Blog
Wi-Fi aneb Wireless Fidelity
Bezdrátové sítě se v současnosti používají na všech možných místech. Jedná se o snadnou instalaci spojení, které je dostupné pro každého (doopravdy pro každého) v dané lokalitě, aniž by bylo nutné zajišťovat pracně instalaci kabelových rozvodů. Tedy, téměř dokonalá technologie spojení. Ale jaké jsou hrozby, tedy zvláště reálné hrozby pro tento způsob komunikace?
Vysílací výkon a základní vlastnosti komunikační trasy
Prvním a základním problémem bezdrátové technologie je vlastní přenosové médium. Díky vysílání elektromagnetických
vln je tak možným příjemcem kdokoliv, kdo dokáže signál zachytit a má odpovídající technologii pro jeho příjem.
Jedinou ochranou před neoprávněným přístupem do sítě je tak pouze kvalitní kryptografie.
Wi-Fi sítě dle generace obsazují pásma definovaná IEEE standardy. Jedná se o frekvenční oblasti okolo 2,4GHz,
5GHz, 6GHz a 60GHz. Pásma 2,4GHz a 5GHz patří mezi ISM (Industry, Scientific, Medical), tedy frekvence volně
použitelné. Na frekvenci 2,4GHz pracují i další technologie, jako je Bluetooth, ZigBee, ZWave a některé další
technologie pro LAN nebo PAN komunikaci (PAN znamená Personal Area Network, zpravidla nositelná elektronika).
Mimo uvedených technologií zde pracují i mikrovlnné trouby, protože kmitočty okolo 2,4GHz jsou hodně pohlcovány
vlhkostí. U frekvencí 5GHz a 6GHz dochází k pohlcování i dalšími materiály, jako je například zdivo, ale nejvyšší
vliv na útlum má opět vlhkost. Jedná se o vliv silné dielektrické relaxace vodních molekul. V překladu, voda má
své póly a snaží se vnějšímu elektrickému poli přizpůsobit. Protože to díky vysoké frekvenci nestihne, část
energie pohltí a využije na překonání vazby s ostatními molekulami, tedy se zahřeje. Pro frekvenci 60GHz je
situace odlišná, zde vlhkost nehraje roli. Díky vysoké frekvenci musí být mezi vysílačem a přijímačem přímá
viditelnost. Protože je ale tento kmitočet v rezonančním pásmu molekuly kyslíku, dochází zde k výraznému
útlumu a to až 15dB/km.
Pro uvedená frekvenční pásma jsou vysílací výkony omezeny zpravidla lokálními zákony. Výkon se udává jako EIRP
(Equivalent Isotropically Radiated Power), tedy ekvivalent stejnoměrně vyzářeného výkonu všesměrovou anténou.
Většinou ale platí přibližně následující pravidla:
- Pásmo 2,4GHz (ISM) má omezení vysílacího výkonu na 250mW EIRP, v Čechách 100mW. Uvedené komunikační pásmo má šířku zhruba 82MHz.
- Pásmo 5 GHz (ISM) má omezení vysílacího výkonu na 250mW EIRP, v Čechách 200mW. U části frekvencí v rozsahu 5,4GHz až 5,7GHz je sice povolený vyšší maximální výkon, ale musí podporovat funkci DFS. Jinak by mohlo dojít k rušení radarových systémů letišť. Jedná se o kanál o šířce přibližně 300MHz z celkových přidělených 500MHz.
- Pásmo 6GHz (ISM) má omezení vysílacího výkonu na 1000mW EIRP (1W). Komunikační pásmo má šířku 1200MHz.
- Pásmo 60GHz (V-Band) má omezení vysílacího výkonu na 1000mW EIRP (1W).
Z hlediska propustnosti záleží na šířce vlastního kanálu, těch může být pro určité pásmo několik. Zpravidla
se používají rozsahy 20MHz do rychlosti 150 Mbps, 40MHz do 300Mbps, 80MHz do 600Mbps a 160MHz do 1200Mbps.
Jedná se o maximální propustnost, nikoliv o stabilní rychlost. Tato propustnost klesá s počtem sítí a objemem komunikace
na jedné frekvenci. Důvodem je jejich vzájemné rušení, protože sítě a jejich přenosy o tato pásma soupeří. Další
problémy s propustností nastávají uvnitř sítě, kde o přístup k médiu může mít zájem několik klientů současně.
A jaký je vlastně dosah u těchto frekvencí? Záleží nejenom na vysílacím výkonu a anténě vysílače, ale i na anténě
přijímače. Běžné prutové antény pracují na vzdálenost několika desítek metrů, teoreticky až nižší jednotky stovek
metrů v otevřeném terénu. Zcela jiné charakteristiky bude ale mít směrová anténa, kdy je možné komunikovat
za vhodných podmínek i na vzdálenost 2,5 - 4km. Obecně ale není možné bez zesilovače porušujícího normy (technické
kvůli interferencím a chování kvůli obyčejné slušnost) dosáhnout komunikací až „za obzor“.
