beantwoord

Meerdere zwakheden gevonden in het WPA2 protocol, wifi staat wijd open

  • 16 oktober 2017
  • 14 reacties
  • 619 keer bekeken

Reputatie 1
Vandaag is op de Arstechnica-website een artikel geplaatst, waarin bekend wordt dat zo'n beetje elke router met WPA2-wifi af te luisteren valt. Het gaat om "several key management vulnerabilities", waarmee elke huis/tuin/keukenrouter is te onderscheppen is.

Ik ben benieuwd hoe de visie van Telfort hier op is, en wat zij denkt eraan te gaan doen.

De link:
https://arstechnica.com/information-technology/2017/10/severe-flaw-in-wpa2-protocol-leaves-wi-fi-traffic-open-to-eavesdropping/
icon

Beste antwoord door Wieger DB 16 oktober 2017, 17:20

Hoi Klojum, welkom terug. Voor meer informatie en de laatste updates over dit probleem, raad ik je aan op de pagina voor KRACK van KPN. De updates vanuit KPN gelden ook voor Telfort klanten.

@GJC, bedankt voor je bijdrage!
Bekijk reactie

14 reacties

Reputatie 8
Badge +11
Ik had het inderdaad al op Tweakers gelezen. Ik laat het maar aan de knappe koppen over. Paniek gaat me niet helpen.
Ook ik ben heel benieuwd wat er gaat gebeuren.
Reputatie 7
Badge +13
Hoi Klojum, welkom terug. Voor meer informatie en de laatste updates over dit probleem, raad ik je aan op de pagina voor KRACK van KPN. De updates vanuit KPN gelden ook voor Telfort klanten.

@GJC, bedankt voor je bijdrage!
Reputatie 8
Badge +17
Hoi Klojum, welkom terug. Voor meer informatie en de laatste updates over dit probleem, raad ik je aan op de pagina voor KRACK van KPN. De updates vanuit KPN gelden ook voor Telfort klanten.

@GJC, bedankt voor je bijdrage!

Gebruik het mobiele 4G netwerk i.p.v. Wifi;Goeie tip! 😛
Reputatie 8
Voor meer informatie en de laatste updates over dit probleem, raad ik je aan op de pagina voor KRACK van KPN. De updates vanuit KPN gelden ook voor Telfort klanten.

Hoop dat KPN / Telfort voor haar klanten de ernst ervan inziet en vlot een patch ervoor uitbrengt.
Maar gezien de ervaring in traagheid uit eerdere verzoeken van aanpassing m.b.t. fouten in firmware, zouden we er mogelijk nog eens lang op moeten wachten.

Haal altijd als voorbeeld de uitstekende support aan van bijv. een merk als Synology.
Dat merk kunnen we nu nog steeds als voorbeeld stellen.
Gisteren stond op hun website ook daar de kwetsbaarheid m.b.t. het WPA(2) protocol vermeld.
https://www.synology.com/en-us/support/security/Synology_SA_17_60_KRACK

Nog geen 24 uur later is dat volledig met een firmware update opgelost.

- RT1900ac https://www.synology.com/en-us/releaseNote/RT1900ac
- RT2600ac https://www.synology.com/en-us/releaseNote/RT2600ac
Opgelost tot de volgende vulnerability ontdekt wordt wifi protection blijft een zwakke schakel.
Voor de sitecom gebruikers verwacht ik zeker niks, althans niet de door Telfort geleverde sitecoms.
Dus dan komt het neer op de tablet en telefoon fabrikanten en die zijn ook niet altijd even vlot.
Reputatie 8
Opgelost tot de volgende vulnerability ontdekt wordt wifi protection blijft een zwakke schakel.
Komt er toch gewoon weer een nieuwe patch. (Of nieuw protocol wat beter voldoet).
Wat mij dus verbaast dat tussen wep en wpa maar 6 jaar zit, en wpa2 vanaf 2006 verplicht werd. Dus heeft die WiFi Alliance in die tussentijd 11 jaar alleen maar geld voor certificeringen binnen geharkt? Er had toch allang een wpa3 of iets heel nieuws kunnen zijn ontwikkeld.

Voor de jaartallen verwijs ik naar deze Bron

Niet om alles af te zwakken maar als ik lees dat iemand met een laptop en mogelijk meer spul in de buurt van jouw router moet zitten maak ik me er persoonlijk niet heel druk over.

Ik zal geen openbare openbare wifi spots gebruiken maar dat deed ik toch al niet of nauwelijks.

Bijna iedereen zal blijkbaar in de buidel moeten tasten en al hun clients en routers vervangen als die geen patch ontvangen.
Reputatie 8
Meestal wordt er pas iets nieuws ontwikkeld als het oude is achterhaald en niet meer voldoet.
Het heeft tot nu toe voldaan. Met de patch, voldoet het ook nu weer. Niet moeilijker maken dan nodig.

Ik zal geen openbare openbare wifi spots gebruiken maar dat deed ik toch al niet of nauwelijks.
Het gaat niet om openbare (niet beveiligde) hotspots, maar juist om WiFi netwerken die WEL beveiligd zijn, waarbij je een wachtwoord moet invullen om in het netwerk te kunnen komen. Dat is dus lek (zonder de nodige updates).

Maar ook "besloten" WiFi netwerken in het gebruik bij hotels, restaurants etc. waar je een wachtwoord moet invullen, zijn in die zin "openbaar", omdat je de verbinding deelt met anderen "onbekenden" in hetzelfde netwerk. Dan ligt het verder nog aan andere instellingen of je daarbij de data van andere apparaten in het netwerk kunt opvangen, waarbij ik me afvraag of de nu gevonden hack, dat tevens overbrugt?

