आपका वाई-फाई नेटवर्क KRACK के खिलाफ रक्षा करने के लिए कमजोर है
आज, सुरक्षा शोधकर्ताओं ने डब्ल्यूपीए 2 में एक गंभीर भेद्यता का विवरण देते हुए एक पेपर प्रकाशित किया, जो प्रोटोकॉल आधुनिक वाई-फाई नेटवर्क को आपके घर में सुरक्षित-सुरक्षित रखता है। यहां बताया गया है कि अपने आप को हमलावरों से कैसे बचाएं.
KRACK क्या है, और क्या मुझे चिंतित होना चाहिए?
KRACK कुंजी पुनर्स्थापना हमले के लिए आशुलिपि है। जब आप एक नए डिवाइस को वाई-फाई नेटवर्क से कनेक्ट करते हैं, और पासवर्ड टाइप करते हैं, तो 4-वे हैंडशेक होता है जो सुनिश्चित करता है कि सही पासवर्ड का उपयोग किया जाए। हालाँकि, इस हैंडशेक के भाग में हेरफेर करके, एक हमलावर वाई-फाई नेटवर्क पर जो कुछ भी होता है उसे देख और डिक्रिप्ट कर सकता है, भले ही उसके मालिक को पासवर्ड न पता हो। (यदि आप तकनीकी रूप से- और सुरक्षा-दिमाग वाले हैं, तो आप अधिक विवरण के लिए पूरा पेपर पढ़ सकते हैं।)
एक बार जब किसी के पास इस तरह से आपके नेटवर्क तक पहुंच होती है, तो वे आपके द्वारा प्रसारित डेटा का बहुत कुछ देख सकते हैं, या अपने स्वयं के डेटा की तरह रैनसमवेयर और अन्य मैलवेयर भी इंजेक्ट कर सकते हैं-जिन वेबसाइटों पर आप जाते हैं (कम से कम एचटीटीपीएस का उपयोग करके HTTP- साइटों का उपयोग करने वाले लोग इंजेक्शन से सुरक्षित होना चाहिए).
इस लेखन के समय, लगभग सभी डिवाइस KRACK की चपेट में हैं, कम से कम किसी आकार या रूप में। लिनक्स और एंड्रॉइड डिवाइस सबसे कमजोर होते हैं, विशिष्ट वाई-फाई क्लाइंट के कारण वे इन उपकरणों द्वारा प्रसारित बड़ी मात्रा में डेटा देखने के लिए तुच्छ होते हैं। ध्यान दें कि KRACK हमलावर को आपका वाई-फाई पासवर्ड नहीं दिखाता है, इसलिए इसे बदलने से आपकी सुरक्षा नहीं होगी। हालाँकि, WPA2 अपरिवर्तनीय रूप से टूटा नहीं है-समस्या को सॉफ़्टवेयर अपडेट के साथ ठीक किया जा सकता है, जिसके बारे में हम एक क्षण में बात करेंगे.
क्या आपको चिंतित होना चाहिए? हां, कम से कम कुछ हद तक। यदि आप एक एकल-परिवार के घर में हैं, तो आपके द्वारा लक्षित अपार्टमेंट की इमारत में रहने की तुलना में आपके द्वारा लक्षित किए जाने की संभावनाएं छोटी हैं, लेकिन जब तक आप असुरक्षित हैं, आपको सतर्क रहना चाहिए। पैच जारी होने तक सार्वजनिक वाई-फाई, यहां तक कि पासवर्ड-संरक्षित लोगों का उपयोग करना बंद करना शायद एक अच्छा विचार है.
शुक्र है, कुछ चीजें हैं जो आप अपनी रक्षा के लिए कर सकते हैं.
KRACK अटैक्स से खुद को कैसे बचाएं
यह एक प्रमुख सुरक्षा मुद्दा है जो संभवतः कुछ समय के लिए प्रचलित होगा। हालांकि, यहां वे चीजें हैं जो आपको अभी करनी चाहिए.
अपने सभी उपकरणों को अद्यतित रखें (गंभीरता से)
आप जानते हैं कि कैसे आपका पीसी और फोन हमेशा आपको सॉफ्टवेयर अपडेट के बारे में परेशान करता है, और आप बस "बाद में इंस्टॉल करें" पर क्लिक करते हैं? यह करना बंद करो! गंभीरता से, वे अपडेट इस तरह पैच भेद्यता को अपडेट करते हैं, जो आपको सभी प्रकार के खराब सामान से बचाते हैं.
शुक्र है, जब तक एक जोड़ी में एक डिवाइस को पैच किया जाता है, या तो राउटर या कंप्यूटर / फोन / टैबलेट जो इसे कनेक्ट करते हैं-उनके बीच संचारित होने वाला डेटा सुरक्षित होना चाहिए.
