Let op! Sinds 1 juli 2018 zijn Insite Security en ITsec samen verder gegaan als Qbit Cyber Security .

KRACK Security Update

Maandag 16 oktober, werd een nieuw soort aanval gemeld, KRACK. Een aanval op het WPA2 protocol waarmee ingebroken kan worden op de verbinding. In deze update gaan we dieper in op KRACK. Wat houdt het precies in en hoe kun je je hier tegen wapenen?

insite security hacker eye code

Uw Wifi beveiliging is kapot

Key Reinstallation Attack (KRACK) betreft een nieuw soort aanval op WPA en WPA2 beveiligde wifi netwerken. Deze aanval richt zich op de communicatie tussen de client, bijvoorbeeld een smartphone en een access point, dan wel router. Wanneer de client verbinding maakt met een draadloos netwerk wordt een zogenaamde ‘4-way handshake’ uitgevoerd. Op deze manier wordt vastgesteld dat zowel de client als het access point de juiste credentials bezitten, i.e. het gedeelde wachtwoord om toegang tot het netwerk te krijgen. Op hetzelfde moment wordt een encryptiesleutel afgesproken tussen de client en het access point waarmee alle communicatie wordt versleuteld. Met KRACK misleidt een aanvaller de client en het access point door een encryptiesleutel die al in gebruik is opnieuw te installeren. Dit wordt gedaan door de berichten die worden verstuurd om de beveiligde draadloze verbinding op te zetten te manipuleren en opnieuw te versturen. Zie ook https://www.krackattacks.com/.

Welke risico’s veroorzaakt KRACK?

De gevolgen van KRACK zijn dat alle gegevens die over een met WPA/WPA2 beveiligde wifi netwerken lopen kunnen worden onderschept en/of aangepast. Bijna alle draadloze netwerken, zowel thuis als kantoor, maken gebruik van WPA/WPA2. Dit risico geldt dus eigenlijk voor iedereen. De aanval kan worden gebruikt om gevoelige informatie zoals wachtwoorden en creditcard nummers te stelen. In sommige gevallen is het zelfs mogelijk om bijvoorbeeld malware te injecteren en gegevens te manipuleren.

Wanneer je WPA-TKIP of het GCMP encryptie protocol gebruikt, in plaats van AES-CCMP, is de impact bijzonder groot. In deze gevallen is het niet alleen mogelijk gegevens te onderscheppen, maar ook te manipuleren en te injecteren. Let wel, ook het AES-CCMP encryptie protocol is kwetsbaar. De impact is minder groot omdat, voor zover nu bekend, alleen gegeven kunnen worden onderschept. De aanval heeft de meeste impact op versie 2.4 of hoger van wpa_supplicant, een wifi client die doorgaans wordt gebruikt door Linux systemen. Onder andere Android versie 6.0 en hoger gebruikt deze client. Hoe de aanval werkt op een Android smartphone kun je hier zien.

Microsoft heeft al een security patch uitgebracht voor Windows 7, 8, 8.1 en 10. Deze kunnen simpelweg worden gedownload en geïnstalleerd via de update functie. Apple heeft ook al een security patch. Deze wordt uitgebracht bij de volgende update ronde, 10.13.1 voor OS X en 11.1 voor iOS apparaten. Vermoedelijk nog deze maand. Als je wilt weten of een specifiek product (nog) kwetsbaar is, kun je  de CERT/CC database raadplegen of contact opnemen met de leverancier.

Hoe beperk je de risico’s?

  • Maak altijd zoveel mogelijk gebruik van een versleutelde verbindingen. Bijvoorbeeld HTTPS of een VPN. Door het gebruik van een versleutelde tunnel is het voor een aanvaller niet meer mogelijk om verkeer in te zien of te manipuleren.
  • Gelukkig worden steeds meer websites standaard al voorzien van HTTPS. Voor gebruikers is het daarom nog belangrijker om goed op het certificaat (het slotje) van een website te letten, en waarschuwingen van de webbrowser niet te negeren.
  • Maak, afhankelijk van het risico, gebruik andere communicatie-kanalen zoals een bedrade verbinding, 3G/4G in plaats van wifi.
  • Zorg ervoor dat versleutelde diensten zoals HTTPS en VPNs zijn gehard tegen aanvallen en geen kwetsbare versleutelprotocollen gebruiken. Met vrijelijk beschikbare tools als testssl is dit laatste te controleren.
  • Houd leveranciers in de gaten voor het leveren van patches voor clients zoals smartphones, laptops, computers en andere apparaten. Installeer patches zodra deze beschikbaar zijn.

Insite Security helpt

Insite Security kan in kaart brengen of de systemen die gebruikt worden voorzien zijn van de relevante updates. Daarnaast adviseren wij bij het ontwerpen en opzetten van eigen encryptie, bijv. via VPN, om KRACK kwetsbaarheid.

Insite Security kan ook beoordelen of, wanneer HTTPS als aanvullende beschermingslaag wordt gebruikt, voldoende is. In een aantal gevallen kan deze laag alsnog worden omzeild. Nog niet zo lang geleden bijvoorbeeld kon HTTPS worden omzeild door niet-browser software in Apple’s iOS en OSX, Android apps, internetbankier apps en zelfs VPN apps.

Een ander belangrijk aspect waarmee wij organisaties helpen is het patch-beleid. Security patches worden vaak niet, of pas veel te laat geïnstalleerd. Het is onze verwachting dat bedrijven jarenlang kwetsbaar blijven omdat ze simpelweg niet updaten.

We adviseren deze informatie te delen met degene die binnen je organisatie verantwoordelijk is voor informatiebeveiliging. Neem bij vragen gerust contact met ons op via info@insitesecurity.nl.

Contactformulier

Meer artikelen

Bekijk al het nieuws