Nejnovější globální bezpečnostní průšvih má jméno KRACK - Key Reinstallation Attacks. Jedná se o systémovou zranitelnost ve wi-fi klientech s podporou WPA2. Pokud dnes provozujete zabezpečenou wi-fi, téměř s jistotou používáte pro ověřování klientů protokol WPA2 (starší protokoly, jako WEP nebo WPA jsou děravé už dávno). V domácích sítích se většinou používá WPA2-Personal a ve firemních WPA2-Enterprise s možností autentizace pomocí certifikátů.   

Mathy Vanhoef objevil systémovou zranitelnost, která umožňuje všechny varianty WPA2 přelstít. Ve fázi přihlašování zařízení k síti lze zařízení vnutit útočníkem vybraný klíč (zjednodušeně řečeno, podrobnosti najdete na výše uvedeném odkazu). Útočník pak dokáže odposlouchávat a za jistých okolností modifikovat síťovou komunikaci oběti.
 
V současnosti jsou nakažené prakticky všechny existující platformy, přičemž útok je obzvláště devastující na Linuxu a Androidu. Jedná se o problém na straně zařízení, která vystupují jako klienti, tj. je nutné čekat na aktualizace operačních systémů v počítačích mobilech, tabletech a podobně.

Nejedná se principiálně o problém v routerech, přístupových bodech a podobně, i když i ty mohou být postiženy, vystupují-li (též) v roli klienta.
 
Co to v praxi znamená? V současné době nelze provozovat bezpečnou wi-fi síť. Nic lepšího než WPA2 k dispozici nemáme a v dohledné době mít nebudeme. Je třeba vyčkat aktualizací klientů, které se ale v případě mnoha zařízení (zejména různé laciná řešení s Androidem) nikdy nedočkáme.
 
Situace ovšem není tak katastrofická, jak by to na první pohled mohlo vypadat a není třeba propadat panice. Zabezpečení na úrovni sítě je dosti nespolehlivé už z principu a nevyplatí se na něj spoléhat v žádném případě.  Komunikace je v ohrožení pouze v případě, že probíhá běžnými, nešifrovanými aplikačními protokoly, jako je HTTP. Důležitá komunikace by měla probíhat po šifrovaných protokolech, jako je HTTPS, a je-li implementována správně, útočník má smůlu.
 
Tento útok nevede k vyzrazení nebo "prolomení" hesla pro přístup k síti, je veden o vrstvu níže, útočí se na vytváření dočasného klíče, který se používá pro vlastní komunikaci. Nemá tedy cenu měnit hesla vašich sítí, útok je na nich zcela nezávislý. Pokud chcete přijmout nějaká opatření, pak pomůže buďto wi-fi nepoužívat vůbec (než bude pro vaši platformu dostupná aktualizace), nebo pro komunikaci důsledně využívat šifrovaných protokolů, případně VPN. Pokud jde o VPN, v minulosti jsme pro vás připravili návod, jak si rozjet vlastní VPN server v cloudu pomocí projektu Streisand.

HTTPS

Když už byla řeč o HTTPS, v minulé Bezpečnostní svodce jsme informovali o tom, proč je špatně, že jej na svém oficiálním webu nepodporuje Policie ČR a proč jsou její zdůvodnění dost zmatená. Na zdvořilý dotaz Bezpečnostní svodky byla doručena (po urgenci dokonce elektronicky) též zdvořilá, leč dosti vyhýbavá odpověď. Policejní prezídium prý nemá k dispozici informace týkající se jím prezentovaných výroků a odkazuje nás na ministerstvo vnitra. Odpověď pokládáme za vyhýbavou a podáme v této věci stížnost, stejně jako se pro jistotu optáme ministerstva. O dalším vývoji v této věci budeme čtenáře bezodkladně informovat. Dobrá zpráva je, že po našem dotazu alespoň zmizela stránka, která vypadala jako vstup do administračního rozhraní webu.

Wi-fi v lanovce

V Praze se rodí další ICT tunel: wi-fi v lanovce na Petřín. Vyjde bratru na 2,3 milionu. V porovnání s OpenCard a dalšími IT průšvihy státu a Prahy jsou to v podstatě drobné, ale člověka z oboru ta cena přece jenom poněkud zarazí. Zarazí i pohled do dokumentace veřejné zakázky. Parametry požadovaných zařízení jsou absurdně nadsazené, odpovídající síti pro tisíce až desetitisíce klientů s garantovanou propustností, ne free wi-fi pro pár desítek pasažérů lanovky.
 
Wi-fi v petřínské tramvaji je typickou ukázkou "smart cities" po česku. Projekt věcně nesmyslný a absurdně předražený. Wi-fi v lanovce nemá žádný zásadnější smysl. Lanovka jezdí po povrchu, v centru města, v oblasti dobře pokryté mobilním signálem. Kdokoliv se může připojit přes mobilní síť. Doba jízdy lanovkou je navíc poměrně krátká a pasažér si tedy wi-fi moc neužije.
 
Pokud se požadavků a ceny týče, tak se zde hodí příměr "s kanónem na vrabce". Požadované parametry jsou naprosto nepřiměřené a nejspíše napsané na míru konkrétním (drahým) zařízením od Cisca. Když už bychom mermomocí chtěli pokrývat lanovku, šlo by to zvládnout podstatně laciněji se stejně kvalitním výsledkem - možná i řádově laciněji.

Bohužel, "smart cities" v podání českého komunálu je představují vesměs jenom další příležitost, jak
rozházet veřejné peníze vybrané na daních.