wifi-beveiligingslek WPA2 KRACK

Maandag 16 oktober hebben onder andere nu.nl en datanieuws.be gepubliceerd dat Belgische beveiligingsonderzoekers een ernstig beveiligingslek in de veelgebruikte wifi-beveiligingsstandaard WPA2 hebben gevonden. WPA2 is voor zowel burgers als bedrijven de meest gangbare beveiligingsmethode om een wifi-netwerk met een wachtwoord te versleutelen.

“Het lek is maandagochtend gepresenteerd door de Belgische onderzoekers Mathy Vanhoef en Frank Piessens van de KU Leuven. De aanvalsmethode die ter bewijs is ontwikkeld draagt de naam Key Reinstallation Attacks, afgekort KRACK”, aldus nu.nl.

Wat is de beveiligingslek WPA2?

Met de beveiligingslek in WPA2 kunnen criminelen, als zij fysiek in de buurt van een wifi-netwerk zijn, inbreken op een met een wachtwoord beveiligd netwerk en internetverkeer te onderscheppen en te manipuleren. De versleuteling van WPA2 wordt hierbij omzeild. De aanvaller krijgt hierbij geen inzicht in het wachtwoord van het wifi-netwerk. Op websites en apps die met HTTPS verbindingen zijn versleuteld, kan niet worden ingebroken.

Is er een oplossing?

Volgens de onderzoekers kan het lek worden gedicht door het hergebruik van encryptiesleutels onmogelijk te maken in het authenticatieproces. Een update kan worden doorgevoerd in zowel de wifi-router als de apparaten die ermee verbonden zijn. Het is voldoende om één van de twee te voorzien van de beveiligingsupdate. Al wordt geadviseerd om de apparaten die verbonden zijn met het netwerk eerst van een update te voorzien.

Wie komt met wat?

Verschillende spelers hebben zo snel mogelijk na de aankondiging al maatregelen genomen en patches uitgerold of aangekondigd. Bijvoorbeeld:

Microsoft

Voor Windows 8 en nieuwere versies heeft Microsoft maandag direct een beveiligingsupdate beschikbaar gesteld om het lek te dichten.

Google

Elk wifi-apparaat is kwetsbaar voor de aanvallen, maar door een extra bug in het besturingssysteem zijn apparaten met Android Marshmallow (6.0) en nieuwer extra kwetsbaar. Op 6 november maakt Google een nieuwe Android update beschikbaar.

Apple

Apple stelt een oplossing voor de bug in iOS 11.1 beschikbaar. Deze is binnen een aantal weken te verwachten. Het is onbekend of iOS 10 en eerder een update ontvangen.

Ziggo en KPN

Telecomproviders Ziggo en KPN hebben aangegeven mogelijke oplossingen te onderzoeken voor gebruikers van hun routers.

Cisco en Aruba

Prodware werkt als onderdeel van infrastructuur projecten samen met zowel Cisco als Aruba. Beide partijen geven aan dat er iets gedaan kan worden aan de Accespoint zijde zelf. Het is echter niet vast te leggen tot software versies boven een bepaalde release. Er zijn oudere versies firmware van Accespoints welke niet gevoelig zijn en soms nieuwe software releases welke wel gevoelig zijn in combinatie met bepaalde cliënt software.

Vanuit Prodware kunnen we om deze reden niet eenduidig aangeven wanneer een wifi-omgeving veilig is of niet.

Wat raden wij onze klanten aan?

Het Nationaal Cyber Security Centrum (NCSC) in Nederland zegt dat WPA2 nog steeds de beste beveiligingsmethode is voor draadloze netwerken, maar dat de schade door dit lek potentieel hoog kan zijn.

Een van de belangrijkste adviezen is om nooit met onbeveiligde netwerken te verbinden.

Hiernaast is het ook belangrijk dat u automatische updates heeft ingeschakeld om uw veiligheid te garanderen.

Klanten die niet zeker weten of hun router of andere hardware veilig is, raden wij om zo snel en duidelijk mogelijk antwoorden te krijgen aan contact op te nemen met de partij die de wifi-installatie heeft gedaan.

Mocht u hiernaast met vragen blijven zitten, dan kunt u uiteraard altijd contact met mij opnemen via Marcel.Spoorendonk@Prodware.nl of telefoonnummer 0418-683500. In overleg bekijken wij dan uw situatie en bepalen we de beste aanpak.