Podrobnosti pro zájemce o hlubší vhled
Výhodou fyziky je možnost si uvedené údaje s jistou mírou přesnosti dopočítat. Kupodivu výpočet není až tak
složitý, jen je potřeba splnit několik podmínek. Zde je několik kroků, které mohou lépe pochopit vliv konkrétní
situace.
Přepočet vysílacího výkonu
Výkon se standardně udává ve W, ale vysílací výkon zpravidla v dBm. Uvedený vzorec slouží pro převod mezi těmito
jednotkami. Při přepočtu je ale nutné si dát pozor a převést výkon z W na mW, tedy vynásobit 1000.
P[dBm]=10⋅log10(P[mW])
Vysílací výkon P[dBm]
Vysílací výkon P[mW]
Útlum volným prostorem
Přestože se to nezdá, i šíření volným prostorem vytváří útlum. S rostoucí vzdáleností klesá síla signálu, inženýrská
poučka tvrdí přibližně se čtvercem vzdálenosti.
LFS[dB]=20log10⋅((4πdf)/c)
Vzdálenost d (km)
Vysílací frekvence f (MHz)
Rychlost světla c
Útlum překážkami
Zde je nutné modelování situace a jednoduché vzorce neexistují. Na šíření signálu má vliv jak útlum, tak odrazy
a případné difrakční vzory (skládání vln, které vede k zesílení nebo útlumu). Proto se zpravidla používají pouze
přibližné hodnoty, případně je nutné změřit konkrétní situaci. Některé z přibližných hodnoty jsou uvedeny v tabulce.
Protože se jedná se o ukázku, nikoliv kompletní výčet, je nutné si konkrétní hodnoty dohledat. Obecně ale platí,
že tento útlum se s vyšší frekvencí zvyšuje.
| Překážka | Přibližný útlum [dB] |
| Sklo (okno) | 2-4 dB |
| Dřevěná stěna | 5-10 dB |
| Sádrokartonová příčka | 3-6 dB |
| Cihlová zeď | 8-15 dB |
| Betonová zeď | 15-30 dB |
| Železobetonová zeď | 20-40 dB |
| Listnatý strom (v létě) | 10-20 dB |
| Lidské tělo (2,4GHz) | 3-6 dB |
Rovnice pro výpočet přijatého výkonu (Pr)
Komunikace vždy existuje mezi dvěma a více body, tedy mezi příjemcem a odesílatelem. Mají na ni vliv
jak vysílací výkon, tak zisk vyzařovací nebo přijímající antény a samozřejmě útlum na cestě.
Pr=PTX+GTX+GRX−(LFS+LO)
Výkon vysílací antény PTX (dBm)
Zisk vysílací antény GTX (dB)
Zisk přijímající antény GRX (dB)
Útlum volným prostorem LFS (dB)
Útlum překážkami LO (dB)
Citlivost přijímače a zisk antény
Standardně mají Wi-Fi zařízení citlivost -90dBm. Pokud jsou ale doplněny kvalitnější anténou,
jejich zisk se zvětší. Tedy pokud budu mít na běžné anténě s 3dBi signál o síle -70dBm a současnou
anténu nahradím novou, k čemu dojde? Pokud původní anténu 3dBi nahradím anténou 18dBi, přijímač
namísto původních -70dBm získá signál odpovídající -55dBm. Jde tedy o jednoduchý vzorec.
Efektivní citlivost=ATX−GRX
Citlivost zařízení GRX (dBm)
Zisk přijímající antény GRX (dBi)
Detekce a lokalizace Wi-Fi sítí – přihořívá, přihořívá, hoří ...
Hledat Wi-Fi sítě v okolí není problém. A to ani v případě, kdy nemají zveřejněné SSID. Přesto dodnes
existují lidé, kteří raději uvedené označení sítě schovají. Tak trochu mi to připomíná pštrosa, co se snaží
schovat hlavu do písku, ale stojí na betonovém panelu. Procházení pásma a hledání sítí se stalo dokonce
zábavou, nazývanou WarDriving. Historie tohoto termínu vede k WarDialinu a filmům jako jsou
Válečné hry (War Games). Zde se hlavní postava omylem připojí namísto ke školnímu počítači k systému
řídícímu americkou raketovou obranu a málem rozpoutá třetí světovou válku.
Někdy po roce 2000 se wardriving stal zábavou pro určitou skupinu IT nadšenců, která začala monitorovat
dostupné sítě a jejich zabezpečení. Ve většině měst tak vznikaly mapy, autoři si vzájemně vyměňovali pozice
vysílačů. Později vznikly projekty mapující tyto sítě, které se postupně vynášejí do mapových podkladů jako
je Wigle.net, WiFiMap.io a další.
Podobným způsobem jsou konec konců dnes mapované i další služby. Pokud by jste měli zájem například o ověření
dostupnosti 4G či 5G sítí, v Čechách je možnost použít portál ČTÚ,
v Anglii pak podobný Signal checker, případně celosvětově
NPerf.
