Afgelopen weken zijn er berichten naar buiten gekomen over kwetsbaarheden (“Krack”) in WPA- & WPA2-netwerken. Dit is veruit de meest gebruikte Wi-Fi-standaard voor zowel zakelijke als privénetwerken. De krack-aanval treft dus primair draadloze netwerken en voornamelijk voor Linux en Android vormt deze aanval een probleem.
Het WPA2-protocol vormt de standaard om draadloze netwerken van goede beveiliging te voorzien. Onderzoek van Kaspersky wees vorig jaar uit dat bijna 70 procent van alle onderzochte publieke hotspots was beveiligd met WPA2. Het is dus veilig om aan te nemen dat het overgrote deel van de moderne Wi-Fi-netwerken gebruikmaakt van WPA2.
WPA2 maakt gebruik van een 4-way handshake, waarmee een client en een accesspoint authenticatie uitvoeren en een sessiesleutel overeenkomen. Als dit helemaal goed gaat komt er een beveiligde verbinding tot stand. Deze handshake wordt uitgevoerd zodra een client een poging doet om te verbinden met een draadloos netwerk. Tijdens dit proces installeert de client een sessiesleutel, waarmee de data versleuteld wordt. Dit gebeurt zodra het derde bericht van de 4-way handshake ontvangen is.
Normaliter verstuurt de client een bericht als dit ontvangen is. Als het toegangspunt dit bericht niet ontvangt, wordt het derde bericht opnieuw verstuurd waarna dezelfde sleutel nog een keer geïnstalleerd wordt. Hackers kunnen dit derde bericht echter onderscheppen. Hierdoor installeert de client steeds de nieuwe sleutel en wordt het gebruikte pakketnummer opnieuw gebruikt. Dit geeft de hacker vervolgens de mogelijkheid de pakketten te ontsleutelen en/of te vervalsen.
Dit is volledig afhankelijk van de gebruikte versleuteling. Internetverkeer kan in ieder geval inzichtelijk worden voor de aanvaller als de client gebruikmaakt van een onbeveiligde (http-)verbinding. Wachtwoorden, cookies en andere gevoelige data, die getransfereerd worden via deze verbinding, zijn dan in te zien voor hackers.
Dit wordt een stuk moeilijker, maar niet onmogelijk, als gebruik wordt gemaakt van een beveiligde (https-)verbinding of een VPN. In dit geval is de inhoud van het verkeer alsnog versleuteld. Er zijn scenario’s waar dit ook risico’s oplevert, door bijvoorbeeld kwaadaardige code te implementeren. Om de aanval uit te voeren moet een kwaadwillende zich in de fysieke nabijheid van zijn doelwit bevinden.
De aanval richt zich vooral op de communicatie tussen een client, bijvoorbeeld een computer of telefoon, en een accesspoint, oftewel een router. iOS en Windows 7 en 10 niet vatbaar voor de aanval op de 4-way handshake, maar bijvoorbeeld macOS Sierra 10.12 wel.
In het bijzonder zijn Linux- en Android-apparaten getroffen. Zo zijn Android-toestellen vanaf versie 6.0 kwetsbaar voor de aanval, die er in het geval van deze apparaten voor zorgt dat de encryptiesleutel bestaat uit alleen maar nullen. Hierdoor is deze eenvoudig te voorspellen, wat tot gevolg heeft dat bijvoorbeeld netwerkverkeer is af te luisteren. Ook hier geldt weer dat het gebruik van https of een vpn het netwerkverkeer alsnog beveiligt.
Wij raden met klem aan altijd gebruik te maken van een VPN-verbinding en beveiligde (https-)verbindingen. Het belangrijkste om daarnaast zo snel mogelijk te doen is patches uitvoeren op de clients. Voor de Wi-Fi-oplossingen van WilroffReitsma zijn deze beschikbaar gesteld. WilroffReitsma pusht deze softwareupdates op de access points as we speak, zodat organisaties weer volwaardig en volledig veilig gebruik kunnen maken van Wi-Fi.
Wilt u ook volledig veilig kunnen internetten met beheerde Wi-Fi? Neemt u dan contact met ons op.