beantwoord

[Melding] WiFi-lek 'KRACK'


jc9
Reputatie 1
  • jc9
  • Nieuwkomer
  • 3 reacties
Goedemorgen,

WPA2 is gekraakt (http://m.datanews.knack.be/ict/nieuws/belgische-onderzoekers-vinden-fout-in-wpa2-beveiliging/article-normal-912905.html). Ik ben benieuwd wanneer mijn Telfort modem daarvoor een firmware update krijgt. Zijn jullie daar al naar aan het kijken?

Mvg
Chris
icon

Beste antwoord door Wieger - Telfort 16 oktober 2017, 15:36


Onderwerp: WiFi-lek 'KRACK'

Beschrijving: Belgische beveiligingsonderzoekers hebben een lek gevonden in het beveiligingsprotocol wat gebruikt wordt door WiFi. Dat is vandaag bekendgemaakt. Het beveiligingslek, 'KRACK' genaamd, zit in WPA2, de wereldwijde standaard voor het inloggen op wifi-netwerken.

Wat kun je zelf doen?
- Gebruik je WiFi, zorg dan voor een versleutelde verbinding via VPN;
- Gebruik je WiFi, maak dan gebruik van beveiligde protocollen zoals o.a. SSH/TLS en HTTPS;
- Gebruik met je laptop of PC een vaste aansluiting indien mogelijk;
- Gebruik - afhankelijk van of je bundel het toelaat - het mobiele 4G netwerk in plaats van Wifi;
- Installeer altijd de laatste beveiligingsupdates.

Verwachte datum van oplossing: nog niet bekend

-------

Update #1 16 oktober 2017 om 09:00: De eerste berichten worden gepubliceerd over een mogelijk lek in het beveiligingsprotocol WPA2.

Update #1 16 oktober 2017 om 14:00: De Nederlandse Telecom- en Internet Service Providers (aangesloten bij Nederland ICT en Telecom ISAC) zijn op de hoogte van de kwetsbaarheid en onderzoeken samen met het Nationaal Cyber Security Centrum (NCSC) en andere partijen in de industrie de impact ervan voor het gebruik van WiFi.

Update #3 19 oktober 2017 om 15:00: De commercieel productmanager van KPN heeft bevestigd dat ook de modems die je bij Telfort in bruikleen kan hebben, waaronder de ZyXEL, niet geraakt worden door deze kwetsbaarheid. Zij maken namelijk geen gebruik van het 802.11 R protocol.

Volgende updates vind je hier: https://overons.kpn/nl/nieuws/2017/beveiligingsonderzoekers-vinden-kwetsbaarheid-in-wifi-protocol

Bekijk reactie

33 Reacties

Teejoow
Reputatie 1
Je doet alsof dit zomaar even met een firmware update is verholpen. Het probleem lijkt een weeffout in het protocol zelf te zijn, niet zozeer in de implementaties van dat protocol. Oftewel; ga je die fout "verhelpen" dan wijzig je daarmee het protocol en kunnen andere, niet gepatchte WPA2 clients waarschijnlijk niet meer verbinden.
ericc
Reputatie 1
Badge
@Teejoow als je het artikel mag geloven is een firware oplossing wel één van de oplossingen:


Het lek kan worden gedicht door het hergebruik van bepaalde encryptiesleutels onmogelijk te maken in het authenticatieproces, aldus het artikel van de onderzoekers. Zij hebben leveranciers van draadloze apparatuur ingelicht over hun ontdekkingen, zodat ze het beveiligingsprobleem met software-updates kunnen oplossen.

jc9
Reputatie 1
Het is inderdaad niet de enige oplossing (The main attack is against clients, not access points. So, updating your router may or may not be necessary: updating your client devices absolutely is! Keep your laptops patched, and particularly get your Android phone updated [https://www.alexhudson.com/2017/10/15/wpa2-broken-krack-now/]), maar het wordt inderdaad aangegeven als onderdeel van de oplossing.
Galdor68
Lees dan ook even verder dat vooral oudere routers die geen updates krijgen het meest gevaar lopen..
PH68
Reputatie 1
Voor de Unifi apparatuur van Ubiquiti is inmiddels een fix aanwezig.

https://community.ubnt.com/t5/UniFi-Wireless/KRACK-update/td-p/2099105

Ik denk dat wij van KPN/ Telfort mogen verwachten dat zij hier ook mee komen!
jc9
Reputatie 1
Mijn modem (ZyXEL P-2812HNU-F1) heeft al een tijdje geen update meer gehad....
Galdor68
Als je de wifi toegang open hebt staan komt het op hetzelfde neer als ik het stuk van die Hudson goed begrijp.
Deze protocollen zijn zoals ik het begrijp dat anderen niet van jouw wifi toegang gebruik kunnen maken.