Přestože wardriving je dnes už tak trochu historická odbočka, není zcela mrtvý. Může ho provozovat každý,
kdo má počítač nebo mobil. Pro mapování sítí jsou dostupné nástroje jako je NetStumbler,
Kismet, AirCrack-NG
a spousta dalších. Ty pracují zpravidla pod různými operačními systémy (Android, BSD, Linux, OSX a Windows),
případně existují pro dané operační systémy náhrady. Pokud tak někdo v okolí používá mapování Wi-Fi sítí
a projde se nedaleko vašeho vysílače (přístupového bodu), dojde k jeho zanesení do mapy. Zda má nebo nemá
SSID je zcela jedno. Prostě jenom nemá název, ale vysílá, proto existuje.
V případě detekce jsou v zásadě dva způsoby, jak zjistit alespoň přibližně umístění vysílacího bodu. První
je měření z několika míst a na základě mapy síly signálu určit přibližný zdroj. Druhý způsob je podobný,
ale dochází k měření přesného času vysílání určitých signálů. Vzhledem ke vzdálenosti od vysílacího bodu
a potřeby dosáhnout určité přesnosti to znamená extrémně přesnou synchronizaci času s přesností na ns. To
dovoluje určit polohu s přesností na 1m. Obdobným způsobem je možné využít tři spojené počítače, kde jeden
je posunutý o trochu výše. To dovoluje určit azimut a elevaci. Opět je vyžadován kvalitní časový zdroj, této
přesnosti není jednoduché dosáhnout. Z uvedeného důvodu proto zpravidla postačuje měření síly signálu
dané sítě.
Metody komunikace - standardy Wi-Fi sítí
Vlastní metoda spojení je definována standardy. Zahrnuje modulaci přenášeného signálu, stejně jako frekvenční oddělení jednotlivých komunikačních kanálů v rámci použitého pásma. Do standardu Wi-Fi 6 docházelo ke kolizím díky náhodnému přístupu k médiu CSMA/CA (Carrier Sense Multiple Access with Collision Avoidance). V rámci standardizace se objevovaly snahy tento problém řešit a počet kolizí omezit pomocí tvorby časových plánů. Od standardu Wi-Fi 6 došlo k použití frekvenčního a časového oddělení, kdy jsou dle počtu dostupných stanic alokovány časové a frekvenční sloty, takzvané resource unit. Mimo těchto podmínek dochází k výrazným změnám při komunikaci použitím MIMO technologie (Multiple Input, Multiple Output).
| Standard | Označení | Rok vydání | Pásmo (GHz) | Kanál (MHz) | Max. rychlost (Mb/s) | Modulace | MIMO |
| IEEE 802.11 | Wi-Fi 0 | 1997 | 2,4 | 22 | 2 | DSSS FHSS | Ne |
| IEEE 802.11b | Wi-Fi 1 | 1999 | 2,4 | 22 | 11 | DSSS | Ne |
| IEEE 802.11a | Wi-Fi 2 | 1999 | 5 | 5 10 20 | 54 | OFDM | Ne |
| IEEE 802.11g | Wi-Fi 3 | 2003 | 2,4 | 5 10 20 | 54 | OFDM | Ne |
| IEEE 802.11n | Wi-Fi 4 | 2009 | 2,4/5 | 20 40 | 600 | OFDM | MIMO 4 |
| IEEE 802.11y | - | 2008 | 3,7 | 5 10 20 | 54 | OFDM | Ne |
| IEEE 802.11ac | Wi-Fi 5 | 2013 | 5 | 20 40 80 160 | 6928 | OFDM | MU-MIMO |
| IEEE 802.11ad | - | 2012 | 60 | 6757 | DMG | Ne | |
| IEEE 802.11ax | Wi-Fi 6 | 2019 | 2,4/5 | 20 40 80 80+80 | 600–9608 | OFDMA | MU-MIMO 8 |
| IEEE 802.11ax | Wi-Fi 6E | 2020 | 2,4/5/6 | 20 40 80 80+80 | 600–9608 | OFDMA | MU-MIMO 8 |
| IEEE 802.11be | Wi-Fi 7 | 2025 | 2,4/5/6 | 80 80+80 160+80 160+160 320 | 1376–46120 | MU-MIMO 8 | |
| IEEE 802.11bn | Wi-Fi 8 | 2028 | 2,4/5/6 | 100 000 | 100 000 |
Použitá kryptografie a její slabiny
Pro přihlášení do sítě a šifrování komunikace se historicky objevuje velké množství algoritmů. Uvedené ochrany byly postupně zlomeny a následně nahrazeny úspěšnějším postupem. Z dnešního pohledu tak slabé metody nelze doporučit. V současnosti je řešením algoritmus WPA3, který ale bude nutné během několika let nahradit. Důvodem je jeho nedostatečná ochrana proti útokům za pomoci kvantových počítačů. Přesto, nedokážu si představit, kdy by se útok na Wi-Fi síť s použitím kvantových počítačů vyplatil. To ale není obhajobou proti případnému přechodu na novější technologie, je to pouze argument pro analýzu rizik.
