KRACK: De beveiliging van Wifi-netwerken loopt gevaar. Wat kan je doen?

(leestijd: 2 minuten)

Het was al bekend dat netwerkverkeer via WiFi zwakheden en risico’s in zich draagt. Maar afgelopen maandag 16 oktober brachten onderzoekers van de universiteit van Leuven informatie naar buiten over een groot beveiligingslek dat ze hebben ontdekt. Wat houdt dat lek precies in en nog belangrijker: hoe kun jij je wapenen tegen de risico’s die voortkomen uit dat lek?

Het protocol is lek

Het meest gebruikte beveiligingsprotocol (dat is de wijze waarop computerapparatuur met elkaar praat) voor WiFi-netwerken is WPA2. Het is een ernstig lek, in dit protocol uit 2004. Van de publieke dus openbare WiFi-netwerken is zo’n 70% beveiligd met WPA2. In die WPA-beveiligingsstandaard lukte het de onderzoekers middels een zogenaamde Key Reinstallation Attack (ze noemden het ‘KRACK’) het 4-staps-verificatieproces zo te beïnvloeden, dat ze konden inbreken op het netwerk. Daarna konden de onderzoekers WiFi-verkeer lezen, omleiden, TCP-verbindingen kapen, valse websites presenteren, jouw surfgedrag volgen, HTTP-content injecteren, etc.

Overigens is dan alleen onversleuteld (HTTP) netwerkverkeer af te luisteren. Verbindingen via HTTPS zijn versleuteld en niet vatbaar om afgeluisterd te worden (DDA blogte eerder over HTTP versus HTTPS).
Ook verkeer via een VPN is veilig (over VPN zal DDA later bloggen).

N.B.: Een KRACK kan niet op afstand worden uitgevoerd; de aanvallers moeten zich dus in het bereik van het WiFi-netwerk bevinden.

Waar zit dat lek precies?

Een WiFi-netwerk bestaat meestal uit twee ‘kanten’.

Aan de ene kant staan de gebruikers met hun laptops, tablets en smartphones en die gebruikers zoeken een WiFi-toegangspunt, meestal om te kunnen internetten. Deze apparaten zijn zogenaamde ‘cliënts’. Denk bij deze client-apparatuur ook aan beveiligingscamera’s en gameconsoles.

Aan de andere kant staan de modem en/of de router; dat zijn de WiFi-toegangspunten. Apparaten dus die zijn verbonden met internet en die het contact maken met internet faciliteren. Ze staan dus eigenlijk altijd te wachten, totdat een gebruiker met bijvoorbeeld zijn smartphone draadloos contact maakt met die modem of router, om te kunnen internetten.

Het lek zit in allerlei apparatuur, zoals met Android, Windows, MacOS, iOS en Linux.
En het lek zit aan beide kanten. Maar als aan één kant het lek is gedicht, dan is het probleem voor die verbinding opgelost.

Hoe dicht je het lek

Eenvoudig gezegd: met de juiste updates.
Het is sowieso het allereerste wat je altijd moet doen om veilige verbindingen te kunnen opzetten: zorgen dat je up-to-date bent. Het is dus nu wachten op updates (zogenaamde software- of firmware-updates) van fabrikanten voor hun modems, routers en (cliënt) randapparatuur.

Diverse fabrikanten van netwerkapparatuur zoals modems en routers hebben al statements afgegeven en zullen naar verwachting snel met updates komen die het probleem oplossen. Houd daarom de websites van de fabrikanten van jouw apparaten in de gaten.
Heb je een router van je provider in gebruik? KPN en Ziggo bijvoorbeeld zijn op de hoogte en onderzoeken de zaak, maar hebben nog geen nadere toezeggingen gedaan over een oplossing.
Heb je zelf een router aangeschaft? Kijk dan hier of jouw fabrikant al heeft gereageerd.

De oplossingen voor de client-apparatuur zoals smartphones zullen langer op zich laten wachten. Android-patches worden door Google beschikbaar gesteld (7 november is al genoemd), maar kunnen niet rechtstreeks worden geïnstalleerd: ze moeten dan eerst nog via de desbetreffende fabrikant zoals Samsung of LG voor modificatie en uitrol. Normaliter duurt zo’n proces maanden. Wellicht, gezien de ernst van de situatie, gaat het deze keer sneller. Maar hoe dan ook: als jouw apparaat aangeeft een update te willen installeren, sta dat dan toe. Helaas worden oudere apparaten niet meer gepatcht; dat ter beoordeling aan de fabrikant.
Apple’s IOS lijkt minder kwetsbaar, maar ook Apple heeft aangegeven met updates te zullen komen. En Microsoft zegt ze zelfs al te hebben en die worden via ‘automatische updates’ vanzelf in Windows geïnstalleerd.

Als je het installeren van zo’n update (ook wel patch) in bijvoorbeeld een router te ingewikkeld vindt, vraag dan hulp, want het is belangrijk die updates te activeren. Uiteraard is DDA beschikbaar voor ondersteuning en als je een abonnement voor onderhoud hebt, dan patchen wij ongevraagd al je apparatuur.

En zolang het lek niet is gedicht?

Tja, hoe groot is je risico? Dat is lastig inschatten. Bedenk dat aanvallers echte specialisten moeten zijn en bovendien fysiek in de buurt, om een netwerk via WPA te kunnen hacken. Bovendien worden er meer en meer updates geïnstalleerd en zodra één kant van de verbinding is ge-üpdatet is het risico verdwenen. Meer dan je eigen apparatuur up-to-date houden en terughoudend zijn in het gebruik van openbare WiFi-netwerken kun je niet doen.

HEEFT U VRAGEN?

Heeft u vragen over onze producten of diensten? Neem dan contact met ons op:

info@dda.nl

072 505 4011

06 51 303 223

WAAROM DDA?

  • Meer dan 25 jaar ICT-ervaring; kennis van zaken gegarandeerd.
  • Wij staan dag en nacht voor u klaar om u te helpen.
  • Wij communiceren open en direct en altijd in begrijpelijke taal.

Ook onze nieuwsbrief ontvangen?

Niet te vaak, wel informatief.
Vol relevante ICT-informatie voor het MKB.

U bent succesvol ingeschreven voor de DDA-nieuwsbrief.