في أكتوبر 2017 ، اتضح بشكل غير متوقع أن هناك ثغرة خطيرة في بروتوكول الوصول المحمي بتقنية Wi-Fi II (WPA2) لتشفير حركة مرور Wi-Fi ، والذي يسمح بالكشف عن كلمات مرور المستخدم ثم الاستماع إلى تبادل بيانات الضحية. تم تسمية الثغرة الأمنية KRACK (اختصار لـ Key Reinstallation Attack) وتم تحديدها من قبل الخبراء Mathy Vanhoef و Eyal Ronen. بعد اكتشاف ثغرة KRACK ، تم إغلاقها بالبرامج الثابتة المصححة للأجهزة ، وكان بروتوكول WPA2 ، الذي حل محل WPA3 العام الماضي ، قد نسي تمامًا مشكلات الأمان في شبكات Wi-Fi.
للأسف ، اكتشف نفس الخبراء نقاط ضعف لا تقل خطورة في بروتوكول WPA3. لذلك ، من الضروري مرة أخرى الانتظار والأمل في الحصول على برامج ثابتة جديدة لنقاط الوصول اللاسلكية والأجهزة ، وإلا فسيتعين عليك التعايش مع معرفة ضعف شبكات Wi-Fi المنزلية والعامة. تُعرف نقاط الضعف الموجودة في WPA3 مجتمعة باسم Dragonblood.
تكمن جذور المشكلة ، كما كان من قبل ، في تشغيل آلية الاتصال أو ، كما يطلق عليها في المعيار ، "المصافحة". تسمى هذه الآلية في معيار WPA3 اليعسوب (اليعسوب). قبل اكتشاف Dragonblood ، كان يعتبر جيدًا. إجمالاً ، تضمنت حزمة Dragonblood خمسة متغيرات من نقاط الضعف: رفض الخدمة ، واثنتان من نقاط الضعف مع انخفاض في حماية الشبكة (الرجوع إلى إصدار أقدم) واثنتين من نقاط الضعف مع هجوم على القنوات الجانبية (القناة الجانبية).
لا يؤدي رفض الخدمة إلى تسرب البيانات ، ولكنه قد يكون حدثًا مزعجًا للمستخدم الذي يفشل بشكل متكرر في الاتصال بنقطة وصول. تسمح الثغرات الأمنية المتبقية للمهاجم باستعادة كلمات المرور لتوصيل المستخدم بنقطة وصول وتعقب أي معلومات مهمة للمستخدم.
تسمح لك هجمات تخفيض مستوى الشبكة بفرض التبديل إلى إصدار أقدم من بروتوكول WPA2 أو إلى متغيرات أضعف من خوارزميات تشفير WPA3 ، ثم متابعة القرصنة باستخدام الطرق المعروفة. تستغل هجمات القنوات الجانبية خصائص خوارزميات WPA3 وتنفيذها ، مما يسمح في النهاية أيضًا باستخدام طرق تكسير كلمات المرور المعروفة سابقًا. اقرأ المزيد هنا. يمكن العثور على مجموعة أدوات الثغرات الأمنية Dragonblood على هذا الرابط.
تم إطلاع Wi-Fi Alliance ، المسؤول عن تطوير معايير Wi-Fi ، على نقاط الضعف الموجودة. يُذكر أن مصنعي الأجهزة يعدون برامج ثابتة معدلة لسد الثغرات الأمنية المكتشفة. استبدال وإعادة المعدات غير مطلوب.
المصدر: 3dnews.ru