Společnost Cisco uvedla protokol pro zabezpečený bezdrátový přístup do podnikové sítě prostřednictvím Wi-Fi nazvaný EAP-FAST (Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling, Rozšiřitelný autentizační protokol - flexibilní autentizace pomocí zabezpečeného tunelování). Protokol by měl nahradit starší proprietární protokol Cisco LEAP, jehož ochranu bylo možné prolomit. Společnost tak reaguje na kritiku bezpečnostního experta Joshuy Wrighta ze SANS Institute, který loni v srpnu objevil v protokolu Cisco LEAP bezpečnostní problém a vyvinul nástroj nazvaný asleap, který dokáže rozluštit použitá hesla. Joshua Wright byl znepokojen, když zjistil, že LEAP využívá pro autentizaci uživatelů modifikovaný protokol MS-CHAP ve verzi 2, který považoval za slabý. Wright byl překvapen, že Cisco doporučuje LEAP místo jiných bezpečnostních protokolů. Domníval se, že motivací firmy Cisco byl finanční zisk, protokol LEAP byl proprietární a tvořil jeden ze základních kamenů licenčního programu CCX.
Dupynožka a slovník
Nástroj asleap se snaží odhlásit klienty využívající LEAP ze sítě, čímž vynutí nový pokus o přihlášení do sítě obsahující zašifrované heslo. Toto zašifrované heslo odposlechne a pokusí se jej vyluštit. Při luštění využívá rozsáhlý slovník hesel, naneštěstí výpočet probíhá poměrně rychle. Výhodou je, že během hádání hesel útočící počítač nic nevysílaá a zůstává tak nenápadný.
Slovníkové útoky jsou prakticky stejně staré jako používání hesel pro zabezpečení počítačů. Klasickému slovníkovému útoku, kdy útočník zkouší různá hesla při přihlašování, se počítače dokáží efektivně bránit. Je možné dočasně zablokovat terminál nebo IP adresu útočníka, je možné před každým dalším pokusem o přihlášení chvíli počkat a zvýšit tak střední dobu úspěšného útoku a podobně. Potíž nastane, když útočník získá seznam zašifrovaných hesel a může si je v klidu luštit na svém počítači.
Zvláštním přípoadem slovníkového útoku je útok Rumpelstiltskin (Dupynožka, podle pohádky bratří Grimmů), při kterém zná rozesílatel spamů doménu, kam chce spamy rozesílat (část e-mailové adresy za znakem @, "zavináč"), ale nezná jména uživatelů. Před znak @ tak může zkusit zkusmo doplňovat populární křestní jména, příjmení a podobně.
Konec dobrý, všechno dobré?
Wright kontaktoval Cisco a rozhodl se pozdržet zveřejnění popisu bezpečnostního problému i nástroje na prolomení zabezpečení do doby, než Cisco navrhne a otestuje řešení. Mezitím funkčnost nástroje předvedl na konferenci DEFCON 2003.
Inženýři společnost Cisco nelenili a specifikaci nového, bezpečnnějšího protokolu odeslali ke schválení jako internetový standard. Wright poté zveřejnil popis chyby i nástroj asleap a potvrdil, že nový protokol EAP-FAST je bezpečnější i podle jeho názoru. Přesto čeká s konečným verdiktem na dobu, kdy si EAP-FAST bude moci osobně vyzkoušet.
