chiave reinstallazione attacco (KRACK) sfrutta una vulnerabilità nel protocollo di handshake per il Wi-Fi. Senza entrare nei dettagli disordinati della crittografia (di cui puoi leggere sul sito Web collegato), tutte le reti Wi-Fi dovrebbero essere considerate interrotte fino a quando non vengono patchate, indipendentemente da quale particolare algoritmo di crittografia sta utilizzando.

Informazioni correlate Domande relative a KRACK su KRACK:
conseguenze dell'attacco KRACK WPA2
Come posso proteggermi da KRACK quando non posso permettermi una VPN?


11
Buona risposta, in particolare per quanto riguarda WPA2-AES. Vorrei aggiungere che l'SSID è usato per salare una chiave WPA, quindi se non vuoi che la tua chiave WPA sia arcobaleno, è meglio passare a qualcosa di diverso da "NETGEAR".
zigg

Quanto è difficile falsificare un indirizzo MAC, dal momento che dovresti averne uno nella lista bianca. So che tutto ciò che viene trasmesso può essere raccolto manualmente, ma non è molto lavoro?
Seth,

No, è incredibilmente facile. Viene inviato in chiaro all'inizio di ogni singolo frame, quindi tutto ciò che devi fare è acquisire un singolo pacchetto legittimo sulla rete per trovare un MAC nella white list. Come ho detto nella mia risposta, è banale per chiunque sappia cosa stanno facendo.
reirab

14

Dato che le altre risposte su questo thread sono buone, penso che, per chi richiede una risposta concreta (beh ... questo è SuperUser, non lo è?), La domanda potrebbe essere facilmente tradotta come: "Cosa dovrei sapere per farmi Rete WiFi sicura? " .
Senza negare (né confermare) nessuna delle altre risposte, questa è la mia breve risposta:

Le parole del criptologo Bruce Schenier potrebbero essere utili consigli che molti utenti devono ricordare:

L'unica vera soluzione è quella di scollegare il cavo di alimentazione.

Questo può essere spesso applicato alle reti wireless : ne abbiamo costantemente bisogno che funzioni?
Molti router hanno un pulsante WiFi per abilitare / disabilitare il wireless, come il D-Link DSL-2640B .
In caso contrario, puoi sempre automatizzare l'abilitazione / la disabilitazione del web wireless utilizzando strumenti come iMacros (disponibile come estensione per Firefox o come programma autonomo) su Windows e molti altri su Linux.

E qui ci sono due trucchi per la creazione della password WPA (per favore, dimentica WEP ) (una buona password WPA renderà gli attacchi molto difficili) creazione ( non conservare la password predefinita ):

  1. Usa parole inesistenti e / o straniere : SilbeasterStallonarius, Armorgeddon, HomecitusSapiensante (poiché non è possibile utilizzare un semplice dizionario per trovarle).
  2. Crea la tua frase facile da ricordare (almeno per te) e definisci la tua password prendendo il primo carattere di ogni parola. I risultati saranno una password difficile da decifrare (minimo 8 caratteri) ma facile da ricordare che include lettere maiuscole e minuscole , numeri e alcuni altri caratteri non alfabetici :
    "Hai due figli e 3 gatti e li ami. " -> "Yh2sa3c, aylt."

E, per l'amor di Dio: disabilita subito WPS ! È totalmente imperfetto .


12
Per favore, dimentica WPA e WPA2-TKIP . Usa i tuoi trucchi su WPA2-AES .
Darth Android

2
Quale sarebbe il punto di una password wifi facilmente memorabile? Dopo tutto, stai collegando molto raramente i dispositivi. Usa solo una buona password casuale lunga, come Lm, -TMzQ7cf \ 6. "OwhAnpqC *.
Hans-Peter Störr,

2
Se hai un set statico di dispositivi che cambia raramente, OK. Una delle persone ha amici con i gadget che devono abilitare e le password casuali sono problematiche qui. (Potrebbero esserci altre soluzioni come una rete ospite, ma ciò consentirà comunque l'accesso agli ospiti non ospiti che desiderano utilizzare le tue risorse)
davidgo,

3
@hstoerr, nella mia esperienza come utente finale e consulente aziendale, ho (quasi) sempre trovato che le password complesse sono fastidiose e infine scartate. Hai bisogno di una soluzione di compromesso.
Sopalajo de Arrierez,

2
Hai ragione, @IQAndreas: è più memorabile e più difficile da decifrare. Ma non è più facile da scrivere. E, nei miei test con HashCat, solo per la modalità più breve Yh2sa3c,aylt., durerà un tempo stimato di oltre 10 anni per la forza bruta (anche usando uno dei personal computer più veloci che puoi permetterti oggi).
Sopalajo de Arrierez,

7

Nessuna delle cose che menzioni (tranne la password di rete) influisce davvero sull'hacking di una rete Wi-Fi. Tanto quanto un filtro dell'indirizzo MAC e un SSID nascosto non fanno davvero nulla per aiutare in termini di sicurezza.

