Krack是安全研究員Mathy Vanhoef最近發(fā)現(xiàn)的一個安全漏洞。此安全漏洞可能會危及數(shù)十億使用 WPA 和 WPA2 協(xié)議的 Wi-Fi 網(wǎng)絡(luò)用戶。今天的文章將非常詳細(xì)地闡明 KRACK,并提供有關(guān)如何保護(hù)自己免受這一最新安全漏洞侵害的提示。
KRACK 代表密鑰重新安裝攻擊,是最新的安全漏洞,它使數(shù)十億臺設(shè)備暴露在黑客面前,使他們能夠完全訪問用戶的網(wǎng)絡(luò)流量。這個漏洞不僅僅是網(wǎng)絡(luò)安全中的另一種弱點,因為該漏洞存在于 Wi-Fi 網(wǎng)絡(luò)本身,而不是因為產(chǎn)品或技術(shù)實施中的任何缺陷。
其巨大影響的程度在未來幾周內(nèi)仍有待了解,物聯(lián)網(wǎng) (IoT) 設(shè)備被認(rèn)為是其中最脆弱的設(shè)備。這是因為物聯(lián)網(wǎng)制造商經(jīng)常忽視采用安全標(biāo)準(zhǔn)和/或更新他們的系統(tǒng),導(dǎo)致更多未打補丁的物聯(lián)網(wǎng)設(shè)備面臨安全漏洞。
KRACK 是如何工作的?
任何基于 iOS、Android、macOS、Windows 和 Linux 的設(shè)備都可能容易受到這種攻擊,只要它連接到 Wi-Fi 即可。那么它是怎樣工作的?首先是黑客設(shè)置一個 Wi-Fi 網(wǎng)絡(luò),該網(wǎng)絡(luò)與分配給特定用戶使用的無線網(wǎng)絡(luò)的 SSID 相同。
一旦黑客檢測到用戶試圖連接到任何一個無線網(wǎng)絡(luò),它就會通過發(fā)送特殊數(shù)據(jù)包來攔截網(wǎng)絡(luò),這些數(shù)據(jù)包將設(shè)備轉(zhuǎn)移到另一個網(wǎng)絡(luò),在那里他們可以解密流量——為惡意活動的發(fā)生鋪平了道路。
黑客根本不需要連接到無線網(wǎng)絡(luò)。他們只需要窺探通過 Wi-Fi 傳輸?shù)慕饷軘?shù)據(jù),而不管它是否受密碼保護(hù)。本質(zhì)上,此漏洞不會嘗試破解 WI-Fi 密碼。相反,它會更改加密密鑰來解密網(wǎng)絡(luò)流量,從而允許它訪問用戶的數(shù)據(jù),如信用卡號、電子郵件和密碼。
幸運的是,KRACK 實施起來并不那么簡單,因為黑客需要在 Wi-Fi 網(wǎng)絡(luò)范圍內(nèi)。您不能遠(yuǎn)程執(zhí)行它,這與以前的安全漏洞(如 Heartbleed)不同。因此,降低了普通人成為 KRACK 可能目標(biāo)的風(fēng)險。
如何保護(hù)自己免受 KRACK 侵害?
大多數(shù)運行在 iOs、Android、Windows 和 Linux 上的設(shè)備已經(jīng)開始發(fā)布新的安全補丁。確保您的設(shè)備始終保持最新狀態(tài)。以下是讓您的數(shù)據(jù)遠(yuǎn)離 KRACK 的其他提示:
使用VPN
虛擬專用網(wǎng)絡(luò)增加了另一層安全性,其工作方式類似于對從您的設(shè)備傳輸?shù)臄?shù)據(jù)進(jìn)行加密的隱藏隧道。大型公司通常使用 VPN 作為遠(yuǎn)程連接到其數(shù)據(jù)中心時保護(hù)通信的方法。
越來越多的個人用戶越來越多地采用它,尤其是在從不安全的環(huán)境(咖啡廳、機場或酒店 Wi-Fi)訪問 WIFI 時。它結(jié)合使用加密協(xié)議和專用連接來創(chuàng)建 P2P 連接。因此,即使有人能夠匯集一些數(shù)據(jù),由于加密,他們?nèi)匀粺o法訪問它們。
檢查 HTTPS
查看您正在瀏覽的網(wǎng)站的地址欄上是否有綠色鎖圖標(biāo)。這表明該網(wǎng)站運行于HTTPS(一種安全的 HTTP 版本),一種用于在瀏覽器和網(wǎng)站之間傳輸數(shù)據(jù)的協(xié)議。它表明連接是安全的。
它結(jié)合了普通的 HTTP 和 SSL(安全套接字層)和/或 TSL 協(xié)議。SSL 和 TSL 都運行一個非對稱公鑰基礎(chǔ)設(shè)施系統(tǒng),允許識別和分發(fā)公共加密密鑰。SSL 對計算機和服務(wù)器之間交換的數(shù)據(jù)進(jìn)行加密,使黑客難以攔截。
保持設(shè)備始終更新
檢查您的設(shè)備是否有固件更新,并確保在可用時盡快安裝它們。雖然產(chǎn)品和技術(shù)可能會繼續(xù)發(fā)展,但它們?nèi)赃h(yuǎn)非完美。很多時候,軟件系統(tǒng)都會存在一些漏洞。第三方發(fā)現(xiàn)并利用它們只是時間問題。像谷歌和蘋果這樣的科技巨頭經(jīng)常會要求他們的員工入侵他們的系統(tǒng),目的是發(fā)現(xiàn)和解決惡意黑客可以利用的任何漏洞。即使移動應(yīng)用程序可能不提供除錯誤修復(fù)之外的任何新功能,它仍然值得更新,因為這可以防止您的設(shè)備將來被黑客入侵。
使用 HTTPS 保持安全
在 Vodien,我們不僅僅希望最好。我們將每一個安全威脅都放在首位,并確保我們的客戶充分了解情況并防范 KRACK 等任何安全漏洞。 使用我們經(jīng) Thawte 認(rèn)證的 SSL 證書,您的網(wǎng)站在根級別受到多達(dá) 256 位數(shù)據(jù)的加密保護(hù),免受數(shù)據(jù)欺騙、網(wǎng)絡(luò)釣魚和其他惡意活動的侵害。在為時已晚之前保護(hù)您的訪客免受下一次網(wǎng)絡(luò)攻擊。單擊鏈接了解 SSL 如何使您的網(wǎng)站受益并提高客戶的信任度和信心。
