Turvaviga muutis ühe hoobiga ebaturvaliseks pea kõik WiFi-seadmed
Paari päeva eest raputas maailma teade, et laialt kasutatavas turvaprotokollis on viga, mis muutis ühe hoobiga haavatavaks praktiliselt kõik WiFi-seadmed. Nii on inimestel aeg harjuda, et erinevalt pärisloodusest, kus vesi on alati märg, ei tähenda parima turvalisusega lahendus kunagi parimat turvalisust, järeldab R2 tehnikakommentaaris Kristjan Port.
Mida üleüldse tähendab parim lahendus? Kuidas reageerida, kui keegi lubab sulle näiteks parimat turvalisust? Järsku peaks kehvade keskel piirduma sõnaga "parem", mitte absoluudile apelleeriva "parimaga". Kas ütleja mõtleb, et sa oled rumal, kes neelab taolise lubaduse alla või on ta seda ise?
Traadita andmeside ehk WiFi-protokoll on ebaturvaline. See pole saladus. Tegemist on kahe punkti vahel andmeid vahetava füüsilise ühendusega, mis ei hooli, kas seda võib näha keegi kolmas. WiFi-sideprotokolli saab muuta turvaliseks teisendades täiendava turvaprotokolli abil andmeid kõrvaltvaatajale kasutuks.
Andmete täiendav töötlemine nõuab aga palju arvutuslikku tööd. Seetõttu olid aastatetagused traadivaba side krüpteerimislahendused suhteliselt lihtsad. Andmepakettidele sisu kaitseks keerukama protokolli täiendavate andmete lisandumine ja töötlemine langetanuks selle kiirust oluliselt.
Esimeseks tuntud turvalise protokolliks sai WEP. Ümbertõlgituna tähendab traadiga sidega ekvivalentset turvalisust. Ootus oli õhueetris kolmandate osapoolte eest andmeid varjata, nagu kulgeks need vaid kahe osapoole vahelises virtuaalses traadis.
Kuid traate saab samuti pealt kuulata. Raudvara võimekuse kasvades muutusid lihtsamad krüpteerimisvõtted hõlpsalt dešifreeritavateks ja ebaturvalisteks. Siit siis esimene tähelepanek omaaegsetest lubadustest nn turvalise andmevahetuse jaoks kasutada WEP protokolli. WEP-i lahtimuukimine muutus nii tavaliseks, et näiteks kortermajas võõrasse võrku tungimisele kulus vabavaraliste vahenditega paar minutit.
Järgmiseks soovitas rahvusvaheline valdkondlik järelevalve organisatsioon WiFi Allianss kasutada "traadivaba kaitstud juurdepääsu" protokolli ehk lühidalt WPA. See oli esialgne kiire parandus, millega püüti lappida WEP-i probleeme. Natuke hiljem valmis tõhusamaks ja parimaks peetud WPA2 protokoll. Alates 2006. aastast kehtibki WiFi Allianssi poolt sätestatud nõue, et WiFi logo ei tohi kasutada seadmetel, mis ei kasuta WPA2 turvalisusprotokolli.
Lihtsustatult ümber öeldes võib seda turvalisuse protokolli käsitleda kui kahe salaagendi kindlalt kavandatud tegutsemist teineteise leidmiseks ja äratundmiseks, mille järel vahetavad nad salakirjas sõnumi. Ükski võõras ei tohiks üheski etapis märkamatult sekkuda ega nende sõnumit lugeda. Sõnumite krüpteerimiseks võis kasutada omakorda erinevaid algoritme. Üldiselt on turvalisusprotokollide lahtimõtestamine piisavalt keeruline ja ausale kodanikule mittevajalik. Peaasi, et töötab! Kuidas keegi teab, et töötab, tulenebki autoriteetse osapoole lubadustest.
Antud juhul lubasid seda nii WiFi Allianss kui ka eksperdid. Omal moel kinnitasid seda oma käitumisega kõik kodused ja ametkondlikud WiFi-side kasutajad kõikjal maailmas. Kahjuks osutub keeruline süsteem keeruliseks ka selle lõpliku turvamise osas. Nüüd siis selgubki, et tänu Belgia teadlastele leiti parima turvalisusega protokollist pea kõik WiFi-seadmed ühe hoobiga ebaturvaliseks muutev haavatavus.
Avastatud viga võimaldab kõrvalisel isikul lugeda kogu infot sõnumitest ja piltidest kuni online-poele edastatavate krediitkaardi andmeteni. Hädas on nii arvutid, tahvlid-telefonid kui ka Apple'i, Androidi, Windowsi kui ka Linuxi kasutajad. Ühesõnaga – kõik!
Mida teha? Kas peaks kõik seadmed minema viskama? Tasub karta, aga esialgu pole paanikaks alust vähemalt kahel põhjusel. Esiteks peab vastav häkker tahtma väga just sinu andmeid ja ta peab olema päris hea ettevalmistusega. Tõenäoliselt sihivad taolised isikud esialgu suurema kasupotentsiaaliga ettevõtluse võrke. Teiseks on kõik tarkvaravalmistajad asunud viga kõrvaldama. Osadesse seadmetesse arvutitest telefonideni on juba parandused edastatud.
Et aga WiFi-ühendusega seadmeid on aga väga palju, ruuteritest kodumasinateni, tasub nende omanikel tootja kodulehelt uurida, kas veaparandus on olemas. Võimalik, et kulub veel nädalaid, kuni saavutatakse piisavalt lai haare. Paraku jäävadki osa vanemaid seadmeid haavatavateks.
Veelgi põhimõttelisem oleks harjuda taolise tehnilise looduse reeglitega, sest erinevalt pärisloodusest, kus vesi on alati märg, ei tähenda parima turvalisusega lahendus kunagi parimat turvalisust. Osa sellest jääb alati sinu teha. Turvalisus ei saa olla parim, see saab vaid paraneda.
Esmaspäevast neljapäevani võib Kristjan Porti tehnoloogiakommentaari kuulda Raadio 2 saates Portaal.
Toimetaja: Jaan-Juhan Oidermaa
Allikas: "Portaal"