Iemand moet ook in de buurt van jouw wifi signaal zitten, kortom het is ongetwijfeld ernstig genoeg dus misschien niet verkeerd om tijdelijke de wifi uit te zetten.
Galdor68
Voor mijn sitecom wlr 4004 zal ik het ook handmatig moeten doen als er al iets komt. Er staat al tijden alleen een handleiding als download. Mocht het echt een risico zijn tijd om hem te vervangen dus.

Er wordt in datzelfde blog over clients gerept dus ben nog eerder benieuwd hoe de smartphone makers er mee omgaan.
gwillem
Reputatie 1
Het probleem zorgt ervoor dat niet-https verkeer kan worden afgeluisterd en gemanipuleerd. Je wifi wachtwoord is wel veilig. Meer info > https://www.krackattacks.com/
Galdor68
What if there are no security updates for my router?

Our main attack is against the 4-way handshake, and does not exploit access points, but instead targets clients. So it might be that your router does not require security updates. We strongly advise you to contact your vendor for more details. In general though, you can try to mitigate attacks against routers and access points by disabling client functionality (which is for example used in repeater modes) and disabling 802.11r (fast roaming). For ordinary home users, your priority should be updating clients such as laptops and smartphones.

Zoals de website het beschrijft moet je alles wat van wifi gebruik maakt updaten maar vooral mobiele apparaten.
Wieger - Telfort
Reputatie 4
Badge +1


Onderwerp: WiFi-lek 'KRACK'

Beschrijving: Belgische beveiligingsonderzoekers hebben een lek gevonden in het beveiligingsprotocol wat gebruikt wordt door WiFi. Dat is vandaag bekendgemaakt. Het beveiligingslek, 'KRACK' genaamd, zit in WPA2, de wereldwijde standaard voor het inloggen op wifi-netwerken.

Wat kun je zelf doen?
- Gebruik je WiFi, zorg dan voor een versleutelde verbinding via VPN;
- Gebruik je WiFi, maak dan gebruik van beveiligde protocollen zoals o.a. SSH/TLS en HTTPS;
- Gebruik met je laptop of PC een vaste aansluiting indien mogelijk;
- Gebruik - afhankelijk van of je bundel het toelaat - het mobiele 4G netwerk in plaats van Wifi;
- Installeer altijd de laatste beveiligingsupdates.

Verwachte datum van oplossing: nog niet bekend

-------

Update #1 16 oktober 2017 om 09:00: De eerste berichten worden gepubliceerd over een mogelijk lek in het beveiligingsprotocol WPA2.

Update #1 16 oktober 2017 om 14:00: De Nederlandse Telecom- en Internet Service Providers (aangesloten bij Nederland ICT en Telecom ISAC) zijn op de hoogte van de kwetsbaarheid en onderzoeken samen met het Nationaal Cyber Security Centrum (NCSC) en andere partijen in de industrie de impact ervan voor het gebruik van WiFi.

Update #3 19 oktober 2017 om 15:00: De commercieel productmanager van KPN heeft bevestigd dat ook de modems die je bij Telfort in bruikleen kan hebben, waaronder de ZyXEL, niet geraakt worden door deze kwetsbaarheid. Zij maken namelijk geen gebruik van het 802.11 R protocol.

Volgende updates vind je hier: https://overons.kpn/nl/nieuws/2017/beveiligingsonderzoekers-vinden-kwetsbaarheid-in-wifi-protocol
jc9
Reputatie 1
Dankjewel Wieger! Ik hoor het graag wanneer jullie meer weten.
Wieger - Telfort
Reputatie 4
Badge +1
Hoi jc9, voor de laatste updates raad ik je aan om https://overons.kpn/nl/nieuws/2017/beveiligingsonderzoekers-vinden-kwetsbaarheid-in-wifi-protocol te volgen.
ericc
Reputatie 1
Badge
Wieger - Telfort schreef:

Hoi jc9, voor de laatste updates raad ik je aan om https://overons.kpn/nl/nieuws/2017/beveiligingsonderzoekers-vinden-kwetsbaarheid-in-wifi-protocol te volgen.



Dit is niet meer dan een nieuwsartikel van KPN. Geen enige status update te ontdekken...

Is er inmiddels meer te melden vanuit Telfort? Behalve dan de verwijzing naar een persbericht?
Babylonia
Reputatie 5
Reken er maar niet op dat KPN / Telfort snel is met dit soort patches.

Gezien de ervaring in traagheid uit eerdere verzoeken van aanpassing m.b.t. fouten in firmware, kan dat heel lang duren. Correctie van geblokkeerde poorten voor de Experia Box V10 heeft 9 maanden in beslag genomen nadat de fout was aangemeld.
(En die aanmelding was enkele uren nadat ik indertijd de Experia Box V10 uitprobeerde, nadat Telfort mij die ter test had aangeboden).