| Standard | Označení | Rok vydání | WEP | WPA | WPA2 | WPA3 |
| IEEE 802.11 | Wi-Fi 0 | 1997 | Ano | Ne | Ne | Ne |
| IEEE 802.11b | Wi-Fi 1 | 1999 | Ano | Doplněno | Ne | Ne |
| IEEE 802.11a IEEE 802.11g | Wi-Fi 2 Wi-Fi 3 | 1999 2003 | Kompatibilita | Ano | Doplněno | Ne |
| IEEE 802.11n | Wi-Fi 4 | 2009 | Ne | Ano | Ano | Ne |
| IEEE 802.11ac | Wi-Fi 5 | 2013 | Ne | Ano | Ano | Doplněno |
| IEEE 802.11ax | Wi-Fi 6/6E | 2019 | Ne | Kompatibilita | Ano | Ano |
| IEEE 802.11be | Wi-Fi 7 | 2025 | Ne | Ne | Ano | Ano |
| IEEE 802.11bn | Wi-Fi 8 | 2028 | Ne | Ne | Neznámé | Ano |
Jak je vidět, v průběhu času docházelo k obměně mechanismů, kdy staré a nevyhovující byly postupně nahrazovány novějšími. Zároveň byl požadavek na zajištění zpětné kompatibility alespoň po omezenou dobu, důvodem byly investice stran výrobců zařízení a velké množství instalovaných produktů. Přejít ze dne na den na novější algoritmy prostě nebylo ani technicky, ani ekonomicky schůdné, přestože by to bylo žádoucí. Jak jsou ale zabezpečeny jednotlivé technologie po kryptografické stránce? Jak je zajištěna důvěrnost (confidentiality) a celistvost (integrity)?
| Mechanismus | IV | Algoritmus | Šířka klíče | Kontrola | Správa klíčů |
| WEP-64 | 24-bit | RC4-40 | 40-bit | CRC-32 | NE |
| WEP-128 | 24-bit | RC4 | 104-bit | CRC-32 | NE |
| WEP-152 | 24-bit | RC4 | 128-bit | CRC-32 | NE |
| WEP-256 | 24-bit | RC4 | 232-bit | CRC-32 | NE |
| WEP2 | 128-bit | RC4 | 128-bit | CRC-32 | NE |
| WPA-PSK | 48-bit | RC4 | 256-bit | MIC | 4-Way výměna |
| WPA-TKIP | 48-bit | RC4 | 256-bit | MIC | 4-Way výměna |
| WPA-EAP | 48-bit | RC4 | 256-bit | MIC | 4-Way výměna |
| WPA2-PSK | 48-bit | AES-128 CCM | 128/192/256-bit | CBC-MAC | 4-Way výměna |
| WPA2-TKIP | 48-bit | RC4 | 256-bit | MIC | 4-Way výměna |
| WPA2-CCMP | 48-bit | AES-128 CCM | 128/192/256-bit | CBC-MAC | 4-Way výměna |
| WPA2-EAP | 48-bit | AES-128 CCM | 128/192/256-bit | CBC-MAC | 4-Way výměna |
| WPA2-GCMP | 48-bit | AES-128 GCM | 128/192/256-bit | GHASH | 4-Way výměna |
| WPA3 | 256-bit | AES-128 CCM | 128/192/256-bit | CBC-MAC | WPA3-SAE |
| WPA3 | 256-bit | AES-128 GCM | 128/192/256-bit | GHASH | WPA3-SAE |
Poznámky:
- IV je zkratka pro Inicializační Vektor, tedy bitový řetězec, který je na vstupu šifrovací funkce. Díky tomu se nezačíná s otevřeným textem a dochází k pozměnění úvodních informací.
- TKIP je založen na starém a zlomeném algoritmu RC4-128b, zajišťuje mixovací funkci pro IV, sekvenční čítač a 64-bit MIC (Message Integrity Check, Michael, de-facto prvních 64-bit šifrovaného proudu).
- CCMP (Counter Mode with CBC-MAC protokol), je založeno na AES-CCM. Pro kontrolu integrity se používá CMAC (CBC-MAC).
- GCMP (Galois Mode), používá AES-GCM, pro kontrolu integrity se používá GHASH.
- EAP je obecné autentizační schéma (i v 802.1X s RADIUS serverem), které podporuje teoreticky až 56 různých metod. Pro některé z nich existují důkazy slabin a zranitelností (MD5, MSCHAP, IKEv1 …), jiné jsou po stránce bezpečnosti výrazně lepší (EAP-TLS, EAP-TTLS, EAPGTC …).
- WPA3 SAE (Simultaneous Authentication of Equals) je rozšířená výměna informací před vlastním 4Way Handshake. Využívá ECDH (eliptických křivek) a odpovídajících Oakley módů. Oakley módy definují použitou křivku a přestože jsou součástí těchto definic i DH grupy, pro navazování se nepoužívají. Po ustanovení klíčů dojde ke klasickému 4Way Handshake.
- Jako ochranu proti útokům hrubou silou je při použití současných mechanismů doporučená délka hesla alespoň 20 znaků.
