Hoe bescherm je zakelijke wifi netwerken tegen KRACK?
Grote kans dat de IT-afdeling van jouw bedrijf al in actie is gekomen na dit nieuws. Bijna alle wifi netwerken ter wereld die met een wachtwoord zijn beveiligd zijn nu kwetsbaar voor de “KRACK Attacks”. Een reeks kwetsbaarheden die onder de naam Key Reinstallation Attacks (KRACK) zijn vrijgegeven.
Harry Sintonen, Senior Security Consultant bij F-Secure, stelt voor om apparaten en access points zo snel mogelijk te patchen.
“Het is nog een beetje onduidelijk wat er precies nodig is om de kwetsbaarheden te exploiteren, en welke combinaties van kwetsbare en niet-kwetsbare apparaten problematisch zijn,” zegt hij.
Afhankelijk van de fabrikant zijn er al fixes beschikbaar. Maar sommigen hebben minder geluk: “Veel wifi-apparaten en access points van eindgebruikers krijgen misschien nooit een update en moeten wellicht worden vervangen,” merkt Harry op.
Gezien het aantal fabrikanten dat nu verplicht is emergency updates uit te voeren, moeten er in de tussentijd voorzorgsmaatregelen worden genomen.
“Als jouw bedrijfsnetwerk WPA2 gebruikt om een ‘veilig’ netwerk te bieden en geen encryptie tussen end points of servers gebruikt, moet je wellicht heroverwegen of je dat netwerk vertrouwt,” zegt Harry.
“Alle WPA / WPA2-gebaseerde oplossingen worden beïnvloed, waaronder WPA2 Enterprise. Dit heeft ook invloed op de meeste corporate wifi netwerken. ”
Wat moet jouw bedrijf doen met een wifi netwerk waarvan je niet zeker weet of het betrouwbaar is?
“Het goede nieuws is dat de beveiligingsmaatregelen waarmee we deze kwetsbaarheden oplossen, dingen zijn die je sowieso moet doen. Om te beginnen zijn we er nooit vanuit gegaan dat wifi veilig was,” zegt Jarno Niemelä, Lead Researcher van F-Secure Labs .
Het gebruik van VPN (virtual private network), zoals F-Secure FREEDOME, is een manier waarop gebruikers veilig kunnen blijven. Maar houd er rekening mee dat deze oplossing individuele gebruikers beschermt, niet een heel netwerk.
In tegenstelling tot veel cyberaanvallen, kunnen aanvallen die gebruikmaken van de KRACK-kwetsbaarheden niet vanaf elke plek op aarde worden uitgevoerd.
“Een praktische aanval vereist dat de aanvaller ruwe Wi-Fi-frames injecteert via radio,” zegt Harry. “De aanvaller moet dus relatief dicht bij de doelomgeving zijn.”
Als een aanvaller dicht bij je netwerk is, kan hij toegang krijgen tot tenminste een deel van je verkeer, afhankelijk van het protocol dat je toestel gebruikt.
“Als je toestel het TKIP-protocol gebruikt, kan de aanvaller alles doen – dus traffic lezen en manipuleren,” legt Jarno uit. “Als het apparaat AES gebruikt, dat is het aanbevolen protocol, kan de aanvaller alleen het verkeer lezen.”
Sommige specifieke apparaten lopen met name het risico te worden gecompromitteerd. Volgens de site van KRACK Attacks zijn dat in het bijzonder apparaten die Android 6.0 en hoger draaien. Dit betekent dat 41% van de Android-apparaten kwetsbaar is voor deze uitzonderlijk verwoestende variant van de aanval.
“We zijn op de hoogte van het probleem, en we zullen in de komende weken alle getroffen apparaten patchen,” reageerde een woordvoerder van Google op Forbes. Apple zegt echter dat het de exploits voor de iOS, tvOS, watchOS en macOS betas al heeft gepatcht.
Voorlopig moet iedereen die wifi gebruikt met deze ongepachte beveiligingslekken in gedachten houden dat het netwerk dat ze gebruiken, net zo onveilig kan zijn als gratis openbare wifi.
Categorieën