Lek in WPA2-beveiliging brengt WiFi-netwerken in gevaar

Door: Raymon Mens - 18 reacties

De meeste Wi-Fi-netwerken zijn beveiligd met WPA2 en dat staat als praktisch onkraakbaar bekend. Onderzoekers van de KU Leuven hebben echter het tegendeel bewezen. Met de zogenaamde Krack-aanval kan een WPA2-netwerk afgeluisterd worden.

De aanval treft vooral Android- en Linux-apparaten, maar iOS-apparaten, Macs en Windows-computers zijn niet honderd procent immuun. Kwaadwillenden kunnen alle communicatie onderscheppen.

→ Lees ook de updates onderaan het artikel.

Probleem bij onversleutelde diensten

Normaal heb je bij het gebruik van Wi-Fi twee beveiligingslagen. Allereerst zorgt de WPA2-versleuteling ervoor dat onbekenden niet zomaar pakketjes uit de lucht kunnen grijpen en ontcijferen. Daarnaast gebruiken de meeste diensten een versleutelde verbinding. Denk aan WhatsApp of iMessage die standaard alle berichten volledig versleuteld versturen. Ook internetbankieren maakt gebruik van een versleutelde (https) verbinding.

Door de Krack-aanval kan een verbinding die via WPA2 beveiligd is wél afgeluisterd worden en is één van de twee beveiligingslagen weg. Als je dan een onversleutelde verbinding met een dienst gebruikt, kunnen kwaadwillenden direct meelezen. Hoewel steeds meer diensten een versleutelde verbinding bieden, zijn er nog genoeg e-mailservers die geen SSL ondersteunen. Ook niet alle websites zijn via https bereikbaar.

airport-exterme-2013
Klik/tap voor groter.

Dit is hoe het werkt

De onderzoekers gebruiken een zogenaamde Key Reinstallation Attack (Krack) aanval. Om deze uit te voeren, wordt eerst een kopie van het netwerk gemaakt met dezelfde naam en hetzelfde MAC-adres als de router. Het enige dat verschilt is het WiFi-kanaal. Dit netwerk werkt als een ‘man in the middle’ tussen een apparaat en het oorspronkelijke netwerk.

Bij het verbinden van een draadloos netwerk wordt een handshake gebruikt die uit vier stappen bestaat. Bij stap drie wordt de sleutel voor encryptie samen met een nonce overgedragen. Bevestigt het apparaat niet dat de sleutel ontvangen is? Dan wordt deze opnieuw verzonden en wordt er een nieuwe nonce (een uniek nummer dat naast de sleutel gebruikt wordt voor encryptie) toegevoegd. De router in het midden kan de sleutel en nonce echter afvangen en deze vervolgens naar de echte router sturen (replay). Die denk dat er niets aan de hand is en verstuurt data met de onderschepte sleutel en nonce. Zo kunnen ze ontsleuteld worden.

Google Apps op Samsung Android
Android-toestellen zijn het zwaarst getroffen.

Android en Linux zwaarst getroffen

Android en Linux zijn het zwaarst getroffen. De wifi-software in Android 6.0 en nieuwer kan zodanig gemanipuleerd worden dat ze allemaal nullen als sleutel accepteren. Dan is het een eitje om de verbinding af te luisteren. Dit geldt ook voor Linux met kernel 2.6 of nieuwer.

Windows-computers, iOS-apparaten en macOS-computers zijn niet getroffen door de aanval op de derde stap van de handshake, maar wel door een aanval op de via de group key handshake. Die wordt gebruikt om pakketjes data naar meerdere apparaten te sturen. Daardoor is een deel van de verbinding af te luisteren.

En nu?

Is WPA2 nu afgeschreven? Nee. Het probleem is binnen de specificaties van de WPA2-standaard te patchen. Fabrikanten zijn dus aan zet. Apple moet een iOS- en macOS-update uitbrengen en fabrikanten van routers dienen nieuwe firmware beschikbaar te stellen. Volgens de onderzoekers is het genoeg om één van de twee kanten van de verbinding te patchen. Dat wil zeggen de router of het apparaat dat verbinding maakt.

Apple heeft vooralsnog geen patches uitgebracht en ook grote Nederlandse providers die Wi-Fi-modems leveren zijn nog stil. Je Wi-Fi-wachtwoord veranderen is niet nodig, want dat kan niet met deze methode onderschept worden. Het is via deze aanval ook niet mogelijk om via Wi-Fi op je bedrade netwerk binnen te dringen.

Ons advies: Zorg dat je geen gevoelige informatie verstuurt op sites en apps die niet via https beveiligd zijn, want zoals in de derde paragraaf gezegd vormen onversleutelde diensten het grootste risico.

Updates (bijgewerkt om 21:07 uur)

  • Microsoft zegt dat gebruikers die alle updates hebben geïnstalleerd al een fix voor het probleem hebben. Het bedrijf komt later met meer details.
  • Google belooft het probleem in een update op 6 november aan te pakken.
  • Debian Linux heeft een update die het lek oplost uitgebracht.
  • Apple zegt dat dit in de huidige betaversies van iOS 11.1 en macOS 10.13.1 is gepatcht. Een release naar alle consumenten volgt snel. 

Reacties

18 reacties
  • Profielfoto
    Brozz

    Je zou indien mogelijk wel je Wi-Fi op WPA2-AES kunnen zetten.
    Dat is al iets beter want dan kan er alleen traffic gesnift worden.

