Wi-Fi-netwerken kwetsbaar door meerdere lekken in WPA2-beveiliging

De meest populaire beveiliging van Wi-Fi blijkt te zijn gekraakt. Belgische onderzoekers vonden een manier om mee te luisteren op draadloze netwerken met WPA2-beveiliging.
Gonny van der Zwaag | iCulture.nl - · Laatst bijgewerkt:

Grote kans dat je netwerk thuis beveiligd is met WPA2. Momenteel is het de populairste manier om je Wi-Fi-netwerk te beveiligen, maar de Belgische onderzoekers Mathy Vanhoef van KU Leuven en Frank Piessens van imec-DistriNet ontdekten tien kwetsbaarheden. Daardoor is het onder andere mogelijk om beveiligd Wi-Fi-verkeer te ontsleutelen.


Update 14:00 uur: inmiddels hebben de betrokkenen meer informatie vrijgegeven. Vooral Android en Linux zijn kwetsbaar, maar ook macOS en iOS zijn niet helemaal veilig. Meer informatie lees je verderop in dit artikel.

Update 20:40 uur: Apple heeft bekendgemaakt dat de WPA2-kwetsbaarheid al is opgelost in de beta’s van iOS, tvOS, WatchOS en macOS.

Koffietentje

KRACK-aanval

WPA2 is inmiddels dertien jaar oud en wordt overal gebruikt voor de beveiliging van Wi-Fi-netwerken. De onderzoekers ontwikkelden de zogeheten KRACK-aanval (de afkorting staat voor Key Reinstallation Attacks), waarmee het mogelijk is de volgorde van de handshake aan te passen, die WPA2 gebruikt om de encryptiesleutels te kiezen voor een sessie tussen client en toegangspunt. Het lukte de onderzoekers om tijdens de derde van de vier stappen de sleutel meermaals te sturen. Daarbij wordt een willekeurig, eenmalig getal meegestuurd (de cryptografische nonce) die bij meermaals sturen wordt hergebruikt. De onderzoekers konden op die manier niet alleen versleuteld Wi-Fi-verkeer lezen, maar ook HTTP-content injecteren, TCP-verbindingen kapen en datapakketten omleiden.

https://twitter.com/vanhoefm/status/919624800657707008

De onderzoekers worden inmiddels al overspoeld door vragen. Ze zullen later vandaag alle details bekendmaken, die ze eerder al hebben gedeeld met andere onderzoekers en beveiligingsorganisaties. Dat gebeurt waarschijnlijk op de website
krackattacks.com, die ze zelf hebben aangemaakt en op de Github-pagina krackattacks. Afgelopen augustus lichtten ze al een eerste tipje van de sluier op tijdens de Black Hat Security Conferentie in Las Vegas.

‘Organisaties zijn gewaarschuwd’
Het Computer Emergency Readiness Team (US-CERT) zou al een waarschuwing naar circa honderd bedrijven en organisaties hebben gestuurd. Naast de details die Vanhoef en Piessens vandaag zullen onthullen zullen ze op de ACM Conferentie over Computer en Communications Security (CCS) nog meer details over hun ontdekkingen presenteren. Naast de twee Belgen zijn ook Maliheh Shirvanian een Nitesh Saxena van de University of Alabama, Yong Li van Huawei Technologies in Dusseldorf en Sven Schäge van Ruhr-Universität Bochum (Duitsland) betrokken.

Welk risico loop jij?
Op dit moment zijn de details van de aanval alleen bekend bij organisaties die vooraf informatie onder embargo hebben ontvangen. Het goede nieuws is dat een kwaadwillende nu nog niet aan de slag kan, maar dat kan veranderen als om 14:00 uur (CET) meer informatie bekend wordt.

Een hacker moet wel in fysieke nabijheid van je huis of kantoor zijn om mee te kunnen luisteren, om bijvoorbeeld wachtwoorden die je invoert op een niet-HTTPS-site te kunnen onderscheppen. Ook zou een aanvaller beelden van een ‘beveiligingscamera’ kunnen bekijken. Het grootste gevaar is niet je eigen netwerk thuis, omdat het met miljoenen huishoudens wereldwijd niet zo’n grote kans is dat een aanvaller het nou net op jouw thuisnetwerk heeft gemunt. Het risico is veel groter bij organisaties waar concurrentiegevoelige informatie te halen valt. Of op plekken waar veel mensen gebruik maken van internet, zoals de gratis draadloze netwerken op vliegvelden.

Een ander gevaar is dat veel bestaande toegangspunten niet snel worden gepatcht, bijvoorbeeld bij draadloze netwerken van hotels.

Om jezelf te beschermen kun je in ieder geval zorgen dat je alleen privacygevoelige data invoert op websites met HTTPS. En als je ergens buiten de deur gaat koffiedrinken kun je beter gebruik maken van je eigen 4G-verbinding dan van een open hotspot.

Update: vooral Android en Linux kwetsbaar

De ontdekkers hebben inmiddels meer informatie vrijgegeven. Android en Linux blijken vooral gemakkelijk te kraken, maar andere platformen zoals macOS en iOS zijn ook niet helemaal veilig. De kwetsbaarheden zitten in de Wi-Fi-standaard zelf, niet in losse producten. Elk product dat gebruik maakt van WPA2 is daarom mogelijk kwetsbaar.

Op een Android-toestel blijkt het bijvoorbeeld gemakkelijk om de encryptiesleutel te veranderen in louter nullen. Gebruik je een beveiligde website dan ben je veilig omdat de data versleuteld door het HTTPS-protocol. Wel zijn er andere aanvallen op HTTPS mogelijk. De aanval kan alleen data ontsleutelen die onbeveiligd via de Wi-Fi-verbinding wordt gestuurd.

