Dziura w eterze

Specjaliści z ISAAC odkryli lukę w systemie zabezpieczeń zastosowanym w standardzie bezprzewodowej łączności IEEE 802.11.

Grupa badawcza Internet, Security, Applications, Authentication and Cryptography (ISAAC) z uniwersytetu w Berkeley poinformowała o odkryciu poważnej luki w systemie zabezpieczeń Wired Equivalent Privacy. WEP to 40-bitowy algorytm używany do szyfrowania transmisji w standardzie IEEE 802.11. Zapewnia bezprzewodową łączność z prędkością 10 Mb/s. Standard ten jest coraz powszechniej używany do radiowej komunikacji pomiędzy komputerami a drukarkami czy bezpośrednio między komputerami. Ogromne ułatwienia, jakie niesie zastosowanie IEEE 802.11, powodują, iż standard ten staje się alternatywa dla przewodowych sieci LAN.

W raporcie ISAAC, który został umieszczony w Internecie, wymieniono jednak poważne zagrożenia jego dalszego zastosowania. Możliwe jest bowiem skonstruowanie sprzętu podsłuchującego i oprogramowania deszyfrującego kod WEP. Taka aplikacja (snifer) umieszczona w centrali firmy mogłaby zbierać wszystkie poufne informacje i przekazywać je hakerom. Każdy komputer wysyłający informacje w eter stawałby się dziurą w systemie zabezpieczeń przedsiębiorstwa. W niepowołane ręce mogłyby trafić plany firmy, hasła czy numery kart kredytowych. Nie byłoby potrzeby włamywać się do żadnego systemu, a tym samym niemożliwe stałoby się wykrycie takiego podsłuchu.

John Pescatore, analityk systemów bezpieczeństwa z firmy Gartner Group, oświadczył: " Za kilka miesięcy powstaną gotowe skrypty wykorzystujące tę lukę. Wtedy każdy nastolatek z takim programikiem stanie się zagrożeniem dla największych koncernów". Do czasu opracowania przez producentów łat lub nowego systemu zaleca szyfrowanie bezprzewodowej komunikacji kluczami 128-bitowymi i stosowanie sieci wirtualnych VPN.

Obecnie dwaj najwięksi producenci urządzeń korzystających z tego "dziurawego standardu" wprowadzają szyfrowanie automatyczne. Opracowany przez Lucent Technologies system Orinoco wykorzystuje układy generujące klucz szyfrujący, osobny dla każdej sesji połączeniowej. Cisco Systems również zamierza wprowadzić techniki "podwyższania bezpieczeństwa", jednak na razie nie podano szczegółów.

Więcej informacji:

www.isaac.cs.berkeley.edu/isaac/wep-faq.html