Představte si, že jedete po otevřené silnici, když hlavní silnici zablokuje kamion. Blokáda vás nutí jet oklikou přes jednosměrnou ulici, kde se vás zmocní lidé v neoznačené dodávce a zbaví vás vašich cenností.
Útok na odpojení Wi-Fi funguje v podstatě takto: cesta je vaše připojení k internetu, vaše auto je váš router, lidé v dodávce jsou hackeři a vaše cennosti jsou data uložená ve vašem telefonu. Jak tedy funguje disociační útok? Jak se můžete chránit?
Co je to disasociační útok?
Disasociační útok je kybernetický útok, kdy hacker přinutí zařízení, aby dočasně nebo na delší dobu ztratilo připojení k internetu. Jednu sekundu používáte internet a v další chvíli vaše připojení zmizí.
Váš telefon nebo notebook se pokusí znovu připojit jako obvykle, ale váš router bude nedostupný. Útok může být takový, kdy vás útočník chce jednoduše vykopnout ze sítě pro zábavu. Málokdy tomu tak však je. Většina disasociačních útoků je ze strany hackerů, kteří chtějí zisk.
A obvykle, když se v takovém případě vaše zařízení pokusí znovu připojit k routeru, bude se připojovat ke zlému dvojčeti (klonovanému) routeru, který útočník pro tento účel nastavil. Většina lidí si nevšimne rozdílu, když se připojí ke klonovanému routeru, ale jejich internetové aktivity budou útočníkovi viditelné.
Jak funguje disasociační útok?
Stejně jako všechny hacky jsou útoky na odpojení výsledkem toho, že kyberzločinci zneužívají bezpečnostní mezery nebo zranitelnosti v nastavení sítě. První z nich je obvykle součástí protokolu, na kterém technologie funguje – jak dochází k připojení Wi-Fi. Druhý případ je případ cíle využívajícího nezabezpečenou Wi-Fi nebo protokolu se slabým zabezpečením.
To znamená, že se pojďme ponořit do toho, jak by k hypotetickému disociačnímu útoku došlo. Obecně platí, že disociační útok probíhá ve dvou fázích.
Hacker najde směrovač a připojená zařízení
V oblasti s vysokým internetovým provozem by útočník musel identifikovat router, který má zaútočit, a také zařízení k němu připojená. Obvykle to dělají pomocí nástrojů pro sledování sítě.
Nástroje pro sledování sítě jsou většinou software – ale někdy i hardware – který monitoruje síťový provoz. Ty jsou volně dostupné na internetu pro spotřebitelské a obchodní použití. Správci společností obvykle používají tyto nástroje ke sledování využití šířky pásma zákazníků. Jde například o to, jak se kavárna dozví, že jste vyčerpali svůj volný 1 GB povolený prostor nebo že váš 30minutový přístup k bezplatné Wi-Fi vypršel.
Hackeři však používají síťové sniffery, aby získali informace, které mohou použít k zahájení útoku. Obecně hledají informace o původu a cíli datových paketů a použitém bezpečnostním/šifrovacím protokolu. Přesněji řečeno, chtějí také znát MAC adresu vašeho zařízení, IP adresy, standard Wi-Fi 802.11 a Bezpečnostní protokol Wi-Fi (WEP nebo WPA).
Hacker zahájí útok DoS (Denial of Service).
Vyzbrojen výše uvedenými informacemi pak může hacker zahájit svůj disasociační útok prostřednictvím úrovně MAC Denial of Service (DoS). Zde hacker odešle příval deautentizačních paketů, aby zachytil rámce pro správu vašeho routeru.
Tento útok způsobí odpojení připojeného zařízení. Poté, když se zařízení pokusí znovu připojit, může útočník zneužít kroky v protokolu opětovného ověření Wi-Fi k provedení útoku hrubou silou na heslo. Hacknutí tohoto hesla poskytne hackerovi přístup k vašim internetovým aktivitám.
Případně může hacker naklonovat váš router a zvýšit sílu signálu klonu. Když vaše zařízení vyhledá dostupné sítě, uvidí a připojí se k podvrženému směrovači namísto původního směrovače. V tomto případě budou hackerovi plně na očích i vaše internetové aktivity.
Jak se chránit před disasociačními útoky
Nemůžete zabránit hackerovi, aby se na vás zaměřil pomocí disasociačních útoků. Můžete však chránit soukromí své aktivity na internetu, udržovat soubory v počítači v bezpečí a dokonce odrazit útoky pomocí správného nastavení.
Zabezpečte svou Wi-Fi
Pro začátek byste měli povolit zabezpečení Wi-Fi a použít silné heslo. Vaše heslo Wi-Fi by mělo mít alespoň 16 znaků a mělo by se skládat z alfanumerických znaků.