Click here to display content from YouTube.
Learn more in YouTube’s privacy policy.

Open "KRACK Attacks: Bypassing WPA2 against Android and Linux" directly

De aanval werkt alleen als je al iets weet van de data die tussen het apparaat en de router is verstuurd. Op die manier kun je de encryptiesleutel achterhalen. Volgens Vanhoef is er altijd wel iets bekend over de inhoud van data. En anders zou je wat willekeurige tekst kunnen proberen; grote kans dat bepaalde woorden zijn gebruikt.

Het goede nieuws is dat WPA2 kan worden gepatcht om aanvallen te voorkomen. Zodra er een patch beschikbaar is voor jouw router moet je de firmware zo snel mogelijk installeren.

Revisiegeschiedenis:

  • 2017 - 16 oktober: Reactie van Apple toegevoegd.

Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!

Informatie

Laatst bijgewerkt
16 oktober 2017 om 20:48
Onderwerp
Categorie
Achtergrond

Het laatste nieuws over Apple van iCulture

Wifi

Alles over wifi-netwerken gebruiken op je iPhone, iPad en Mac. We vertellen je over wifi-bereik verbeteren met mesh-routers, het aanschaffen van wifi 6-routers, de voordelen van wifi 6E of wifi 7 en het oplossen van wifi-problemen op de Mac, iPhone, iPad en Apple TV. Maar er is nog veel meer!

QR-code voor wifi-netwerk

Reacties: 19 reacties

  1. Dit gaat leuk worden…

  2. Er wordt alleen genoemd dat de aanvaller in fysieke nabijheid moet zijn om de aanval uit te kunnen voeren. Maar die aanvaller moet dan toch ook op het wifi netwerk zitten?

  3. Ach alles wat de homecomputer met internet verbindt is onmogelijk te beveiligen. En wachtwoorden en firewall etc. is een schijnveiligheid, nee mijn inziens is het enige wat je voor ogen moet houden qua veiligheid is encryptie. Versleutelen alles maar dan ook alles versleutelen is jouw enige veiligheid naast een goede virusscanner voor de simpele huis tuin en keuken computervirus.

  4. Zo blijkt maar weer alles is te hacken 🙂

  5. Veel b-merk fabrikanten zullen niet eens de moeite nemen om een update te maken. Die zullen gewoon zeggen “koop maar een nieuwe”
    Mensen met die een WiFi model van Ziggo of KPN hebben zullen wel een update gepushed krijgen, maar mensen die een eigen router/AP gebruiken zullen dat zelf moeten controleren en installeren.
    En dat zie ik voor het gros niet gebeuren.
    Zelf gebruik ik (en veel klanten van mij) AP’s van het merk Ubiquiti en die hebben al aangegeven dat er deze week een update voor uit komt (3.9.3).
    Duurdere hardware maar betere ondersteuning.

  6. @Frederique Rijsdijk: dat is juist het ding, door deze kwetsbaarheid kunnen ze makkelijk op je netwerk komen als ze de WPA2-key niet kenne.

  7. Een ander gevaar is dat veel bestaande toegangspunten niet snel worden gepatcht, bijvoorbeeld bij draadloze netwerken van hotels.

    Dit valt niet te patchen voor zover ik weet.

  8. Mijn router laat alleen apparaten toe die op mac adres geregistreerd staan. Kan dat hiermee ook omzeild worden?

  9. MAC filtering is compleet achterhaald en is alleen maar een barrière voor normale gebruikers. Er is software die MAC adressen kan faken. Het beste is internet via de fysieke kabel en zo veel mogelijk end-to-end encryptie gebruiken (https). Een extensie voor je browser zoals httpseverywhere gebruiken is een goede stap.

  10. Origineel geplaatst door Arne
    Mijn router laat alleen apparaten toe die op mac adres geregistreerd staan. Kan dat hiermee ook omzeild worden?

    Ja want ze kunnen zien welke mac-adressen verkeer genereren op het netwerk en vervolgens van hun eigen apparaat het mac-adres wijzigen.

  11. Hopelijk patcht Apple deze bugs nog in de Airport routers..

  12. Dataverkeer langs een VPN-verbinding verhindert meekijken.

  13. Origineel geplaatst door Ben
    Ach alles wat de homecomputer met internet verbindt is onmogelijk te beveiligen. En wachtwoorden en firewall etc. is een schijnveiligheid, nee mijn inziens is het enige wat je voor ogen moet houden qua veiligheid is encryptie. Versleutelen alles maar dan ook alles versleutelen is jouw enige veiligheid naast een goede virusscanner voor de simpele huis tuin en keuken computervirus.

    Helaas. Al gehoord van quantum computing?

  14. Origineel geplaatst door Thijs
    Hopelijk patcht Apple deze bugs nog in de Airport routers..

    Dat wordt lastig, aangezien de kwetsbaarheden zich in het protocol bevinden.

  15. Origineel geplaatst door Amstel08
    Dataverkeer langs een VPN-verbinding verhindert meekijken.

    Klopt, maar kwaadwillenden hebben dan nog steeds toegang tot jouw interne netwerk. Tenzij je geen WiFi hebt en een VPN de enige toegang tot jouw netwerk van buitenaf is.

  16. Wat ik me nu afvraag is of wpa2 enterprise ook vatbaar is.

  17. Important: This is an attack against WiFi clients, not APs. Meaning that iOS and MacOS need to be patched the most, not AirPort routers.

    Bron: reddit

  18. @Duncan: Dus..? De bug werkt niet meer zodra de client of router gepatcht wordt zodat deze geen encryptiesleutels hergebruikt.

  19. @Nico: Ik vrees van wel, anders had iedereen wel gesproken over WPA2-PSK…