Ekspert om WPA2-sårbarhed: »Himlen er ikke ved at falde ned, men...«

Foto: Mathy Vanhoef
KRACK-Attack, der udnytter en sårbarhed i wifi-forbindelser er et omfattende problem. Men hvis du sørger for at opdatere enheder og firmware, så burde det ikke blive et problem, mener it-sikkerhedsekspert.

Mange computere, smartphones og tablets er udsatte mål for en ny type angreb, der udnytter en sårbarhed i WPA2-protokollen. Historien kom frem i dag, og det er en risiko, der kom bag på mange i it-sikkerhedsbranchen.

Tom Madsen, FortConsult

»Himlen er ikke ved at falde ned om ørerne på os, men den er kommet lidt tættere på. Du skal være bekymret. Det her angreb kan angribe alle devices - alle er udsatte. Det er de fordi, det er i selve protokollen, de har fundet den her sårbarhed,« siger Tom Madsen, Security Advisor hos FortConsult.

Man har siden omkring middag kunnet læse om WPA2-usikkerheden på hjemmesiden KRACK Attacks, der i detaljer beskriver både, hvordan WPA2 kan udnyttes som it-kriminel, men også hvordan det lykkedes at finde fejlen.

Siden skriver allerede i sin introduktion, at »Bemærk at hvis din enhed benytter wifi, så er den højst sandsynligt påvirket.«

Udnytter overset svaghed mellem enhed og access point

Inden din enhed taler med et access point - som en router - autoriserer de hinanden, og det gør de med et såkaldt four way handshake, der på overfladen har fungeret fint i mange år.

Din telefon og dit access point sender fire pakker frem og tilbage. For pakke tre specifikt kan der ske det, at hvis den ikke har modtaget pakken, så kan den bede om at få sendt den igen - og dét kan misbruges med KRACK, der er opdaget af den belgiske it-sikkerhedsforsker Mathy Vanhoef.

»Han har været smart og har tænkt ude af boksen. Han har tænkt gad vide om, og så prøvet det af og fundet ud af det var skidt. Det er der sikkert andre, der har fundet ud af før ham, der bare ikke har fortalt om det,« siger Tom Madsen.

KRACK udnytter altså et hul i implementeringen af WPA2-protokollen, der kan bruges til at få adgang til andre enheders trafik på det trådløse netværk. Angriberen behøver ikke have fysisk adgang til netværket, men skal bare være tæt nok på til trådløst at kunne forbinde til det.

Opdateringer på vej

Tom Madsen opfordrer til at køre opdateringer af både enheder og access points.

»Virksomhederne har nok noget patchmanagement, men det er i ligeså høj grad vores private routere derhjemme, der skal opdateres - og det er nok de færreste der ved, hvordan man opdaterer firmware på routeren derhjemme,« siger Tom Madsen, der samtidigt understreger, at private netværk også kan være udsatte, da nøglen, der bruges til four way handshake ind i mellem skal re-autentificeres.

Tom Madsen påpeger dog samtidigt, at bekymringen endnu ikke bør give anledning til panik. Mathy Vanhoef kontaktede for flere måneder siden leverandørerne omkring fejlen, og der forventes at komme opdateringer snart.

Samtidigt er det en svaghed, der først nu er offentliggjort. Mathy Vanhoef har påpeget en sårbarhed, men har ikke samtidigt udsendt noget kode, så inden det kan bruges ondsindet, skal it-kriminelle altså først nu designe en måde at udnytte det.

Siden flere af de store firmaer har haft kendskab til problemet i måneder, burde der altså ikke være et problem - så længe man blot holder både enhed og access point opdateret.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (16)
Hans Schou

Det lyder som om, at hvis en hacker er i radio-afstand til en Wifi-router, så er det et problem. Og det gælder også Wifi med password (hvis nogen skulle være i tvivl).

Det kunne være på biblioteket, uden for bygninger med kraftigt signal, og folk der bor i lejlighed.

Her ville angriber kunne aflæse ukrypteret kommunikation såsom http, smtp, ftp, nfs og telnet (ja det har min router). Folk der har noget at skjule, og kun bruger https og ssh o.l., har ikke noget at frygte.

Mit gæt er, at der om 6 måneder er mindst 50% routere der ikke opdateret.

Martin Poulsen

»...Det her angreb kan angribe alle devices - alle er udsatte. Det er de fordi, det er i selve protokollen, de har fundet den her sårbarhed,« siger Tom Madsen, Security Advisor hos FortConsult.

KRACK udnytter altså et hul i implementeringen af WPA2-protokollen,...

Mig bekendt er det, det sidste: https://marc.info/?l=openbsd-misc&m=150815062312041&w=2

Thomas Toft

HTTPS hjælper ikke ret meget for de fleste brugere. Du kan tvinge dem over på et fake accesspoint/evil twin og vise dem en kopi af det site de vil tilgå automatisk, i http format, og indsamle logins. Folk der ikke kigger på hængelåsen hver gang vil have nul beskyttelse. Der findes en masse værktøjer der gør den slags helt automatisk på alle WiFis de kan se.