Ciò che conta davvero è il tipo di crittografia utilizzato sulla rete. Le crittografie di rete precedenti come WEP erano banali da interrompere perché con un traffico sufficiente potevi decodificarle e potresti costringerle a generare il traffico necessario.

Quelli più recenti come WPA2 sono comunque molto più sicuri. Ora, nulla è "sicuro" contro tutti gli avversari, ma di solito è sufficiente per il Wi-Fi domestico.

È un argomento di grandi dimensioni, e questo tocca solo la punta dell'iceberg, ma si spera che aiuti.


6

WEP e WPA1 / 2 (con WPS abilitato) possono essere hackerati banalmente; il primo usando IV catturati e il secondo con una forza bruta PIN WPS (solo 11.000 possibili combinazioni, da un pin di 3 parti; 4 cifre [10.000 possibili] + 3 cifre [1.000 possibili] + 1 cifra checksum [calcolata dal resto]) .

WPA1 / 2 sono più difficili con una password complessa, ma l'uso del cracking della GPU e una tecnica di forza bruta possono eliminare alcuni di quelli più deboli.

Ho crackato personalmente WEP e WPS sulla mia rete di lavoro (con il permesso, stavo dimostrando le vulnerabilità ai miei datori di lavoro), ma non ho ancora risolto con successo WPA.


5

Questa è un'ottima domanda e le linee guida per avere un wireless molto sicuro dovrebbero essere ben note. Configura il tuo router / gateway / AP in modo che:

  • la sicurezza wireless è solo WPA2
  • la crittografia è solo AES
  • usa una chiave pre-condivisa che contiene più parole (ad es. IloveSuperUser)
  • disabilita WPS
  • disabilita l'amministrazione remota

Questo è tutto! Per tutti gli scopi pratici ora hai wireless completamente sicuro.


1
@Jason Una domanda immediatamente; cosa hai contro gli spazi?
Deworde,

1
@ryyker ho detto per scopi pratici.
Jason,

1
@deworde no, ma alcuni router economici e gestori connessioni lo fanno.
Jason,

3

Nel forum di Cisco Learning Network , un thread-starter ha chiesto:

WPA / TKIP può essere rotto? O qualcuno nella mia pensione ha usato 80 concerti o qualcuno vicino ha violato la password e l'ha usata. Sospetto che qualcuno nella guest house perché trovo difficile credere che WPA / TKIP possa essere crackato e anche se possa essere crackato non sarebbe facile da fare. Quanto è difficile se non è affatto crackare WPA / TKIP? Voglio cambiare la password per loro comunque, posso usare - e _ e? personaggi?

Un tipo ovviamente molto intelligente di nome "Zach" ha realizzato questo post che l'antipasto di thread, qui (e altri, anche qui, se sono interessati), dovrebbe leggere.

In particolare, leggi da circa i due terzi della sua pubblicazione, dove inizia con le parole "Le soluzioni:".

Sto usando l' impostazione " WPA-PSK (TKIP) / WPA2-PSK (AES) " del mio gateway . In linea con questo post di Zach ...

Cambia il nome del tuo router in qualcosa di unico. Il tuo ESSID viene utilizzato dal tuo supplicante wlan come sale crittografico sul PMK. La modifica di questo eliminerà gli attacchi pre-calcolo.

... Ho usato a lungo il mio ESSID unico. Inoltre, in linea con il suo ...

Crea una password univoca che incorpori caratteri univoci, numeri, lettere maiuscole. più parole e lettere minuscole. Questo è più importante della lunghezza. Aumentare la lunghezza della password non farà che aumentare la forza della password, ma non è necessario che sia oscenamente lunga. La forza sta nella varianza del potenziale . Ciò eliminerà gli attacchi ai dizionari e renderà impossibile la forza bruta senza un supercomputer.

... il mio è composto da 25 caratteri composti da lettere, numeri, lettere maiuscole e minuscole e caratteri speciali. Nessuna parte incantesimi.

