WPA2 protokolas buvo laikomas saugiu beveik 13 metų. Bent jau iki šio savaitgalio, kai šiame protokole buvo atrastos kelios saugumo spragos, dėl kurių programišiai gali stebėti visą informacijos srautą tarp „Wi-Fi“ maršrutizatorių ir prie jų prijungtų įrenginių. Pažeidžiamumas buvo pavadintas KRACK vardu (angl. Key Reinstallation AttaCK).
Pasak išmanios namų ugniasienės „Cujo“ kūrėjų, interneto vartotojams neverta nerimauti – tereikia imtis kelių svarbių dalykų, kad apsaugotų savo duomenis.
Vartotojams patariama:
- Nesijungti prie neapsaugotų viešų „Wi-Fi“ tinklų;
- Saugiam prisijungimui naudoti VPN;
- Lankytis tik svetainėse, kurių adresas prasideda https://
- Atnaujinti maršrutizatorių programinę įrangą;
- Įdiegti visų išmaniųjų įrenginių, įskaitant išmaniuosius telefonus, naujinimus – šiuos jau išleido „Microsoft“ ir „Apple“;
- Po įrenginių sistemų atnaujinimo rekomenduojama pakeisti „Wi-Fi“ slaptažodžius į sudėtingesnius – slaptažodžių pakeitimas neištaisys pažeidžiamumo, tačiau tai rekomenduojama kaip papildoma apsauga;
- Patikrinti, ką siūlo pažeidžiamo maršrutizatoriaus gamintojas. WPA2 protokolo spragas turinčių įrenginių gamintojų sąrašą galima rasti čia: https://www.kb.cert.org/vuls/byvendor?searchview&Query=FIELD+Reference=228519&SearchOrder=4
Tuo tarpu „Microsoft“, „Lenovo“, „Google“ ir kiti gamintojai įspėja savo klientus apie panašią saugumo spragą ROCA (angl. Return of Coppersmith’s Attack). Pasak saugumo ekspertų, ROCA yra blogiau nei KRACK pavadintas WPA2 protokolo pažeidžiamumas.
ROCA pažeidžiamumas gali apsimesti RSA raktų savininku, iššifruoti duomenis, įterpti kenkėjišką programą ar kitaip pažeisti asmeninius bei finansinius vartotojų duomenis. Iš esmės, ši saugumo spraga yra susijusi su SSL sertifikato, kuris papildomai saugo vartotojų privatumą internete, rakto „nulaužimu“.
Pasak programinės įrangos platintojos „Baltimax“, ROCA saugumo spraga gali būti panaudota globaliu mastu, tuo tarpu WPA2 pažeidžiamumas tėra vietinės reikšmės.
„SSL sertifikato spraga leidžia programišiams iššifruoti privačius susirašinėjimus, el. laiškus ir kitą šifruojamą komunikaciją internete. Nors šiuo metu tokiam rakto nulaužimui prireiktų ne vienerių metų, tai yra tik laiko klausimas, kada programišiai pasitelks galingesnius resursus“, – komentuoja „Baltimax“ pardavimų vadovas Deividas Pelenis.
Programinės ir techninės įrangos gamintojai rekomenduoja vartotojams nedelsiant atnaujinti naudojamus įrenginius susidiegiant kritines saugumo spragas ištaisančius naujinimus.