Z hlediska důvěrnosti dat patrně nejhorším možným způsobem použití WEP, WEP2, WPA nebo WPA-TKIP. Uvedené algoritmy využívají
starý a zranitelný algoritmus RC4, který je s dnešními počítači možné relativně snadno zlomit. Slabiny uvedeného algoritmu
byly známy již od roku 2008 (soutěž eStream), první účinné metody útoku se objevily okolo roku 2012 a v roce 2015 byl
zcela zlomen. V současnosti je možné WEP zlomit pod minutu, WEP2 v řádu minut. Novější WPA může být zlomeno přibližně
do 10 minut, WPA2-TKIP pod půl hodiny. Pro více informací doporučuji stránku "RC4 No More"[1].
Z hlediska důvěrnosti informací jsou přijatelnou ochranou mechanismy založené na algoritmu AES, ale k tomu je nutné poskytnout
více informací. Důvodem je vliv autentizačních mechanismů, které zajišťují přístup do sítě.
Útoky a jejich náročnost
V případě konfigurace Wi-Fi sítí je pro ochranu sítí nutné znát současné metody útoků. To dovoluje odpovídajícím způsobem bránit infrastrukturu před možným napadením. Tato část popisuje možné útoky, ale není cílem podat zcela vyčerpávající přehled.
| Název útoku | Útok | Zasažené standardy |
| WEP cracking | Dešifrování provozu | WEP WEP2 WPA WPA2-TKIP |
| WPA/WPA2 PSK brute-force | Získání přihlašovacích údajů a dešifrování provozu | WPA WPA2 |
| KRACK | Dešifrování provozu | WPA2 |
| kr00k | Dešifrování provozu | WPA2 |
| PMKID attack | Získání přihlašovacích údajů a dešifrování provozu | WPA2 |
| FragAttacks | Manipulace s provozem bez znalosti hesla a dešifrování provozu | WEP WEP2 WPA WPA2 WPA3 |
| Deauthentication attack | Odpojení klientů | WEP WEP2 WPA WPA2 WPA3 |
| Evil Twin Karma attack | Získání přihlašovacích údajů od uživatelů a dešifrování provozu | WEP WEP2 WPA WPA2 WPA3 |
| Dragonblood | Získání přihlašovacích údajů a dešifrování provozu | WPA3 |
- WEP cracking
Využívá slabin v šifrovacím algoritmu RC4 a opakování IV (Initialization Vector) k dešifrování provozu. Ochranou je přechod na WPA2 nebo WPA3, v žádném případě nepoužívat nepoužívat WEP, WEP2, WPA a WPA2-TKIP. Jiná ochrana není možná. Útok je možné provést v řádu jednotek minut [2]. - WPA/WPA2 PSK brute-force
Jedná se o slovníkové útoky na předem sdílený klíč (PSK) pomocí zachycení handshake u WPA a WPA2. Řešením je použití silných hesel a přechod na WPA3-SAE [3]. - KRACK (Key Reinstallation Attack)
Zneužívá opětovnou instalaci klíče během 4-cestného handshake k dešifrování provozu. Je možné ho zneužít proti WPA2. Řešením je přechod na WPA3, aktualizace firmwaru zařízení je pouze za účelem ztížení práce útočníkovi [4]. - Kr00k
Varianta útoku KRACK, jedná se o chybu Wi-Fi chipsetu dvou výrobců [5]. - PMKID attack
Získání PMKID z handshake a offline slovníkový útok na heslo. Postihuje WPA2 a ochranou je jak použití silných hesel, tak přechod na WPA3 [6]. - FragAttacks
Využívá zranitelností v fragmentaci a agregaci rámců k injekci škodlivých paketů. Zasahuje všechny zařízení používající algoritmy WEP až WPA3 [7]. Ochranou je aktualizace firmware. - Deauthentication attack
Odesílá podvržené deauthentizační rámce (odhlášení) k odpojení zařízení od sítě. Postihuje všechny technologie, řešením je použití 802.11w (Management Frame Protection) a přechod na WPA3. - Evil Twin a Karma attack
Jedná se o vytvoření falešného AP s cílem odposlechu nebo získání přihlašovacích údajů. Protože při přihlašování dochází k ověření klienta, nikoliv serveru, je obtížné se tomuto útoku bránit a postihuje všechny technologie. Částečným řešením se tak stává ověřování certifikátů, použití VPN nad Wi-Fi spojením a přechod na WPA3. V současnosti je možné použít pro tento typ útoku zakoupené zařízení PineApple, případně si vytvořit vlastní řešení. - Dragonblood
Analyzuje slabiny v SAE handshake WPA3 s cílem umožnit offline útoky na hesla. Postihuje WPA3, řešením je aktualizace firmware a použití silných hesel.
Mimo uvedených útoků existují další útoky. Některé míří například na úvodní konfiguraci klienta, kterou umožňuje technologie WPS (Wireless Protection Setup). Ta je zranitelná v případě použití krátkých nebo defaultních PINů (viz. nástroj Reaver). Dále tu je sada útoků, která je pojmenována dle nejčastějších míst kde k nim může dojít - cafe, cafe crack, caffé latte ....
