Column


Column Michael Marriott

5 tips om je te weren tegen Krack

Dat openbare wifinetwerken alles behalve waterdicht zijn weten we allemaal. Maar wat als je zelfs thuis met je eigen wifiverbinding niet meer veilig bent?

Begin vorige week ontdekte de Belgische onderzoeker Mathy Vanhoef serieuze kwetsbaarheden in Wifi Protected Access ll (WPA2), het protocol voor het opzetten van veilige wifiverbindingen. Deze ontdekking bewijst dat onze vertrouwde wifiverbinding toch niet zo veilig is als we dachten. De onderzoeker heeft een video vrijgegeven waarin is te zien hoe hij de wifiverbinding kraakt. Deze WPA2-hack is ‘Krack-attack’ genoemd.

Kort na de ontdekking berichtte The United States Computer Emergency Readiness Team (US CERT) naar een aantal relevante organisaties dat er gevaar op de loer ligt. Wanneer cybercriminelen een Krack-attack uitvoeren, kunnen zij versleutelde data stelen en ontcijferen, TCP-verbindingen overnemen en HTTP-content aanvallen. Daarnaast kunnen unicast-, broadcast- en multicast-frames opnieuw worden afgespeeld door een man-in-the-middle-aanval. Hieronder beschrijf ik wat we tot nu toe wel, en vooral wat we niet weten over de WPA2-situatie.

Wat weten we wel?
De Belgische onderzoeker heeft een Krack-attack uitgevoerd op een telefoon met het Android-besturingssysteem. Op de vrijgegeven video zie je hoe de Transport Layer Security (TSL/SSL) via SSLstrip wordt aangevallen. Data van het slachtoffer worden in een mum van tijd gedecodeerd en inloggegevens worden simpelweg van het scherm van de hacker afgelezen.

Hoogstwaarschijnlijk is een groot aantal wifi-apparaten kwetsbaar voor de risico’s. Dit geldt met name voor Linux- en Android-apparaten, al is de daadwerkelijke lijst veel langer. Een cybercrimineel moet echter wel fysiek binnen de reikwijdte van je wifiverbinding zijn om deze te hacken. De kans dat je daadwerkelijk gehackt wordt, is hiermee erg klein. Een schrale troost… Gelukkig heeft US CERT een lijst vrijgegeven met de nieuwste firmware en driver updates. Al veel fabrikanten hebben patches ontwikkeld om je te weren tegen het risico.

Wat weten we niet?
Hoewel er een video-demonstratie van de hack is verspreid, is er geen bruikbare code vrijgegeven. De video geeft weliswaar een goed beeld van de Krack-attack, de benodigde technische informatie om een dergelijke aanval te doen blijft vooralsnog onbekend. Er is dan ook nog geen bewijs dat de kwetsbaarheden in WPA2-verbindingen al daadwerkelijk door cybercriminelen worden uitgebuit.

Bij Digital Shadows monitoren we alle activiteit rondom de situatie op het open, deep en dark web. We houden in de gaten wie er waar over de Krack-attack spreekt. Ondanks dat er wel veel interesse getoond wordt door (potentiële) cybercriminelen, hebben we gelukkig nog geen teken gevonden van een aanval.

Vijf tips om je te weren
Met deze vijf tips kun je je weren tegen een potentiële aanval:

  1. Inventariseer welke apparaten zijn verbonden met het wifinetwerk. Let hierbij goed op IoT-apparaten, zoals printers en Linux- of Android-toestellen. De aangesloten apparaten geven een indicatie van het risico dat ze lopen.
  2. Het patchen van je kwetsbare apparaten heeft nu de hoogste prioriteit. Er wordt momenteel hard gewerkt aan nieuwe patches, dus houd dit in de gaten.
  3. Neem een extra beveiligingslaag. Ondanks de welbekende problemen met sommige VPN-verbindingen, is dit een tijdelijke uitkomst. Een andere optie is om cryptografische protocollen te gebruiken, zoals TLS/SSL.
  4. Overweeg een niet-draadloze verbinding. Gezien de risico’s van wifiverbindingen, is het geen slecht idee om een ethernetverbinding te nemen. Dit is voor grote organisaties niet zo handig, maar wel het overwegen waard.
  5. Houd het Krack-nieuws in de gaten, want we hebben er het laatste nog niet over gehoord.

Michael Marriott is research analist bij Digital Shadows.

Verder lezen?

Log in en lees verder of maak hier uw persoonlijk profiel aan en ontvang als eerste het laatste securitynieuws. Speciaal voor u geselecteerd!

Dit veld is verplicht
Vul een geldige e-mailadres in
Dit veld is verplicht