Zie ook hoe het wel kan ----> 2e alinea in deze reactie
Galdor68
Kpn zal waarschijnlijk zeggen kijk het onderzoek laat zien dat het vooral de clients zijn die het meeste gevaar lopen dus wifi extenders, laptops, tablets en mobieltjes en zeggen die moeten allemaal maar gepatched worden. Maar wie weet worden de Experiabox gebruikers wel aangenaam verrast met een onverwacht snelle patch.
Galdor68
Update 17 oktober
Uit onderzoek van KPN blijkt dat de routers van KPN die aan consumenten zijn geleverd niet gevoelig zijn voor dit lek en over de laatste updates beschikken.


Vallen de Sitecom routers zoals de WLR-4004 ook onder de KPN routers? Ik neem aan van niet. Voor de zyxels en de EB's houdt dit in dat er een update klaar staat of heel recent is gedaan, dus voordat het probleem openbaar is gecommuniceerd?
Babylonia
Reputatie 5
Aangaande die nieuw aanvullende verklaring van KPN heb ik eerlijk gezegd mijn grote twijfels in de juistheid en oprechtheid van die verklaring. Ik heb echt geen enkel vertrouwen in wat KPN beweert voor wat betreft de firmware van door KPN/Telfort geldende modem/routers.

- De laatste firmware van ZyXEL P-2812HNU-F1 routers dateert vanuit 2016
- De laatste firmware 02.00.138W4 van de Experia Box V8 dateert minimaal van februari 2017
- De laatste firmware van de Experia Box V10 dateert iets vanuit april 2017
. (Zie de aanvulling van een Mod in het antwoord van < DEZE reactie > ).

Zo "voorspellend" vooruitlopen op een algemene kwetsbaarheid aangaande het WPA-protocol zelf, die pas in juli 2017 met enkele fabrikanten is gecommuniceerd, daar acht ik KPN echt niet toe in staat.

Maar bovenal past het ook helemaal niet in de bedrijfscultuur aangaande het beleid wat KPN tot op de dag van vandaag tot nu toe naar hun klanten aan de dag heeft gelegd. Een uitermate conservatief ouderwets en traag georganiseerd bedrijf met een zeer arrogante houding als het aankomt op (innovatieve) updates in firmware en het inspelen op de klachten van gebruikers aangaande die firmware, en de openheid die gewenst is in een eerlijke en oprechte berichtgeving. Daar hoef je diezelfde draad waarnaar ik eerder hierboven naar verwijs maar verder in door te lezen.

Diezelfde houding neemt men nu ook weer ter hand als je goed tussen de regels doorleest van wat die aanvullende verklaring feitelijk inhoudt.
Men wentelt eventuele gevolgen en verantwoordelijkheden nu reeds af naar andere partijen, door in hun aanvullende verklaring te stellen dat het aan het uitblijven van updates ligt van andere partijen die eventueel traag zouden zijn met die updates.

Wellicht naar ik vermoed, om te verhullen dat men zelf helemaal nog geen updates heeft uitgevoerd aangaande het veiligheidslek in het WPA-protocol zelf. (Een vastgelegde standaard).
Die snelheid in update capaciteit heeft KPN gewoonweg niet. Veinzen dat het wel zo is, helpt niet.

Hoe "lek" de informatie van KPN is naar hun klanten, volgt uit het voorgaande, als men de tijdslijnen van het een en ander vergelijkt. Denkt men nu echt dat klanten zo naïef zijn dat ze dat niet doorzien?

Uitgebreide info over het research ten aanzien van de gevonden kwetsbaarheid van het WPA-protocol:
https://www.krackattacks.com
ericc
Reputatie 1
Badge
ZyXEL = Affected

Aldus https://www.kb.cert.org/vuls/byvendor?searchview&Query=FIELD+Reference=228519&SearchOrder=4

Nu alleen nog een update van Telfort aangezien er gebruik gemaakt wordt van custom firmware (zo heb ik ooit eens begrepen)
Galdor68
Als een router niet als client gebruikt word zouden ze minder of niet gevoelig zijn. En wat ik uit de grote lijnen begrijp zit het probleem hoofdzakelijk in het wifi signaal zelf wat onderschept wordt en er een nep AP wordt geconstrueerd. Waardoor allerlei malware naar een mobiel apparaat zou kunnen worden geinjecteerd.

Alleen naar de Providers wijzen is natuurlijk iets te eenzijdig want genoeg fabrikanten van mobiele apparaten nemen ook de moeite niet om de patches van de AOSP uit te rollen. Ik heb op geen van onze toestellen iets gezien en in dit geval lijkt mij het argument uw toestel is te oud niet opgaan.