Závěr
Dle současných informací je udržení jisté úrovně bezpečnosti Wi-Fi sítí značně náročníé. Dobře řízená
bezdrátová síť má rizika minimální, přesto tu nějaká jsou. Na rozdíl od metalických rozvodů je možné se
k infrastruktuře připojit vzdáleně a to řádově ve stovkách metrů. Řešením tohoto problému je jednak použití
novějších technologií, které omezí signál mimo budovu, jednak tvrdší řízení přístupů na úrovni sítě.
Pro tvrdší řízení sítě je možné použít několik metod. Jednak se jedná o vypnutí WPS, dále o autentizaci
na úrovni sítě pomocí IEEE 802.1X a oddělení bezdrátové sítě od zbytku infrastruktury pomocí firewallu.
Jako poslední možnost se jedná o použití VPN pro překlenutí potenciálně nebezpečné infrastruktury. To se konec
konců doporučuje i na veřejných Wi-Fi hotspotech jako ochrana před možným odposlechem komunikace.
Proto musí dojít v případě použití Wi-Fi sítí k odpovídající analýze rizik. Jsou situace, kdy už samotný
útok na infrastrukturu přináší vyšší náklady než možný zisk pro útočníka. Ale rozhodnutí leží na vlastníkovi
sítě. Tento článek slouží pouze pro poskytnutí základních informací ohledně bezpečnosti.
Reference:
- RC4 No More
Zdroj: https://rc4nomore.com/ - WEP Cracking
Zdroj: https://www.researchgate.net/ - WPA/WPA2 PSK Bruteforce
Zdroj: https://www.iacr.org/ - KRAK Attack
Zdroj: https://www.krackattacks.com/ - kr00k Attack
Zdroj: https://www.eset.com/ - PM-KID Attack
Zdroj: https://www.mdpi.com/ - FRAG Attakc
Zdroj: https://www.fragattacks.com/ - Weakness of Wireless Session Containment
Zdroj: https://www.willhackforsushi.com/ - Wireless Security Protocols WPA3: A Systematic Literature Review
Zdroj: https://www.researchgate.net/ - WPS Attakc
Zdroj: https://sviehb.wordpress.com/
Autor článku:
Podobné články
Vaše výuková platforma pro kryptografii
a bezpečnost.
1. Úvodní ustanovení
1.1. Tyto všeobecné obchodní podmínky jsou, není-li ve smlouvě písemně dohodnuto jinak, nedílnou součástí všech smluv týkajících školení, pořádaných nebo poskytovaných školitelem, Jan Dušátko, IČ 434 797 66, DIČ 7208253041, se sídlem Pod Harfou 938/58, Praha 9, zapsané u Úřadu městské části Praha 9 (dále jen „školitel“).1.2. Smluvními stranami ve všeobecných obchodních podmínkách jsou míněni školitel a objednatel, kdy objednatel může být zároveň zprostředkovatelem smluvního vztahu.
1.3. Záležitosti, které nejsou upravené těmito obchodními podmínkami, se řeší podle Občanského zákoníků, tj. zákon č. 89/2012 Sb.
2. Vznik smlouvy přihlášením ke kurzu
2.1. Přihláškou se rozumí jednostranný úkon objednatele adresovaný školiteli prostřednictvím datové schránky s identifikací euxesuf, e-mailu na adresu register@cryptosession.cz nebo register@cryptosession.info, internetových stránek cryptosession.cz, cryptosession.info nebo kontaktním telefonem +420 602 427 840.2.2. Odesláním přihlášky objednatel souhlasí s těmito všeobecnými podmínkami a prohlašuje, že se s nimi seznámil.
2.3. Přihláška se považuje za přijatou momentem potvrzení (stadnardně do 2 pracovních dní) školitelem nebo zprostředkovatelem. Toto potvrzení je zasláno do datové schránky nebo na kontaktní e-mail.
2.4. Standardní doba pro přihlášení je nejpozději 14 pracovních dní před konáním vzdělávací akce, pokud není uvedeno jinak. V případě fyzické nepodnikající osoby musí být objednávka alespoň 28 pracovních dní před konáním vzdělávací akce.
2.5. Na jednu přihláškou lze přihlásit i více než jednoho účastníka.
2.6. Pokud je více než 10 účastníků od jednoho objednatele, je možné se domluvit na školení v místě sídla zprostředkovatele nebo objednatele.
2.7. Přihlášky jsou přijímány a zpracovávány v pořadí, v jakém došly poskytovateli. Poskytovatel neprodleně informuje objednatele o všech skutečnostech. Těmi se míní naplnění kapacity, příliš nízký počet účastníků, nebo jiný závažný důvod, jako je nemoc lektora nebo zásah vyšší moci. Objednateli bude v tomto případě nabídnut nový termín, případně účast na jiné vzdělávací akci. V případě, že objednatel nebude s přesunutím či účastí na jiné nabídnuté vzdělávací akci souhlasit, poskytovatel mu vrátí účastnický poplatek. Nedostatečný účastníků je oznámen objednateli alespoň 14 dní před začátkem plánovaného termínu.
