Uppfærsla frá símafélögum neðst
Við hér á Lappari.com fáum reglulega fyrirspurnir frá lesendum okkar varðandi greinar sem við skrifum eða eitthvað annað sem lesendur vantar aðstoð með eða útskýringar á.
mbl.is fjallaði í gær um veikleika í dulkóðunarstaðli sem þarfnaðist greinilega útskýringa því við fengum þó nokkrar fyrirspurnir frá áhyggjufullum lesendum sem við ætlum að reyna að svara hér.
Við höfum áður fjallað um tæknifréttir af mbl.is t.d. hér, hér og hér.
Ég vil samt taka skýrt fram að undirritaður hefur ekkert út á upplýsta tækniumræðu að setja en mér þykir miður þegar bent er á áhættu án þess að benda á mögulegar úrbætur eða ráð til handa notendum.
Hvaða öryggisgalli er þetta?
Teymi öryggissérfræðinga fann galla í dulkóðunarstaðli sem heitir WPA2 eða Wi-Fi Protected Access 2 fyrir nokkru síðan en þessi galli gengur undir nafninu Krack. Þessi staðall hefur verið að ryðja sér rúms síðustu árin enda almennt talinn mun öruggari en t.d. WEP sem var fyrsta almenna dulkóðun sem notuð var á samskipti yfir WiFi. Sem sagt, með honum eiga samskipti milli tækis og routers að vera dulkóðuð og þannig varin.
Gallinn gerir óprúttnum aðila mögulegt að tengja sig við lokað þráðlaust net (dulkóðað með WPA2) og þannig framkvæmt MITM árás. Hann gæti þannig komið fyrir (inject´að) auglýsingum eða óværum á annars ósýktum vefsíðum sem notendur á viðkomandi þráðlausa neti eru að skoða. Það er reyndar sannað að viðkomandi getur bara sniffað pakka sem fara yfir HTTP en ekki HTTPS sem enn og aftur minnir okkur á að forðast vefsíður sem nota bara HTTP.
Hvaða tæki eru í áhættu
Það má segja að ef tækið þitt er með WiFi þá er það (var það) líklega opið fyrir Krack og þarf framleiðandi að loka á þennan galla ef hann er ekki búinn að því nú þegar.
Hvernig er hægt að misnota hann
Sá sem vill misnota sér þennan galla þarf að
- Vera í drægni við þráðlausa netið sem hann vill komast inn á.
- Vera ansi hæfur því það þarf töluverða þekkingu til að framkvæma þetta
Þetta er sem sagt mjög útbreidd óværa en góðu fréttirnar eru að það þarf einbeittan brotavilja og mikla þekkingu til að nota hana. Einnig er gott að muna að þráðlaus net draga yfirleitt ekki meira en 5-30 metra út fyrir vegg heimilisins og því áhættan mögulega óvægileg fyrir flesta notendur eða heimili.
Er þetta óvænt eða var gallinn þekktur?
Þessir öryggissérfræðingar létu alla helstu framleiðendur vita af þessum galla vel áður en hann var birtur í gær. Þetta var gert til þess að þessi fyrirtæki hefðu tækifæri til að útbúa viðbót sem lagaði þennan galla og eru fjölmörg fyrirtæki annað hvort búin að því eða eru með bót í prófunum.
Er ég í hættu?
Það fer eftir því hvar og hvernig þú notar þráðlaus net og hvað þú ert með af WiFi tækjum heima hjá þér. Ef þú notar fjölmenn þráðlaus net eins og á vinnustöðum, flugvöllum, skólum, kaffihúsum o.s.frv þar sem margir notendur eru, notendur sem þú þekkir ekki, þá ertu hvort eð er í hættu með að verða fyrir MITM árás. Ef þú notar 3/4G úti í bæ en WiFi heima hjá þér, þá er áhættan hverfandi nema að þú sjáir bíl fyrir utan hjá þér og einhvern með fartölvu þar. #álhattur
Hvað á ég að gera.
Uppfæra, uppfæra, uppfæra…. Þennan söng hef ég sungið síðustu árin og hann á aldrei betur við en núna. Það eru fjölmörg fyrirtæki búin að uppfæra og sem dæmi þá sendi Microsoft út uppfærslu 12. október sem ætti að loka á þennan galla en bótin ver Xbox, Windows Vista, 7, 10, og meira að segja Windows Phone. Aðaláhættan er fyrir Android notendur því þó svo að Google segist laga þetta á næstu vikum þá er ekki nema hluti símtækja sem munu fá þessa uppfærslu enda uppfærsluleysi eitt af aðalsmerkjum Android.
Apple eru búnir að senda út uppfærslu í iOS 11.1 (fyrir iOS, macOS, watchOS og tvOS) sem er reyndar enn í beta prófunum en mun verða aðgengilegt fyrir óbreyttan almúgan á næstu vikum. Unify eru búnir að uppfæra og svo fjölmargir aðrir. Það eru nokkrir sem halda úti lista yfir uppfærð tæki eins og t.d. ZDnet og Owen Willians sem má segja að sé góðkunningi okkar á Lappari.com.
Það er því engin þörf á því að fara í kerfi út af þessu og rífa routerinn þinn úr sambandi. Til að vera öruggari er óvitlaust að venja sig á að slökkva á router þegar heimilið er yfirgefið, fylgjast með bílum sem stoppa nálægt húsinu eða bara staðsetja router þannig að hann dragi sem minnst út fyrir húsið.
Anywho…. ég mæli með að við stoppum aðeins við og skoðum öll nettengd tæki sem við eigum og athugum hvort það sé komin uppfærsla. Þetta á við um tölvur, spjaldtölvur, farsíma, snjallsjónvörp, hljómtæki, myndavélar og önnur iOT tæki. Það er t.d. gert með því að fara á heimasíðu framleiðenda og skoða hvort það er komin uppfærsla fyrir búnaðinn eða nota uppfærsluhugbúnað sem oft fylgir með tölvunni/tækinu.
Þessu tengt, það veldur mér smá áhyggjum að ekkert símafyrirtækjanna á Íslandi hefur gefið neitt út varðandi þennan öryggisbrest en vonandi eru þeir að vinna í uppfærslu fyrir notendur sína. Varla ætla þeir að sitja af sér storminn og vona eftir því besta?
Uppfærsla
Síminn: Tilkynning hér
Vodafone: Tilkynningu hér