Уязвимость в WPS облегчает брутфорс-атаки на беспроводные роутеры

Николай Головко 29 Декабря 2011 - 07:41

...

Уязвимость в WPS облегчает брутфорс-атаки на беспроводные роутеры

В стандарте Wi-Fi Protected Setup (WPS) обнаружен изъян, который обеспечивает потенциальному взломщику более успешное проведение атак по подбору PIN-кода беспроводного маршрутизатора методом грубой силы. Соответствующее уведомление было опубликовано американской командой быстрого реагирования на компьютерные инциденты (US-CERT).

Сообщается, что WPS, созданный для упрощения процедур защиты домашних беспроводных сетей от перехвата и извлечения данных, содержит метод аутентификации под названием "внешний регистратор"; при его использовании для получения прав доступа требуется ввести только восьмизначный PIN-код роутера. Данный метод, как выяснилось, построен таким образом, что злоумышленнику не составляет особенного труда выявить идентификационный номер путем последовательного перебора возможных комбинаций. Задача, которая в теории требует значительных временных и вычислительных ресурсов, на практике может оказаться довольно просто реализуемой.

US-CERT указывает, что при ошибке аутентификации по PIN-коду точка доступа отправляет клиенту сообщение EAP-NACK; делается это таким образом, что нападающий имеет возможность определить, является ли корректной введенная им первая половина цифровой комбинации. Кроме того, вычисляемой является и последняя цифра, поскольку она представляет собой контрольную сумму PIN. Такой подход существенно снижает количество попыток, необходимых взломщику для успешного подбора кода: вместо теоретических 10⁸ (100 000 000) - практические 10⁴ + 10³ (т.е. 11 000).

С учетом того, что многие маршрутизаторы не снабжены средствами противодействия брутфорс-атакам (а некоторые из них и вовсе подвержены отказам в обслуживании при попытках подобрать код), выявление PIN может оказаться довольно непродолжительной процедурой. Кроме того, поскольку уязвимость не связана с какой-либо конкретной моделью роутеров, а является глобальной проблемой стандарта WPS, ей могут быть подвержены тысячи или даже миллионы маршрутизаторов по всему миру. В настоящее время уязвимость остается открытой; специалисты рекомендуют самозащищаться путем использования WPA2-шифрования с сильным паролем, отключения UPnP и применения фильтров по MAC-адресам.

Softpedia

Письмо автору

Следующая главная новость »

Чем заменить Microsoft 365 и Google Workspace в 2026?
Регистрируйтесь на эфир!

Яков Шпунт 24 Апреля 2026 - 09:27

Соответствие законодательству РФ Домашние пользователи Защита от мошенничества Безопасность платежей Безопасность банковских карт

Сбор денег в соцсетях может привести к блокировке карты

Популярные в соцсетях сборы средств могут обернуться блокировкой счетов со стороны банков, а также вниманием налоговых органов. Кроме того, в отдельных случаях такую деятельность могут квалифицировать как незаконное предпринимательство или мошенничество, что уже влечёт уголовную ответственность.

О таких рисках в комментарии для РИА Новости предупредила юрист, член Союза юристов-блогеров на базе МГЮА имени Олега Кутафина при Ассоциации юристов России Евгения Сабитова.

В последнее время в соцсетях получили распространение сборы небольших сумм. Владельцы страниц просят подписчиков перевести им, например, 50–100 рублей на погашение кредита, в том числе ипотеки.

Как отметила юрист, формально такая практика не запрещена. Однако юридические риски всё же есть. Если будет доказано, что владелец страницы вводил подписчиков в заблуждение относительно своего материального положения, его действия могут подпасть под статью 159 УК РФ (мошенничество). Максимальное наказание по ней достигает 10 лет лишения свободы.

Кроме того, систематическое поступление средств может привлечь внимание налоговых органов с точки зрения соблюдения требований Налогового кодекса. Банки, в свою очередь, вправе блокировать переводы при подозрении на мошеннические операции или отмывание средств, полученных преступным путём. Ранее уже были прецеденты блокировок даже при переводах самому себе на небольшие суммы.

В то же время Банк России назвал информацию о массовых блокировках переводов некорректной. В ЦБ также заявили, что постоянно совершенствуют механизмы выявления противоправных операций и реабилитации клиентов, пострадавших из-за ложноположительных срабатываний антифрод-систем.

Чем заменить Microsoft 365 и Google Workspace в 2026?
Регистрируйтесь на эфир!