2.8. Smlouva mezi poskytovatelem a objednatelem vzniká odesláním potvrzení poskytovatelem objednateli.
2.9. Smlouvu lze změnit nebo zrušit pouze za splnění zákonných předpokladů a pouze písemně.
3. Zánik smlouvy zrušením přihlášky
3.1. Přihláška může být objednatelem zrušena pomocí e-mailu, nebo pomocí datové schránky.3.2. Zákazník má právo stornovat svoji přihlášku na kurz 14 dní před konáním kurzu bez jakýchkoliv poplatků. Pokud se jedná o kratší dobu, dochází k následné změně. V intervalu 7-13 dní je účtován administrativní poplatek 10%, storno účasti v kratším intervalu než 7 dní pak poplatek 25%. V případě storna přihlášky nebo objednávky ze strany zákazníka je nabízena možnost účasti zákazníka v náhradním termínu bez dalšího poplatku. Právo na zrušení přihlášky zaniká realizací objednaného školení.
3.3. Při zrušení přihlášky školitelem náleží objednateli plná náhrada za neuskutečněnou akci.
3.4. Objednatel má právo žádat náhradní termín nebo náhradní školení. V takovém případě bude objednatel informován o všech otevřených kurzech. Náhradní termín si nelze vymáhat ani vynucovat, závisí na aktuální dostupnosti kurzu. Pokud má náhradní školení nižší cenu, objednatel doplatí rozdíl. Pokud má náhradní školení nižší cenu, školitel vrátí rozdíl cen školení objednateli.
4. Cena a platební podmínky
4.1. Odesláním přihlášky objednatel akceptuje smluvní cenu (dále jen účastnický poplatek) uvedenou u daného kurzu.4.2. V případě více účastníků přihlášených jednou přihláškou je možná sleva.
4.3. Účastnický poplatek musí být uhrazen na bankovní účet společnosti vedený u Komerční banky č. 78-7768770207/0100. Při platbě je nutné uvést variabilní symbol, který je uveden na faktuře, odeslané objednateli školitelem.
4.4. Účastnický poplatek zahrnuje náklady poskytovatele včetně školicích materiálů. Poskytovatel je plátce DPH.
4.5. Účastnický poplatek je objednatel povinen uhradit do 14 pracovních dní od přijetí faktury, pokud nebylo samostatnou smlouvou uvedeno jinak.
4.6. Pokud se přihlášená osoba neúčastní školení a nedošlo k jiné domluvě, je její neúčast považována za storno příhlášku v intervalu kratším než 7 dní, tj. školiteli náleží odměna ve výši 25% z ceny kurzu. Přeplatek je vrácen do 14 dní na platební účet odesílatele, ze kterého byly prostředky odeslány. Platba na jiné číslo účtu není možná.
4.7. Nejdéle do 5 pracovních dní od začátku školení bude školitelem vystavena faktura, která bude dle dohody odeslána e-mailem nebo datovou schránkou.
5. Podmínky školení
5.1. Školitel je povinnen informovat objednatele 14 dní dopředu o místě a času školení, včetně termínu zahájení a ukončení denního programu.5.2. Pokud objednatel není studentem kurzu, je povinnen zajistit distribuci těchto informací koncovým účastníkům. Za nesplnění těchto podmínek školitel nenese odpovědnost.
5.2. Standardně školení probíhá v čase od 9:00 do 17:00 na předem určeném místě.
5.3. Školitel může být dle aktuálních podmínek k dispozici od 8:00 do 9:00 a následně od 17:00 do 18:00 pro dotazy účastníků.
5.4. Na konci školení je koncovým uživatelům předán certifikát o absolovování.
5.5. Na konci školení koncoví uživatelé vyhodnocují přístup lektora a mají se vyjádřit k ohodnocení jeho prezentace, způsobu přednesení a ohodnotit významn poskytnutých informací.
6. Reklamace
6.1. Pokud je účastník hrubě nespokojen s průběhem kurzu, je školitel o této informaci vyrozuměn.6.2. Důvody nespokojenosti jsou ten samý den zapsány do protokolu ve dvou kopiích. Jedna je předána objednateli a jednu má školitel.
6.3. Vyjádření k reklamaci bude podáno e-mailem do dvou týdnů. Následně do jednoho týdne bude domluven způsob řešení.
6.4. Nespokojenost zákazníka může být důvodem k rozvázání další spolupráce, nebo finanční kompenzaci až do výše ceny školení po odečtení nákladů.
7. Autorská práva k poskytnutým materiálům
7.1. Školicí materiály poskytnuté školitelem v rámci konání školení splňují znaky autorského díla dle zákona č. 121/2000 Sb.7.2. Žádný ze školicích materiálů ani jeho část nesmí být bez předchozího písemného souhlasu školitele jakýmkoli způsobem dále zpracovávána, rozmnožována, rozšiřována nebo využívána k dalším prezentacím nebo školením.
8. Zodpovědnost
8.1. Školitel nepřebírá odpovědnost za nedostatky ve službách kterékoliv třetí strany, kterou využívá při školeních.8.2. Školitel nepřebírá odpovědnost za zranění, škody a ztráty, vzniklé účastníkům vzdělávacích akcí, nebo které byly účastníky způsobeny. Takové náklady, způsobené uvedenými okolnostmi, ponese výhradně účastník vzdělávací akce.
