Hier vindt u updates op de originele berichtgeving rondom de WiFi WPA kwetsbaarheid zoals gemeld in oktober:

[Update 08-11] Google heeft een patch uitgebracht om dit probleem te verhelpen. Deze is in de afgelopen maand beschikbaar gesteld aan de fabrikanten van apparaten op basis van Android. Het is nu aan de fabrikanten zelf om de update te integreren in hun toestellen.

[Update 03-11] De Fritz!WLAN WiFi versterker stelt zich, net zoals een telefoon of tablet, op als “client” om het draadloze netwerk te versterken en is daarmee ook vatbaar voor deze kwetsbaarheid. Daarom heeft AVM een update beschikbaar gesteld om dit lek te dichten. Indien u gebruik maakt van een Fritz!WLAN WiFi versterker vindt u hier de update instructies.

[Update 01-11] Gisteravond heeft Apple een update beschikbaar gesteld voor macOS die deze kwetsbaarheid dicht. De update kan vanuit de App Store geïnstalleerd worden. Voor mobiele apparaten op basis van Android is er nog geen patch beschikbaar. Dit kan ook nog wel even op zich laten wachten, aangezien de veiligheidsupdates voor Android apparaten individueel door de verschillende fabrikanten beschikbaar gesteld moeten worden.

[Update 17-10] Apple werkt aan een patch en heeft deze beschikbaar gesteld voor macOS beta versies; Verschillende linux distributies, waaronder het veelgebruikte Ubuntu hebben ook een update uitgebracht.

[Originele melding 16-10] Vandaag werd over een zwakke plek gepubliceerd in de beveiliging van WiFi. Kwaadwillenden kunnen daarmee verkeer afluisteren als ze in de buurt zijn van een WiFi netwerk. Veel verschillende apparaten zijn kwetsbaar voor zo’n aanval en er is nog geen oplossing voor alle apparaten.

Onderzoekers aan de Universiteit van Leuven hebben een kwetsbaarheid gevonden in het WPA2 beveiligingsmechanisme dat wordt gebruikt voor WiFi. De kwetsbaarheid heeft de naam KRACK (Key Reinstallation Attacks) gekregen en bestaat uit een serie aanvallen op verschillende delen van het WPA2 protocol. Door deze kwetsbaarheid kan een aanvaller in bepaalde omstandigheden in staat zijn om verkeer van een WiFi verbonden apparaat af te luisteren.

Het gaat om een zwakke plek in het WiFi-protocol zelf. Daarom hebben veel verschillende apparaten met verschillende besturingssystemen hier last van. Belangrijk is dan ook om updates, zodra ze beschikbaar komen voor uw draadloze apparaat direct te installeren. Verder een paar punten op rij:

  1. Windows 7, Windows 10 en iOS apparaten voorzien van de laatste software update zijn niet kwetsbaar
  2. De aanval is alleen mogelijk door in de buurt van het Wi-Fi netwerk te zijn en werkt dus niet via het internet
  3. De aanval vindt plaats per apparaat, er is dus geen toegang tot het volledige netwerk
  4. Gebruik van VPN, HTTPS en e-mailen via een beveiligde verbinding voorkomt dat dit verkeer kan worden afgeluisterd

Alle Nederlandse telecom- en internet service providers zijn op de hoogte van deze kwetsbaarheid en onderzoeken samen met het Nationaal Cyber Security Centrum (NCSC) en andere partijen in de industrie de impact ervan voor het gebruik van WiFi. Zodra hier meer over bekend is volgt er een update.

 

Deel dit:

Reacties

  1. anoniem says:

    Logica in de moderne techniek: we lanceren een product vol fouten, vragen de klant er veel geld voor en gaan daarmee onze blunders wat verbeteren.. Totdat we vinden dat de klant weer de portomonnee mag trekken.. :-)

  2. Peter says:

    Inmiddels heeft Apple ook op 31 oktober 2017 een update uitgegeven voor MacOS High Sierra. Wie de updates voor de KRACKAttack wil downloaden en installeren kan naar de App Store gaan en op de knop Updates klikken. Meer info vindt men hier: https://www.security.nl/posting/537595/Apple+patcht+KRACK-attack+en+andere+kwetsbaarheden

  3. eindgebruiker says:

    AVM is laat omdat ze niet op de hoogte waren gesteld. Voor de repeater komt een update:
    “AVM became aware of Krack on 16 October. Unfortunately, the responsible disclosure policy that applies in such cases was disregarded by the discoverers of the leak. After further investigation and tests, AVM will provide updates for its wireless repeaters.” (https://avm.de/aktuelles/kurz-notiert/2017/wpa2-luecke-fritzbox-am-breitbandanschluss-ist-sicher/)

  4. Pieter says:

    Volgens AVM komt er geen patch voor de Fritz!box modems. Reden staat hieronder:
    https://en.avm.de/news/short-notes/2017/wpa2-flaw-fritzbox-on-broadband-connections-are-secure/

  5. Pieter says:

    De Linux distributies die inmiddels van een update zijn voorzien:
    1. Linux Mint (vandaag)
    2. Ubuntu
    3. Fedora
    4. OpenBSD
    5. Arch Linux
    Let wel: als slechts 1 onderdeel van het netwerk (computer OF router/modem) is gepatcht, dan kan de aanval niet meer plaatsvinden.
    Meer links:
    https://gathering.tweakers.net/forum/list_messages/1808205
    https://www.bleepingcomputer.com/news/security/list-of-firmware-and-driver-updates-for-krack-wpa2-vulnerability/
    https://www.kb.cert.org/vuls/byvendor?searchview&Query=FIELD+Reference=228519&SearchOrder=4

    • KL says:

      Vanhoef stelt dat beiden, client als router moeten zijn voorzien van een patch om de aanval te stoppen. Dus 1 deel patchen in het netwerk is niet voldoende.

