Q&A

Q&A KRACK

Alles over de kwetsbaarheid in WPA2

Wat is er precies aan de hand?
Onderzoekers hebben een nieuwe aanval ontwikkeld op WPA2 (de meest gangbare beveiliging van draadloze netwerken). Met deze nieuwe aanval zijn ze erin geslaagd om de beveiliging die WPA2 biedt te doorbreken en het draadloze verkeer af te luisteren. De kwetsbaarheid geeft aanvallers in sommige omstandigheden ook de mogelijkheden om het verkeer niet alleen af te luisteren, maar ook aan te passen.

De onderzoekers hebben hun aanval de naam “KRACK” (Key Reinstallation Attack) gegeven. Het komt er versimpelt op neer dat de beveiliging die WPA2 biedt deels of volledig te omzeilen is door de verschillende kwetsbaarheden.

Wat raadt Fox-IT Wifi-gebruikers aan om nu te doen?
Voor bedrijven geldt: als de vertrouwelijkheid van je gegevens belangrijk is en de informatie op enige moment via wireless verstuurd wordt, gebruik dan encryptie waar je zelf controle over hebt. Hierdoor bescherm je de informatie end-to-end.

Voor thuisgebruikers geldt eigenlijk hetzelfde: als bescherming van je data belangrijk is, gebruik dan een VPN. Installeer daarnaast zo snel mogelijk de beschikbare updates voor je devices om een aanval tegen te gaan.

Hoe ernstig is KRACK?
KRACK is ernstig in de zin dat het de kern van WPA2 raakt. WPA2 is de beveiliging van draadloze netwerken. KRACK doorbreekt die beveiliging ervan en maakt het mogelijk om verkeer dat eigenlijk beschermd zou moeten zijn, af te luisteren.

Verreweg de meeste draadloze netwerken maken gebruik van WPA2 of een oudere WPA-variant en die zijn allemaal getroffen. Dan zijn er nog draadloze netwerken die gebruik maken van verouderde, nog slechtere, beveiliging en ‘open’ draadloze netwerken die helemaal niet beschermd zijn, die worden hierdoor niet geraakt.

Is de WPA2 encryptie nu waardeloos?
Nee, de aanval richt zich op de opbouw van de versleuteling, niet op de versleuteling zelf. De huidige implementaties van WPA2 zijn daarmee wel zo goed als waardeloos geworden tegen elke aanvaller met enige kennis en motief. De problemen in WPA2 zijn relatief eenvoudig te verhelpen.

Zijn alle wireless access points en mobiele devices die WPA2 gebruiken getroffen?
Ja, vrijwel alle wireless access points en mobiele devices die WPA2 gebruiken zijn getroffen. De impact gaat alleen verder dan dat: ook andere apparatuur die WPA2 gebruikt, zoals printers, tandenborstels, wasmachines, weegschalen, televisies, geluidsapparatuur, mogelijke medische apparatuur zijn geraakt.

De onderzoekers geven zelf aan dat in ieder geval grote namen als Android, Linux, Windows, Apple geraakt zijn. CERT/CC houdt een overzicht bij.

Wat moet er nu gebeuren?
De kwetsbaarheid in WPA2 valt te repareren. Hierdoor zullen de aanvallen niet langer succesvol zijn. Leveranciers van apparatuur en ontwikkelaars van software zullen dit voor hun eigen producten moeten doen en deze update vervolgens beschikbaar stellen voor klanten. Zij zullen de update moeten installeren om beschermd te zijn tegen deze aanvallen.

Als WPA2 te ‘patchen’ is, kunnen de getroffen apparaten dan aangepast worden?
Dit onderzoek is al enige tijd bekend. De onderzoekers hebben voorafgaand aan publicatie leveranciers gewaarschuwd. Van een aantal leveranciers is dus al een update beschikbaar. Sommige leveranciers hebben ze zelfs al uitgerold.

Veel gebruikers zullen niet updaten, wat betekent dat voor Wifi?
Dat klopt. In de praktijk worden beveiligingsupdates maar mondjesmaat geïnstalleerd. Voor wifi betekent dit dat als de bescherming van de gegevens die je verstuurt over een draadloos netwerk echt belangrijk is, je niet van de beveiliging van een draadloos netwerk kunt uitgaan als je niet beide kanten van de verbinding onder controle hebt. Nog beter is om niet afhankelijk te zijn van de beveilging van een onderliggend draadloos netwerk, maar om zelf actief je data te beveiliging. Dit kan bijvoorbeeld door het gebruik van VPN-services.

Zijn er veilige alternatieven voor Wifi?
Voor de beveiliging van wifi zijn geen alternatieven. Overstappen op 4G is een optie. Dit is vele malen moeilijker af te luisteren voor een gemiddelde aanvaller. Maar ook daar geldt: als de beveiligng van je data echt belangrijk is, gebruik je versleuteling (VPN) bovenop 4G.

Als er gebruik wordt gemaakt van VPN, loop je dan risico door KRACK?
In zekere zin wel. Uiteindelijk kan het toegang geven tot een intern netwerk, ook al browse je het internet of verbind je naar kantoor middels VPN.

Wie draagt verantwoordelijkheid voor KRACK?
Niemand. WPA2 is ontwikkeld door de security community, op een manier waarvan we weten dat het leidt tot een veilig resultaat. Ook daar kunnen fouten in zitten, maar de verwachting is dat dat veel minder vaak gebeurt.

Deze kwetsbaarheden in WPA2, die zeer ernstig zijn, zijn dan ook de eerste kwetsbaarheden die ontdekt zijn in jaren. De kosten hiervoor komen op veel verschillende plekken terecht: fabrikanten die hun producten moeten updaten, consumenten en bedrijven die tijd moeten investeren om updates te installeren en diegenen waarbij KRACK in de toekomst kan worden gebruikt voor een serieuze aanval.

Hoe verhoudt een verschijnsel zoals KRACK zich met het voornemen van de nieuwe regering om leveranciers verantwoordelijk te stellen voor fouten (lekken) in de software?
KRACK heeft hier zeker mee te maken, maar gaat een niveau dieper. Als je het vergelijkt met auto’s dan is het verstandig om fabrikanten verantwoordelijk te houden voor het opleveren van een veilige auto. Maar als ineens duidelijk wordt dat staal minder stevig is dan altijd werd gedacht, dan kan je dat de fabrkanten niet aanrekenen.

Het gaat wel lastig zijn om hier afbakening te maken, maar als fabrikanten zelf fouten introduceren of foute software van anderen gebruiken, dan kan je daar wel iets mee. Als ze gebruik maken van protocollen en standaarden die later onveilig blijken, dan kan je daar minder mee, maar gelukkig komt dat ook veel minder vaak voor.

Kan Fox-IT ontdekken of een Wifi-verbinding met KRACK gecompromitteerd wordt?
In theorie is dat te ontdekken door het verkeer wat door de lucht vliegt te analyseren en mogelijk door logging op systemen te bekijken, maar dat is nog onbekend.

Erik de Jong

Chief Research Officer
For a more secure society
  • Experts
  • Services
  • Technology