KRACK-aanvalstechniek: kwetsbaarheid in wifi-netwerken

17 oktober 2017

Onderzoekers van de KU Leuven hebben een onderzoekspaper gepubliceerd met de titel “Key Reinstallation Attacks: Forcing Nonce Reuse in WPA2″[1]. In dit paper bespreken ze een categorie aanvalstechnieken die ze ‘key reinstallation attacks’ hebben genoemd, ook wel ‘KRACK attacks’. Veilig wifi is cruciaal voor het goed functioneren van de Nederlandse samenleving. Vanuit haar coördinerende rol op het gebied van cybersecurity heeft het NCSC contact met haar doelgroepen waaronder de Nederlandse Telecom- Internet Service Providers (aangesloten bij Nederland ICT en Telecom ISAC) over deze kwetsbaarheid.

 

Wat is de KRACK-aanvalstechniek?
De KRACK-aanvalstechnieken richten zich op het doorbreken van de integriteit en vertrouwelijkheid van wifinetwerken die met WPA en WPA2 beveiligd zijn. Een aanvaller die in de buurt is van een netwerk dat met WPA of WPA2 beveiligd is, kan de KRACK-aanvalstechnieken gebruiken om de inhoud van versleutelde netwerkpakketten te achterhalen (‘decryption’), eerder verzonden pakketten opnieuw in het netwerk te injecteren (‘replay’) en vervalste pakketten in het netwerk te injecteren (‘forgery’).

 

In principe is elk apparaat dat wifi gebruikt op basis van WPA of WPA2 kwetsbaar voor deze aanvalstechnieken. De mogelijkheid tot misbruik van deze kwetsbaarheid wordt echter verkleind doordat de aanvaller fysiek in de buurt moet zijn van het wifinetwerk. De aanvalstechnieken zijn daarom lastig op grote schaal efficiënt uit te voeren. Decryptie van het volledige netwerkverkeer met behulp van deze aanvalstechnieken is mogelijk, maar niet waarschijnlijk. Informatie die op een ander netwerkniveau afdoende beveiligd is, bijvoorbeeld met HTTPS of TLS, is niet vatbaar voor deze aanvalstechnieken.

 

Handelingsperspectief
Leveranciers van apparatuur die wifi ondersteunt, brengen updates uit die deze kwetsbaarheden verhelpen. Installeer deze updates, zowel op clients (denk bijvoorbeeld aan laptops, smartphones en embedded devices) als op accesspoints.

 

Het NCSC heeft in het verleden WPA2-PSK op basis van AES-CCMP en WPA2-Enterprise aangeraden als methoden om wifinetwerken te beveiligen. Ook na publicatie van de KRACK-aanvalstechnieken zijn dit de veiligste manieren om een wifinetwerk te beveiligen. Het NCSC heeft een beveiligingsadvies uitgebracht over de KRACK-aanvalstechnieken en werkt dit bij wanneer leveranciers updates voor hun apparaten uitbrengen.

 

Algemene tips voor het veilig gebruik van wifi:

  • Gebruik een VPN verbinding. Lees het factsheet voor advies over veilig gebruik van zowel openbare wifi, als wifi voor het thuisnetwerk.
  • Bezoek alleen websites met https://
  • Installeer altijd de laatste beveiligingsupdates.
  • Kijk voor meer informatie over veilig wifi gebruik thuis en via openbare netwerken op veiliginternetten.nl
  • Volgens de onderzoekers wordt er gewerkt aan een nieuwe versie van de WPA2-standaard die een gestandaardiseerde manier bevat om deze kwetsbaarheden te verhelpen.

 

[1] https://www.krackattacks.com/

 

Bron: https://www.ncsc.nl/actueel/nieuwsberichten/krack-aanvalstechniek-kwetsbaarheid-in-wifi-netwerken.html (NCSC, 16-10-2017)

krack_wpa2-2