    Gelukkig zijn er al een aantal bedrijven die een patch hebben uitgebracht en hopelijk volgen er snel meer.

  • Profielfoto
    Poezenbeest

    De ‘tweede beveiligingslaag’ heeft dan weer niets met wifi te maken, want die doet het ook op bedraad internet of draadloos internet zoals Bluetooth of de gsm-dataprotocollen zoals UMTS en EDGE.

    Blijkt overigens wel uit deze methode dat het versleutelen van data nooit kwaad kan, hoe je het ook verzendt.

  • Profielfoto
    Havelock

    Dat is nou het grote nadeel als je software uit brengt en alle gebruikers die van zelfde software gebruiken hebben ook gelijk alle gebruikers er last van. Daarom kan je op dit probleem geen garantie geven. Dat maakt het ook lastig dit pronleem.
    En dit probleem is al veel eerder bekent hoe kan je nou zo snel een update uit brengen. Daar moet wel heel snel kunnen kunnen programmeren knap is dat of mis ik iets.

  • Profielfoto
    pruus

    We denken veilig te zijn met een update, en toch…zitten er weer andere hickup’s in. Echt veilig wordt het nooit. Je rijdt op de weg. Het raampje open. Plots rukt iemand aan het stuur die naast je komen rijden op een scooter. Niet gedacht, niet verwacht, toch gekomen.

  • Profielfoto
    IcyDragon68

    Ik wacht nog altijd de QoS oplossingen op de AirPorts dus Apple!! GOOI DAT ERBIJ BIJ DE VOLGENDE UPDATE!!! Nu ik dit typ, het is ook weer lang geleden dat Apple een update uitbracht voor de AirPort routers.

  • Profielfoto
    Shmoo

    Je rijdt op de weg. Het raampje open. Plots rukt iemand aan het stuur die naast je komen rijden op een scooter. Niet gedacht, niet verwacht, toch gekomen.

    .
    Misschien moet jij eens proberen om vanaf morgen een alternatieve route te nemen en vooral straatjes in Den Dolder, waar klinieken gevestigd liggen proberen te vermijden. !?

    Als Shmoo met het raampje open rijdt, dan regent het gewoon binnen omdat het hier in NL zo vaak regent. OF in het ergste geval, op mijn meest ongelukkige dag, dan schijt een meeuw binnen en dan is dat in dit geval niet @MEEUW (van OMT) die op mijn deur is gaan zitten met zijn broek op z’n knieën.

  • Profielfoto
    Raymon Mens

    Artikel bijgewerkt met updates en aanvullend antwoord op vragen.

  • Profielfoto
    Raymon Mens

    De ‘tweede beveiligingslaag’ heeft dan weer niets met wifi te maken, want die doet het ook op bedraad internet of draadloos internet zoals Bluetooth of de gsm-dataprotocollen zoals UMTS en EDGE.

    Blijkt overigens wel uit deze methode dat het versleutelen van data nooit kwaad kan, hoe je het ook verzendt.

    Klopt. Het is meer een soort van ‘last defence’ die je tegen deze aanval hebt. Ik heb het wat toegespitster op deze situatie op proberen te schrijven.

  • Profielfoto
    Raymon Mens

    Dank @koen, bijgewerkt in het artikel.

  • Profielfoto
    steveb
  • Profielfoto
    steveb

    Raar dat er niet gesproken wordt over WiFi in auto ‘s
    Hoe veilig is het kanaal waarover de software update gebeurd van tesla?

  • Profielfoto
    Shmoo

    Mogelijk omdat er nog niet zoveel auto’s op de weg rijden met WiFi erin en elk merk ook weer z’n eigen software + onderdelen gebruikt.

    Maar dat gaat het toch niet worden, auto’s met WiFi. Ik denk eerder dat we iPhones krijgen waar je ook een auto bij kunt kopen. Zoals een Apple Watch.

  • Profielfoto
    scd

    ik sta toch iedere keer weer te kijken van de slimheid van mensen om beveiligingen te omzeilen/kraken…

  • Profielfoto
    Shmoo

    Ik heb dat met timmermannen.. Prachtig dat ze een hele dag kunnen timmeren zonder hun duim te raken.

  • Profielfoto
    DBLCreations

    Ik wist het he! Ik heb nogal wat geleerd van die nieuwe serie CSI:Cyber se!:P

    Momenteel heb ik iOS 11.1 beta 2 op mijn iPhone 6S plus dus als ik het goed begrijp is dit bij mij “ge-patched”?

  • Profielfoto
    Roko

    Grote vraag is of devices die iOS 11 niet ondersteunen ook gepatched gaan worden. Om maar te zwijgen over al die andere draadloze netwerk apparaten zoals slimme thermostaten, IOT apparaten, ip-cams en wat nog niet meer. Wat dat aangaat zou ik liever zien dat Apple de Airports gaat updaten maar daar hoor je niks over.

  • Profielfoto
    DBLCreations

    Grote vraag is of devices die iOS 11 niet ondersteunen ook gepatched gaan worden. Om maar te zwijgen over al die andere draadloze netwerk apparaten zoals slimme thermostaten, IOT apparaten, ip-cams en wat nog niet meer. Wat dat aangaat zou ik liever zien dat Apple de Airports gaat updaten maar daar hoor je niks over.

    Veronderstel dat Apple dit wel zal doen. Apple doet dat vrij goed met hun Airports moet ik zeggen.