Med mindre man er ufejlbarlig eller bruger en VPN så er WiFi som et åbent postkort.

Det gør ingen forskel at man bor i hus med mindre man har en park rundt om. Man kan sagtens opfange det ude fra vejen. Har jeg hørt.

Tobias Tobiasen

HTTPS hjælper ikke ret meget for de fleste brugere. Du kan tvinge dem over på et fake accesspoint/evil twin og vise dem en kopi af det site de vil tilgå automatisk, i http format, og indsamle logins


Det lyder meget mærkeligt. Hvis jeg f.eks. går ind på https://danskebank.dk i min browser kan et fake accesspoint så virkelig snyde browseren til at forwarde til http version af siden?
Det har jeg svært ved at tro på. Jeg vil nærmere tro at browseren fortæller dig at https://danskebank.dk præsenterer et forkert certifikat og derfor nægte at gøre yderligere.
Hvis det er som du beskriver er det et enormt sikkerhedshul i browseren.

Med det jeg har set ser dette hack ikke særligt farligt ud. Langt det meste traffik fra min computer er https (eller anden ssl) og der er det ligegyldigt om nogen lytter med på linien.

Kim Hjortholm

KRACK attack har ikke noget med fake accesspoint at gøre.

https trafik er stadig sikret, men det er muligt at koble sig på din router med KRACK attack og dermed se alle devices på netværk => internet enabled fjernsyn, lamper, brødristere og andre IOT devices vil blive udsat for flere angreb. Alt ikke krypteret trafik kan ses og ikke mindst manipuleres.

Henrik Størner
Tobias Tobiasen

Netop. Der er faktisk en video på krackattacks.com som viser netop hvordan sårbarheden udnyttes til at lave et man-in-the-middle angreb så brugeren ender med at tilgå et site med http i stedet for https.


Skræmmende video. For mig ligner det en bug i browseren. Er der nogen der kan forklare hvorfor browseren ikke går ind på https versionen når man skriver "match" i location baren?

Tobias Tobiasen

Hvis mitm virkelig er så let som videoen viser mon det så får Datatilsynet til at genoverveje deres holdning til form sider uden https?

Det er denne historie jeg tænker på
https://www.version2.dk/artikel/datatilsynet-afviser-anmeldelse-manglend...

Det kunne være spændende hvis version2 ville grave lidt i om Datatilsynet har ændret holdning efter et demonstreret angreb hvor http på login siden åbenlyst ikke er godt nok.

Jens Krabbe

Kevin Beaumont skriver på
https://doublepulsar.com/regarding-krack-attacks-wpa2-flaw-bf1caa7ec7a0

Regarding Krack Attacks — WPA2 flaw
So there’s a new Wi-Fi attack. In the media it is being presented as a flaw in WPA protocol which isn’t fixable. This isn’t true.
Before we all burn the house down, however, and declare security problems not fixable, let’s get to some important things for organisations:

  • It is patchable, both client and server (Wi-Fi) side.

  • Linux patches are available now. Linux distributions should have it very shortly.

  • The attack realistically doesn’t work against Windows or iOS devices. The Group vuln is there, but it’s not near enough to actually do anything of interest.

  • There is currently no publicly available code out there to attack this in the real world — you would need an incredibly high skill set and to be at the Wi-Fi base station to attack this.

  • Android is the issue, which is why the research paper concentrates on it. The issue with Android is people largely don’t patch.

Hans Schou

Der er faktisk en video på krackattacks.com som viser netop hvordan sårbarheden udnyttes til at lave et man-in-the-middle angreb så brugeren ender med at tilgå et site med http i stedet for https.


Og ingen rød besked om at der er noget galt, se kl 03:00. Flot!
Så kun brugere der ved, at det pågældende site skal have https, er klar over at der er noget galt. Det er egentlig lidt bekymrende.

Mogens Lysemose

Spot on! Der kommer kun sikkerhedsopdateringer til enheder hvor producenten ser en benefit af at lave den! Ikke min router, ikke mine Lenovo tablets, ikke mine og mine forældres og svigerforældres mange dimser som er gamle men "virker fint"! Når produkter er ældre end x måneder gider producenterne selvfølgelig ikke lave gratis opdateringer længere og så hænger man der med hardware der virker men er usikkert at bruge!

Lasse Mølgaard

Det gør ingen forskel at man bor i hus med mindre man har en park rundt om. Man kan sagtens opfange det ude fra vejen. Har jeg hørt.

Giv mig en kraftig nok antenne og det er ikke noget problem.

Jeg har koblet på et Access point på 400 m afstand og jeg har set andre antenner, som kan klare op til 1 km.

... så den park skal være af en hvis størrelse, før Access pointet er "beskyttet".

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 10:31

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017