इसका मतलब है कि यदि आप अपने राउटर फर्मवेयर को अपडेट करते हैं, तो आपके नेटवर्क को संरक्षित किया जाना चाहिए। लेकिन आप अभी भी अपने लैपटॉप, फोन, टैबलेट, और किसी भी अन्य डिवाइस को अपडेट करना चाहते हैं, जिसे वे वाई-फाई नेटवर्क में लाते हैं, यदि वे पैच नहीं हैं। शुक्र है, आपका कंप्यूटर, फोन और टैबलेट आपको अपडेट के बारे में सूचित करेगा; यहाँ हम जानते हैं कि अभी क्या पैच है:
- चल रहे पीसी विंडोज 10, 8, 8.1 और 7 को 10 अक्टूबर, 2017 तक पैच किया गया है, यह मानते हुए कि सभी अपडेट इंस्टॉल किए गए हैं.
- Macs 31 अक्टूबर, 2017 तक पैच किए जाते हैं, यह मानते हुए कि उन्होंने macOS हाई सिएरा 10.13.1 स्थापित किया है.
- आईफ़ोन और आईपैड 31 अक्टूबर, 2017 तक पैच किए जाते हैं, यह मानते हुए कि वे iOS 11.1 स्थापित हैं
- एंड्रॉयड उपकरणों को 6 नवंबर, 2017 के सुरक्षा पैच के रूप में पैच किया जाना चाहिए, जो नेक्सस और पिक्सेल उपकरणों को रोल आउट करेगा। अन्य एंड्रॉइड डिवाइसों को अपडेट मिलेगा क्योंकि निर्माता उन्हें जारी करेंगे.
- क्रोम ओएस 28 अक्टूबर, 2017 तक उपकरणों को पैच किया जाना चाहिए, यह मानते हुए कि उन्होंने क्रोम ओएस 62 स्थापित किया है.
- अधिकांश पीसी चल रहे हैं लिनक्स पैच किया जाना चाहिए, यह मानते हुए कि वे अपडेट के साथ रखे गए हैं। उबंटू 14.04 और बाद में, आर्क, डेबियन, और जेंटो सभी पैच जारी किए हैं.
यह जानना अच्छा है, लेकिन आपको राउटर फर्मवेयर अपडेट के लिए समय-समय पर अपने राउटर निर्माता की वेब साइट की भी जांच करनी चाहिए-यदि आपके पास एक पुराना राउटर है, तो यह अपडेट नहीं हो सकता है, लेकिन कई नए लोगों को उम्मीद है। (यदि आपका अपडेट नहीं मिलता है, तो उस राउटर को अपग्रेड करने का यह एक अच्छा समय हो सकता है-बस यह सुनिश्चित करें कि आपके खरीदने से पहले आपके नए को KRACK के लिए पैच किया गया है।)
इस बीच, यदि आपका राउटर है नहीं पैच, यह अत्यंत महत्वपूर्ण है कि आपके होम नेटवर्क पर हर डिवाइस कर देता है. दुर्भाग्य से, कुछ उन्हें कभी नहीं मिल सकता है। उदाहरण के लिए, एंड्रॉइड डिवाइस को हमेशा समय पर अपडेट नहीं मिलता है, और कुछ कभी भी KRACK के लिए एक प्राप्त नहीं कर सकते हैं। Smarthome उपकरणों के रूप में अच्छी तरह से समस्याग्रस्त हो सकता है, क्योंकि वे अभी भी मैलवेयर प्राप्त कर सकते हैं जो उन्हें एक बोटनेट का हिस्सा बनाता है। आपके द्वारा उपयोग किए जाने वाले किसी भी अन्य वाई-फाई से जुड़े उपकरणों के लिए फर्मवेयर अपडेट के लिए नज़र रखें, और उन उपकरणों के निर्माताओं को यह देखने के लिए ईमेल करें कि क्या उन्होंने जारी किया है या पैच जारी करने की योजना बना रहे हैं। उम्मीद है, क्योंकि यह भेद्यता पहले से ही बड़ी लहरें बना रही है, डिवाइस निर्माताओं को वास्तव में पैच जारी करने के लिए प्रोत्साहित किया जाएगा.
यहाँ उन उपकरणों की एक सूची दी गई है जिन्हें पैच किया गया है, या जल्द ही पैच प्राप्त होंगे.