Zoals ik eerder in andere bewoordingen al schreef het is geen storm in een glas water aan de andere kant zal niet iedereen bestookt worden maar toch even zo min mogelijk van je wifi gebruik maken lijkt mij.
Galdor68
"Wat kun je zelf doen?
- Gebruik je WiFi, zorg dan voor een versleutelde verbinding via VPN;"

Op zich een goeie tip maar voor de gemiddelde internetter toch niet zo heel eenvoudig tenzij je een externe vpn service gebruikt.
Jurgen - Telfort
Reputatie 4
Badge +1
De commercieel productmanager van KPN heeft bevestigd dat ook de modems die je bij Telfort in bruikleen kan hebben, waaronder de ZyXEL, niet geraakt worden door deze kwetsbaarheid. Zij maken namelijk geen gebruik van het 802.11 R protocol.

Zoals ZyXEL aangeeft:
"For products not listed, they are not affected to the attacks either because they are not designed to act as WiFi clients or do not support 802.11r Fast-BSS Transition handshake by default."
http://www.zyxel.com/support/announcement_wpa2_key_management.shtml
Babylonia
Reputatie 5
Na wat verdere bestudering ten aanzien van de WPA kwetsbaarheid, moet ik een aantal verkeerde zienswijzen die ik in mijn eerdere reactie naar voren bracht, terugnemen. En vanuit die verkeerde zienswijze de krachtige bewoordingen die ik uitte tegenover KPN/Telfort. Mijn excuses daarvoor.

Mogelijk dat de complexiteit van de materie voor "leken", en de wijze waarop het onderwerp op internet is beschreven, makkelijk tot verkeerde interpretaties en zienswijzen leiden?
Dat start eigenlijk al bij het web-artikel zelf van de ontdekker van die WiFi / WPA2 kwetsbaarheid.
https://www.krackattacks.com

Met de inleiding van diens web-artikel wordt makkelijk het idee gewekt dat "alle WiFi apparatuur" die kwetsbaarheid zou hebben.

The attack works against all modern protected Wi-Fi networks.

The weaknesses are in the Wi-Fi standard itself, and not in individual products or implementations. Therefore, any correct implementation of WPA2 is likely affected.

Note that if your device supports Wi-Fi, it is most likely affected.


Het protocol of de term "802.11r" wordt in het artikel slechts één keer op diens web-pagina vernoemd. (Alsof het er zijdelings mee te maken zou hebben).

Heb de auteur van het artikel om verdere informatie en verduidelijking gevraagd, maar vooralsnog geen antwoord gekregen. (Begrijpelijk, want ik vermoed dat hij berichten uit de hele wereld krijgt toegestuurd, en niet zit te wachten op de vragen van een Telfort forumgebruiker).

Kijk ik verder op internet naar gebezigde termen en protocollen en de onderlinge samenhang ervan, is die samenhang eerlijk gezegd nog steeds niet altijd duidelijk.

Bijvoobeeld onder WiKi ten aanzien van de term "802.11r",
komt het woord "WPA" (of WPA2) zelfs in het geheel niet voor.

https://en.m.wikipedia.org/wiki/IEEE_802.11r-2008

Informatie die ik vond onder een productgroep van Cisco was evenwel zeer verhelderend:
Zie < DEZE informartie ten aan zien van de "Meraki" productgroep >
Uiteraard hebben de patches alleen hun geldigheid m.b.t. tot hun producten, maar de beschrijving van de kwetsbaarheid in welke productgroepen dat het betrekking zou kunnen hebben, en in hoeverre dat je dat ook kunt doortrekken naar andere merken, lijkt me verder duidelijk omschreven.

Dan nog wel een vraag m.b.t. KPN/Telfort, hoe de kwetsbaarheid is ten aanzien van de WiFi-versterkers die zij leveren?

Overigens mocht je zelf de kwetsbaarheid willen testen, heeft de ontdekker van de kwetsbaarheid wel een script geschreven (o.a. voor Android), waarmee je die test zou kunnen uitvoeren.
Galdor68
Voor mensen met veel domotica iot producten lijkt dit mij momenteel iets belangrijker om in de gaten te houden
https://www.infosecuritymagazine.nl/2017/10/20/nieuw-iot-botnet-groeit-sneller-dan-mirai/
morenoralfo
Reputatie 2
Met name primitive domotica centrales, o.a. HomeWizard lite, zoals recent via de Action aangeboden.
Gelukkig gaat de communicatie naar de cloudservice wel via TLS.
Of de diverse goedkope IP-cams - webserver alleen via http te benaderen (welke sowieso de hele tijd "naar thuis bellen" vaak genoeg zonder encryptie i.v.m. de standaard ingerichte cloudservice).

Reageer

    • :D
    • :?
    • :cool:
    • :S
    • :(
    • :@
    • :$
    • :8
    • :)
    • :P
    • ;)