  6. TJ says:

    Het veruit grootste risico van deze hack (de alomtegenwoordige Android apparaten – jawel, het overgrote deel van iedereen z’n mobieltjes, tablets, smartTVs, etc) is in dit verhaal kompleet buiten beschouwing gelaten.

    Dit terwijl die apparaten ook nog eens het minst waarschijnlijk nog een update kunnen verwachten die het probleem verhelpt!

    En als we het toch hebben over onwaarschijnlijke updates: voor het deel van jullie klanten die een AVM router hebben staan, die nog altijd wachten op een update voor het vorige security issue (7 juli), klinkt AVM’s opstelling op dit probleem al net zo onverschillig als hiervoor (‘mwa als we het nodig vinden komen we wel met een updatje’). Dat geeft hoop…

    Het klinkt zo allemaal (weer eens, moet ik zeggen) alsof het vrij weinig impact heeft, maar ondertussen zit iedereen met één of meerdere apparaten vanaf nu ‘veilig’ in het equivalent van een open WiFi te werken, en het is de grote vraag of men updates kan verwachten. Ik heb begrip voor geen paniek zaaien, maar een beetje meer urgentie had wel gemogen in dit verhaal.

    XS4All, waar zijn je roots gebleven…

    • Marijn says:

      Ja, ik vroeg me van de week ook direct af wanneer AVM met een fix zou komen, en dan vooral voor het 7 juli op de blog gemeldde ‘geen zorgen’-probleem. 3 maanden is wel erg lang om je geen zorgen te maken, zeker voor de provider die claimt kwaliteit te leveren.

    • Niels Huijbregts Niels Huijbregts says:

      Als het weinig impact had hadden we het hier niet op onze blog gezet, TJ.
      Android is inderdaad een probleem: dat OS draait op een heleboel apparaten en er is nog geen patch voor. Dat is naar. Maar enige nuance mag wel:
      – de aanval kan alleen worden uitgevoerd door iemand die in de buurt van je huis gaat zitten om verkeer te onderscheppen.
      – https-verkeer is versleuteld, daarin kan dus niet worden meegekeken door aanvallers.
      De impact hiervan voor particuliere gebruikers in Nederland (waar de dichtheid van https-websites hoog is) is hierdoor misschien minder groot dan jij denkt.

      Maar er valt wel een wijze les te trekken uit dit incident: het belangrijk dat apparaten snel over security patches kunnen beschikken. Bij telefoons en tablets gaat dat nog wel redelijk, maar bij smart-tv’s, connected wasmachines en pratende barbiepoppen-met-wifi is dat nog maar de vraag. Het sterk toenemend aantal connected devices in onze huishoudens zorgt voor security-risico’s waar nog onvoldoende over is nagedacht.

  7. Frank V. says:

    Ik heb gisteren reeds een patch van Debian (een Linux distributie) ontvangen en meteen geïnstalleerd op mijn laptop. Dus dit apparaat is nu tegen de lek beschermd.

    Voor achtergrondinformatie over de lek, zie https://tweakers.net/reviews/5789/de-krack-aanval-op-wpa2.html

  8. Erik says:

    Het artikel is niet erg correct qua tijdlijn.
    De kwetsbaarheid is.niet vandaag ontdekt, het embargo op bekendmaking stopte vandaag.
    Al in augustus was de kwetsbaarheids bekend en toen zijn er al diverse bedrijven geïnformeerd. Het nu pas bekendmaken was om bedrijven de tijd te geven om patches / updates uit te brengen.
    Het statement van AVM “If necessary, AVM will provide an update as always. ” is nogal slap, er is duidelijk een flink gat en dat moet gedicht worden.

    Nieuwsbericht wifi Alliance waarin gemeld wordt dat er tijd is genomen om eerst maatregelen te nemen :
    https://www.wi-fi.org/news-events/newsroom/wi-fi-alliance-security-update

    Lijst bij het Cert met getroffen bedrijven en de datum waarop ze op de hoogte zijn gesteld :
    https://www.wi-fi.org/news-events/newsroom/wi-fi-alliance-security-update

    • Douwe says:

      Daar ben ik het mee eens, ik begin mijn vertrouwen in AVM behoorlijk kwijt te raken, de laatste firmware update voor mijn 7369 is al ruim een jaar geleden en in de tussentijd zijn er toch aardig wat security breaches voorbij gekomen. Maar een update? Nee hoor, niets. Ik begin serieus te overwegen maar eens een fatsoenlijke router aan te schaffen.

  9. Frank says:

    OSX en Linux worden hier niet genoemd, betekend dat dat die wel kwetsbaar zijn? lijkt me sterk.

    • Arjan van Hattum Arjan van Hattum says:

      Hoi Frank,

      De kwetsbaarheid die aanvallers in staat stelt gebruikersinformatie uit te lezen bevind zich in de zogenaamde ‘4 way handshake’, de manier waarop een WiFi client verbinding maakt met het WiFi access point. In de WPA standaard is opgenomen dat een bepaald bericht in die handshake opnieuw verzonden mag worden en dat is precies wat de aanval weet te misbruiken. Windows 7, 10 en iOS devices accepteren dat opnieuw verzonden bericht niet, waarmee ze niet kwetsbaar blijken hiervoor. Feitelijk houden ze zich dus niet aan de standaard, maar in de praktijk is dat dus goed.

      OSX en Linux systemen waren dus wel kwetsbaar. Apple heeft ondertussen bevestigd dat zij een patch beschikbaar hebben voor macOS beta versies en grote linux distributies (zoals Ubuntu) hebben dat ondertussen ook. Ik zal de blogpost bijwerken om dat erin mee te nemen.