Ik doel daarbij op "AP-isolatie". Een standaard gebruikte instelling bij WiFi-netwerken van hotels, retaurants etc. maar ook openbare hotspots waarbij apparaten "normaal" gezien niet met elkaar kunnen communiceren (of van elkaar data kunnen traceren), ondanks dat mobiele apparaten in hetzelfde netwerk zitten.
Zoals ik het begrijp is alle wiffi communicatie tussen AP en client vulnerable (bij gebrek aan goed nederlands woord)

Ik vind via google tot nog toe niet echt hoe ik nu mijn tablet bijvoorbeeld met behulp van een vpn verbind ik kwam wel iets tegen in de sitecom instellingen dus wellicht moet ik de handleidingen daarvan nog eens bestuderen.

Anyway tot nu toe heeft alleen de epson printer een update gehad
Reputatie 8
Gisteren dus een update van mijn Synology router (binnen 24 uur), omdat er standaard WiFi op zit.
Nu een dag later tevens de firmware van de Synology NAS apparaten.

Dat beschouwt men kennelijk als een "lagere prioriteit" waardoor het iets langer duurde. Een NAS maakt standaard namelijk helemaal geen gebruik van WiFi (en zou je die patch niet nodig hoeven te hebben). Maar alleen in het relatief weinig voorkomende geval dat je er nog een een WiFi dongle bij aansluit voldoet het in die gevallen dus alsnog ook voor die combinatie. ;)

Wil je een verbinding met internet via VPN, zou dat kunnen via een VPN-server die je thuis hebt geïnstalleerd, of via een VPN-provider.
Daarom snap ik die tip niet op die kpn site, ik niet iedereen ineens naast hun telefoon abo vpn services afsluiten. En om daar zelf mee te gaan prutsen is te doen maar je moet wel weten wat je doet anders gaat het juist averechts werken.
Reputatie 8
Nou, die tip van VPN snap ik wel, omdat er nauwelijks alternatieven zijn qua veiligheid.
Vetrouwen op alleen een https verbinding, is voor de meeste gebruikers wel heel magertjes.
Moet je elke website die men bezoekt en waarbij je data invult (zoals voor dit forum) controleren op het gebruik van HTTPS. Terwijl dat (zonder patch) eventueel nog omzeild kan worden.

Als het om VPN gaat, lijkt OpenVPN daarbij nog de beste optie te zijn, omdat je daar op elke Client die je gebruikt, manueel eenmalig nog een extra certificaat op je mobiele apparaat moet installeren, wat correspondert (uitgegeven) door de VPN-server. Zonder zo'n certificaat geen VPN-verbinding.

Fabrikanten als Synology en DrayTek hebben daarnaast nog hun eigen VPN-varianten om via mobiele apparaten via gecertificeerde connectie "standaard" daarmee het internet op te gaan.

Daarenboven kun je naast die beveiligingen, alsnog ook een HTTPS verbinding gebruiken.
Dus krijg je een dubbele verleuteling op verschillende niveaus, nog "achter" het WPA2 protocol.
VPN met certificaat (+ persoonlijke key) + HTTPS

De overhead op processorkracht wordt op die wijze met versleutelen en ontsleutelen van data wel steeds groter, waardoor de effectieve internetsnelheid daalt van een connectie.

Naast de tips die zijn gegeven, zou ik zelfstandige apps met betrekking tot tele-bankieren e.d. maar helemaal niet gebruiken zolang het lek nog niet is gepatched.
- Dus niet telebankieren via WiFi
- Geen websites benaderen waarbij je persoonlijke gegevens en wachtwoorden gebruikt.
. (Digi-D codes, belastingdiensten etc.)
Je moet dan lijkt mij toch wel de vpn service vertrouwen en op zich begrijp ik de tip wel maar je zal dan toch op elk device een app moeten installeren of van alles moeten instellen.
Het is niet iets wat ik de gemiddelde internetter zie doen, die wil een apparaat aan kunnen zetten en veilig kunnen gebruiken zonder nog van alles te moeten installeren.
Aan de andere kant zullen velen al wel een vpn hebben vanwege het kijken naar streams etc.

Zo om mij heen hoor ik hier weinig mensen over. Niet echt een massa paniek lijkt het.
Reputatie 8
Massa paniek is ook helemaal niet nodig. Houd het hoofd koel en ben realistisch.

Men heeft het beveiligingslek vooralsnog in een laboratorium ontdekt. Dus echte hackers zijn er nog niet mee aan de slag gegaan. Maar negeren moet men het natuurlijk beslist niet.

Hackers zullen het nu werkelijk redelijk snel gaan inzetten, nu de truc bekend is gemaakt. Maar het is te verwachten dat er niet ineens “hele hordes” van hackers rond gaan lopen in je directe omgeveving "thuis". Verwacht ook niet dat je buren jou zonodig proberen te hacken. (Of je moet wel een heel slecht relatie hebben met je buren). Nog afgezien in de inschatting of ze de ICT kennis überhaupt wel hebben om te kunnen hacken.

Meer risico loopt men bij openbare plaatsen waar WiFi wordt gebruikt, zoals bij luchthavens, restaurants, hotels e.d. Waar mensen relatief anoniem signalen kunnen oppikken.

En om moelijke toestanden in de opzet met VPN te vermijden, gebruik in dat geval het 3G/4G mobiele netwerk. (Wat uiteindelijk ook niet veilig is, want telefoonverkeer kan ook worden afgetapt, maar speelt zich af op een ander niveau).

Reageer