最近的一个WiFi漏洞影响当前所有 WiFi 连接(无论是家庭中还是公共 WiFi 热点)的这一现象正在引起世界各地的恐慌。该漏洞被称为 KRACK,它允许黑客绕过WPA2 加密保护 WiFi 连接。
KRACK 的结果是,任何 WiFi 连接都可以被拥有适当技能的黑客渗透。这意味着从设备传输的所有数据 - 包括密码、凭据、登录详细信息、信用卡信息和任何其他敏感数据 - 都可以被黑客拦截。
WPA2 是 WiFi 加密的行业标准。这是我们拥有的最好的东西,但它已经破碎了。 KRACK 漏洞允许黑客解密实际的 WiFi 信号。这使得除 HTTPS、虚拟专用网络 (VPN) 加密和其他形式的端到端加密(例如 Tor 和 Frex)之外的所有内容都容易受到攻击。
事实上,即使网站使用 HTTPS(除非将其配置为始终使用 HTTPS),黑客也可能通过多种方式利用 KRACK 劫持您的流量。始终使用 HTTPS 的配置称为 HSTS,不幸的是,它的使用并不广泛。但是,只要您确保连接到正确的网址并且可以看到关闭的挂锁图标(在浏览器地址窗口中),您就应该是安全的。
VPN 是解决该问题的绝佳方案。毕竟,市场上有一些优秀的 VPN,每年的费用约为 70 美元。考虑到 VPN 提供的安全和隐私级别,这只是一个小数目 - 几乎不会倾家荡产。
然而不幸的是,如果您计划使用 VPN 来保护自己免受 KRACK 攻击,则需要记住一个重要的考虑因素。您会看到,虽然 VPN 确实是保护自己免受 KRACK 侵害的最佳方式,但该规则有一个例外。
KRACK 的工作原理
当数据在设备和路由器之间通过 WiFi 无线电波传输时,KRACK 会破坏数据的 WPA2 加密。这意味着安装在路由器上的 VPN 可能无法保护您免受 KRACK 的侵害。这很重要,因为目前许多人使用直接加载(或“刷新”)VPN 客户端的路由器来保护他们的网络。
在 KRACK 被发现之前,使用 VPN 刷新路由器被认为是保护所有连接到网络的设备的最佳方法。这是因为在路由器级别对数据到达和离开网络时进行加密和解密可以保护网络上的每个设备(包括智能手机、平板电脑、笔记本电脑、个人电脑、智能电视和任何其他连接的设备)。结果是,所有网络数据在从路由器传入和传出互联网时都被安全加密。
仍然脆弱
KRACK 漏洞的性质意味着靠近路由器的黑客可以拦截从路由器传输到其网络上的设备的流量。不幸的是,对于使用直接安装在路由器上的 VPN 的人来说,他们的数据在此阶段已经被 VPN 软件解密。
这很令人不安,因为习惯于依赖直接安装在路由器上的 VPN 的人们现在可能生活在错误的安全感之下。警告很明确:安装在路由器上的 VPN 位于链中的错误位置,以有效保护您免受 KRACK 漏洞的侵害。
可供选择
对于使用闪存路由器保护设备的人来说,了解是否有可用更新来修补漏洞非常重要。好消息是两个最流行平台(DD-WRT 和 Open-WRT)的开发人员已经发布了修复程序。我联系了 FlashRouters.com 以了解消费者应该做什么。该公司的发言人告诉我:
“DD-WRT 和 OpenWRT 很快就修复了这个漏洞,这说明了为什么它们是值得信赖的首选固件选项,而其他供应商的响应速度较慢且延迟,尤其是旧型号。我们认为,DD-WRT 做得很好,继续为各种路由器型号注入活力,增强功能和安全性,从最初的老式 WRT54G 到顶级 Wireless-AD Netgear R9000。”
遗憾的是,并非所有路由器都会运行这两种类型的固件,因此消费者需要了解自己的路由器型号和固件类型。如果有更新可以修复 KRACK 漏洞,那么您很幸运。插入后,您可以继续在路由器级别使用 VPN,并且您家中的所有设备都将受到保护。
“Krack 更新已经可用,我们已经通过向 FlashRouter 用户发送路由器版本来回答他们的请求。客户和感兴趣的用户也可以通过以下方式与我们联系:了解其具体案例的最新信息。由于我们已经支持并继续支持的设备数量众多,我们没有任何适合实际固件构建的答案,因为每个设备都需要基于其芯片组的自己的构建,并且我们不会维护以前客户的电子邮件列表,除非他们在购买时选择加入。”
接入点 (AP) 解决方法
FlashRouters 承认该解决方案并不适用于所有人,有些人可能会等待很长时间才能获得补丁。幸运的是DD-WRT网站表示启用“禁用 EAPOL 密钥重试”设置是许多人的一个选择:
“针对密钥重新安装攻击 (KRACK) 的 AP 端解决方法,此选项可用于缓解站端(路由器)上的 KRACK,以帮助保护不再接收更新或接收更新非常缓慢的客户端设备。由于许多设备不会很快收到更新(如果有的话),因此包含此解决方法是有意义的。
“不幸的是,这可能会导致互操作性问题并降低密钥协商的稳健性,因此默认设置为禁用。当前版本(比 r33555 更新)上不需要此解决方法,并且如果您知道您的客户端设备已更新以在其上修补 KRACK,或者如果该漏洞不会打扰您。KRACK 已在 AP 模式和工作站模式(客户端/客户端桥/WDS)下的 DD-WRT 中“正确”修复。”
直接安装在设备上的 VPN
有效防御 KRACK 的最简单方法是在设备级别安装 VPN。这可确保在数据通过无线电波传输到路由器之前进行 VPN 加密。此外,大多数高级 VPN 允许将服务安装在 3 到 6 台设备上。这就是不得不说:
“目前通过 Wi-Fi 保护互联网连接的最佳、最简单的方法是使用 VPN。即使您连接到公共 Wi-Fi,VPN 也将始终保证您通过 Wi-Fi 发送的任何数据都是私密且安全的。如果您过去使用过 VPN,则意味着即使在该错误众所周知之前,您的数据也是安全的。”
建议任何担心自己的 WiFi 可能被黑客入侵的人获取2018 年最佳 VPN立刻。任何已经在路由器上使用 VPN 的人,或者想要为自己的家设置安全的 DD-WRT(保护所有设备免受 KRACK 攻击,而不是必须在所有设备上安装 VPN)的人都可以联系有关如何进行的建议。