Většina směrovačů a zařízení s připojením k internetu má také výchozí hesla Wi-Fi. Tyto informace může hackerovi poskytnout vyhledávání na webu. Zpravidla byste tedy měli na svých zařízeních vždy změnit výchozí hesla.
Falšujte svou MAC adresu
Není to legrace, ale zvažte, že byste si to mohli podvrhnout MAC adresa. Spoofing vaší MAC adresy není absolutní zárukou, ale pro hackera bude ještě těžší vyrovnat se proti vám disociačním útokem. Možná dokonce dost těžké na to, aby to hacker vzdal.
Existují dva způsoby, jak podvrhnout MAC adresu na Linuxu: pro začátečníky a pokročilé uživatele. Mezitím proces falšování MAC adresy na Windows je mnohem snazší sledovat. Stejně tak proces není složitý na zařízeních macOS buď.
Použijte VPN
VPN šifruje obsah vašeho internetového provozu, takže ho nikdo, kdo slídí, nevidí. Způsob, jakým VPN funguje, si můžete představit jako jízdu tunelem, abyste se vyhnuli vrtulníku. Přestože VPN nemůže zabránit dissociačnímu útoku, může skrýt obsah vašich datových paketů před hackery v síti.
Používejte antivirový software
Kromě zabezpečení Wi-Fi a používání VPN zvažte také použití antiviru a aktualizaci definic virů. Windows je dodáván s a výchozí ochranný software, Windows Defendera je dost dobrý na to, aby vás ochránil před většinou hrozeb. Počítače MacOS mají také nativního obránce.
Pro začátek byste měli zvážit aktivaci této vrstvy ochrany, i když byste raději použili antivirus třetí strany. Tímto způsobem získáte ochranu před malwarem, který se hacker může pokusit nainstalovat do vašeho systému.
Zašifrujte svůj počítač
Zabezpečení Wi-Fi lze prolomit. VPN není neomylná a ani antivirus nezaručuje absolutní ochranu. Měli byste tedy zvážit i šifrování zařízení.
Tímto způsobem budou vaše soubory k ničemu hackerovi, který unese váš počítač a ukradne vaše soubory. Nastavení šifrování na vojenské úrovni na vašem počítači se systémem Windows je docela snadné a celý proces může trvat několik minut až několik hodin, v závislosti na tom, kolik místa na disku potřebujete zašifrovat.
Použijte směrovač, který podporuje bezpečné standardy Wi-Fi
802.11w je standard Wi-Fi navržený s vylepšeným zabezpečením rámců pro správu. Směrovače vybavené tímto standardem jsou odolné vůči disasociačním útokům.
Ačkoli tento protokol existuje, jen málo spotřebitelského hardwaru podporuje standard Wi-Fi. Místo toho zvažte použití routeru s 802.11ax (aka Wi-Fi 6), protože ty mají lepší zabezpečení bez obětování zpětné kompatibility se zařízeními, která používají starší standardy.
Získejte bezdrátový systém prevence narušení (WIPS)
WIPS jsou účinné při předcházení disasociačních útoků, ale jejich instalace a údržba je nákladná, takže jsou pro jednotlivce nedostupné. Pokud byste stále raději získali WIPS, zvažte produkty jako Cisco Adaptive Wireless IPS, Aruba RFProtect a AirTight WIPS.
Přepněte na Ethernet
Toto je spíše poslední možnost, ale přesto je to účinné opatření k zabránění útokům na oddělení. Kvůli způsob, jakým Ethernet funguje, je bezpečnější, i když práce s ním je ve srovnání s bezdrátovým připojením méně příjemná. Nastavení používá spoustu kabelů, a budete je muset udržovat v pořádku. To je však dobré, pokud chcete odstranit bezpečnostní mezery a zranitelnosti v bezdrátových připojeních.
Hacker by musel k síti připojit fyzické zařízení, aby provedl útok, což znamená, že by se musel dostat do vašeho domova nebo kanceláře. Pokud to uděláte, pravděpodobně zanecháte stopu důkazů a zvýšíte šance hackera na dopadení. Většina hackerů by raději našla jednodušší cíle, než aby riskovala dopadení.
Disasociační útoky: více než pouhá obtíž
Nezáleží na tom, jestli jste doma nebo v hotelu. Odříznout se od internetu není pro nikoho příjemným zážitkem. Ještě horší je, že nebudete vědět, že jste se stali terčem disasociačního útoku. Většina lidí by si myslela, že je to chyba sítě. Ve skutečnosti je pro většinu lidí obtížné odhalit útoky na oddělení a zabránit jim. Přesto je možné snížit dopad útoku nebo dokonce vyjít nezraněn.