समर्थन करने वाली साइटों पर HTTPS का उपयोग करें (आप शायद पहले से ही करते हैं)
जब आप पैच प्राप्त करने के लिए अपने उपकरणों की प्रतीक्षा करते हैं, तो सुनिश्चित करें कि आप अपने व्यक्तिगत डेटा का ध्यान रखते हैं। यदि आप इंटरनेट-ईमेल, बैंकिंग, किसी भी साइट पर कोई भी संवेदनशील कार्य करते हैं, जिसके लिए आपको एक पासवर्ड की आवश्यकता होती है, तो सुनिश्चित करें कि आप इसे HTTPS पर करते हैं। HTTPS सही नहीं है, और कुछ साइटों ने इसे ठीक से लागू नहीं किया है (जैसे कि Match.com, जैसा कि शोधकर्ताओं द्वारा दिखाया गया है), लेकिन यह अभी भी आपको कई स्थितियों में सुरक्षा प्रदान करना चाहिए.
शुक्र है, इन दिनों अधिक से अधिक साइटें डिफ़ॉल्ट रूप से HTTPS का उपयोग कर रही हैं, इसलिए आपको बहुत कुछ नहीं करना चाहिए-बस यह सुनिश्चित कर लें कि जब आप किसी भी साइट से जुड़ते हैं, तो आपको पासवर्ड या क्रेडिट कार्ड की जानकारी की आवश्यकता होती है। और सुनिश्चित करें कि जब आप किसी साइट पर किसी भी समय HTTPS सुरक्षा को छीनने का प्रयास कर सकते हैं, तो लॉक आइकॉन साइट का उपयोग करते हुए वहीं रहता है।.
अपने राउटर और अन्य उपकरणों पर डिफ़ॉल्ट सेटिंग्स बदलें
यहां तक कि अगर आपका राउटर पैच हो जाता है, तो इसका मतलब यह नहीं है कि यह अन्य हमलों से सुरक्षित है। कोई KRACK अटैक का उपयोग करके आपके किसी एक डिवाइस से समझौता कर सकता है, तो मैलवेयर स्थापित करें जो आपके नेटवर्क पर अन्य तरीकों से हमला करता है जैसे आपके राउटर में लॉग इन पासवर्ड का उपयोग करके। सुनिश्चित करें कि आप अपने घर में किसी भी डिवाइस पर डिफ़ॉल्ट पासवर्ड का उपयोग नहीं कर रहे हैं, सुनिश्चित करें कि आपका राउटर एईएस एन्क्रिप्शन के साथ WPA2 का उपयोग करता है, और WPS और UPnP जैसे असुरक्षित राउटर सुविधाओं को अक्षम करता है। ये सभी बुनियादी चीजें हैं जो सभी को करनी चाहिए, लेकिन अब दोबारा जांचने का अच्छा समय है.
अपने पीसी पर एंटीवायरस और एंटी-मैलवेयर चलाएं
यह बिना कहे जाना चाहिए-क्योंकि आपको पहले से ही ऐसा करना चाहिए, लेकिन सुनिश्चित करें कि आपके पास अपने पीसी पर अच्छे एंटीवायरस और एंटी-मैलवेयर सॉफ़्टवेयर हैं। KRACK हमलों का उपयोग आपके द्वारा देखी जाने वाली साइटों में मैलवेयर इंजेक्ट करने के लिए किया जा सकता है, और "बस सामान्य ज्ञान का उपयोग करना" आपकी रक्षा नहीं करेगा। हम विंडोज डिफेंडर का उपयोग करने की सलाह देते हैं, जो आपके एंटीवायरस के लिए अंतर्निहित विंडोज 8 और 10 के साथ आता है, साथ ही खुद को ब्राउज़र कारनामों और अन्य प्रकार के हमलों से बचाने के लिए मालवेयरबाइट्स एंटी-मैलवेयर के साथ। यहां तक कि अगर आपके सभी डिवाइस KRACK के खिलाफ पूरी तरह से तैयार हैं, तो आपको इन कार्यक्रमों का उपयोग करना चाहिए.
संक्षेप में, यह भेद्यता एक बड़ा है, और वास्तव में अपनी रक्षा करने का एकमात्र तरीका यह सुनिश्चित करना है कि आपके राउटर और आपके सभी वाई-फाई कनेक्टेड डिवाइस अप टू डेट हैं। लेकिन जब हम उन अद्यतनों की प्रतीक्षा करते हैं, तो बुनियादी कंप्यूटर सुरक्षा एक लंबा रास्ता तय कर सकती है: जहाँ भी आप HTTPS का उपयोग कर सकते हैं, अपने उपकरणों पर डिफ़ॉल्ट पासवर्ड का उपयोग न करें, एंटीवायरस और एंटी-मैलवेयर चलाएँ, और जैसे ही आप अपने सॉफ़्टवेयर को अपडेट करें वह सूचना। आप केवल पाँच मिनट के अपडेट पर ही यह महसूस नहीं कर सकते कि आपके डेटा को सुरक्षित रखा जा सकता है.