Faccio molte altre cose che Zach fa e che non elenca lì; ma oltre a quanto sopra, e detto altre cose, e almeno nello spirito di ciò che ha scritto qui ...

Abilita la registrazione dettagliata e, se possibile, inoltrala alla tua e-mail.

... Molto tempo fa ho scritto un po 'di codice di scripting che si avvia automaticamente con l'avvio di Windows e viene eseguito nella barra delle applicazioni; quale codice periodicamente, per tutto il giorno, aggiorna duramente e quindi analizza la pagina Web nel mio gateway che elenca tutti i dispositivi collegati; e poi mi dice sia come pop-up-triple-beep-through-the-motherboard-speaker (non i normali altoparlanti audio, nel caso in cui siano disattivati ​​o qualcosa del genere) sul mio computer desktop-sostituzione-laptop schermo, e anche via SMS sul mio telefono (che è in una custodia sulla cintura, o almeno mai più di un metro e mezzo da me, 24/7/365), se è comparso qualcosa di nuovo.

Per coloro che non hanno questa competenza, ci sono diverse app di tipo "che sono sul mio WI-FI" là fuori, alcune gratuite. Uno buono e semplice è [questo cattivo] [3]. Basta avviarlo automaticamente con Windows, lasciarlo nella barra delle applicazioni e dirlo a "bip su nuovo dispositivo" e avrai qualcosa di simile a quello che fa il mio script (tranne che non ti invierà SMS). Tuttavia, utilizzando [un semplice strumento di scripting] [5] è possibile inviare un SMS o e-mail al telefono quando un nuovo dispositivo sulla LAN emette un segnale acustico per l'app.

Spero che aiuti.


Nell'ultimo paragrafo della tua risposta sembrano mancare due link.
Twisty Impersonator,

2

Un'altra considerazione di qualsiasi analisi di sicurezza sono le risorse che necessitano di protezione e il valore di tali risorse per il proprietario e un potenziale attaccante. Immagino che il tuo login bancario, il numero di carta di credito e altre credenziali di accesso siano probabilmente le informazioni più preziose che vanno su una rete domestica e la maggior parte di queste dovrebbero essere coperte dalla crittografia TLS / SSL su una connessione https. Quindi sembra che se usi una chiave WPA2 sul tuo router wifi e assicurati che il tuo browser usi https ogni volta che è possibile (usando uno strumento come eff https ovunque), sei piuttosto sicuro. (Un potenziale utente malintenzionato dovrebbe andare in difficoltà a decifrare la chiave WPA2 per ottenere forse una password che non va su https o sulle pagine http che stai navigando.)


2

Dubbioso .

Non sono d'accordo con la risposta di David. Sebbene sia ben studiato e concordo con la maggior parte delle sue informazioni, penso che sia un po 'pessimista.

Esistono vulnerabilità in WPA2 già trattate nelle altre risposte. Tuttavia nessuno di questi è inevitabile.

In particolare, va notato che l'attacco di forza bruta menzionato da David è un attacco a una debolezza di MS-CHAPv2. Vedi il riferimento dell'autore citato [ https://www.cloudcracker.com/blog/2012/07/29/cracking-ms-chap-v2/ ]. Se non si utilizza Ms-CHAP, questa debolezza non può essere sfruttata. (cancellato in base al commento dell'autore - riferimento errato)

Con la passphrase corretta, SSID ed evitando la tecnologia compromessa, non vedo alcun motivo per cui una rete protetta WPA2 che utilizza AES256 non sia al momento sicura. Gli attacchi di forza bruta su tali reti non sono fattibili e persino Moxy Marlinspike lo suggerisce.

Tuttavia, dove concordo con la risposta di David è che la maggior parte degli utenti non compie questi sforzi. So che la mia rete domestica può essere sfruttata e anche se so come risolverlo, non vale la pena dedicare tempo e fatica.


MS-CHAP è qualcosa di diverso (viene utilizzato su PPTP, ovvero connessioni VPN e non connessioni wireless, a meno che non si stia eseguendo PPTP su Wifi che è in gran parte inutile. MS-CHAP è noto per essere completamente rotto). Ciò a cui mi riferivo con Cloudcracker è qualcos'altro. Preparate e inviate un campione di traffico di rete e il servizio tenta di forzarlo. Tra le altre cose, tenta di decifrare le password WPA e WPA2. Il link è cloudcracker.com (niente dopo). Sono d'accordo che CON UNA PASSWORD FORTE, WPA2 probabilmente non è pratico per la forza bruta.
davidgo,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.