9. Platnost podmínek
9.1 Tyto všeobecné obchodní podmínky jsou platné a účinné od 1. října 2024.Informace o sběru a zpravování osobních údajů
Zpracovatel Jan Dušátko (dále jen „Správce“), dle nařízení Evropského parlamentu a Rady (EU) č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů, dále jen „Nařízení“) zpracovává osobní údaje. Dále jsou rozepsané jednotlivé osobní údaje, které jsou součástí zpracování při konkrétních aktivitách u této webové prezentace a v rámci obchodního styku.Přestože je sběr dat všudypřítomný, provoz tohoto webu si zakládá na právu na soukromí každého uživatele. Z uvedeného důvodu sběr informací o uživatelích probíhá v naprosto nezbytné míře a to jen v případě, kdy se uživatel rozhodne kontaktovat provozovatele. Jakýkoliv další sběr a zpracování dat považujeme za neetický.
Informace o záznamech přístupu na webovou prezentaci
Tento web nesbírá žádné cookies. Stránka nepoužívá ani žádné analytické scripty třetích stran (sociální sítě, cloud provideři). Z těchto důvodů je také nabízena volba pro zobrazení mapy formou odkazu, kde primárním zdrojem je OpenStreet a alternativy pak často používané Mapy společnosti Seznam, a.s., případně Google Maps společnosti Google LLC Inc. Využití jakéhokoliv z těchto zdrojů je zcela na libovůli uživatelů těchto stránek. Správce nenese odpovědnost za sběr dat realizovaný těmito společnostmi, neposkytuje jim data o uživatelích a na sběru dat nespolupracuje.Logování přístupů probíhá pouze na úrovni systému, důvodem je identifikace případných technických nebo bezpečnostních problémů. Dalšími důvody jsou přehledové statistiky přístupů. V této oblasti se nesbírají ani nesledují žádné konkrétní údaje a všechny záznamy o přístupech jsou po třech měsících mazány.
Informace o kontaktování provozovatele stránek
Formulář pro kontaktování provozovatele stránek (správce) obsahuje následující osobní údaje: jméno, příjmení, e-mail. Tyto údaje jsou určeny jen a pouze pro tuto komunikaci, odpovídající oslovení uživatele a jsou udržovány po dobu nezbytnou k naplnění účelu, maximálně pak po dobu jednoho roku, pokud si uživatel neurčí jinak.Informace o objednávkovém formuláři
Pro případ zájmu o objednávku formulář obsahuje více údajů, tj. jméno, příjmení, e-mail a kontaktní údaje na organizaci. Tyto údaje jsou určeny jen a pouze pro tuto komunikaci, odpovídající oslovení uživatele a jsou udržovány po dobu jednoho roku, pokud si uživatel neurčí jinak. V případě, kdy na základě této objednávky dojde k uzavření obchodního vztahu, budou nadále správcem udržovány pouze informace vyžadované českými zákony na základě obchodních vztahů (název a adresa společnosti, číslo bankovního účtu, typ kurzu a jeho cena).Informace o dokumentu o absolovování kurzu
V rámci kurzu je vydán zpracovatelem dokument o absolovování kurzu. Tento dokument obsahuje následující údaje: jméno a příjmení studenta, název a datum absolovování kurzu a jméno zaměstnavatele. Uvedené informace se následně používají pro tvorbu lineárního stromu hashí (nemodifikovatelný záznam). Tato databáze obsahuje pouze informace o poskytnutých jménech a názvech společností, které mohou a a nemusí odpovídat realitě a je udržován zpracovatelem pro případné opětovné vystavení nebo ověření vydání dokumentu.Práva subjektu osobních údajů
Zákazník nebo návštěvník tohoto webu má možnost požádat o informace o zpracování osobních údajů, právo požadovat přístup k osobním údajům, případně právo požádat o opravu nebo výmaz veškerých dat, které by o něm byly vedeny. V případě výmazu tento požadavek není možné splnit pouze pokud se nejedná o data nezbytně nutná v rámci obchodního styku. Zákazník nebo návštěvník webu má dále právo na vysvětlení týkající se zpracování jeho osobních údajů, pokud tento zjistí nebo se domnívá, že zpracování je prováděno v rozporu s ochranou jeho soukromého a osobního života nebo v rozporu s platnými právními předpisy a právo požadovat odstranění takto vzniklého stavu a zajištění nápravy.Zákazník/návštěvník tohoto webu dále může požadovat omezení zpracování nebo vznést námitku proti zpracování údajů a má právo kdykoliv písemně svůj souhlas se zpracováním osobních údajů odvolat, aniž by tím byla dotčena zákonnost jejich zpracování předcházející takovému odvolání. Pro tyto účel slouží kontaktní e-mail adresa support@cryptosession.cz
Zákazník/návštěvník má právo podat stížnost proti zpracování osobních údajů u dozorového úřadu, kterým je Úřad pro ochranu osobních údajů.