Alles wat er te weten valt over de KRACK-aanval en wat je eraan kunt doen

Veiligheidsspecialisten adviseren gebruikers al jaren om apparaten alleen te verbinden met draadloze netwerken die beveiligd zijn met een wachtwoord om te voorkomen dat ongewenste personen kunnen snuffelen in hun privégegevens. Maandag werd bekend dat er enorme gaten zitten in WPA2, de meest gebruikte beveiliging voor wifi, waardoor bijna alle apparaten op aarde nu kwetsbaar zijn voor aanvallen.

De problemen werden ontdekt door Mathy Vanhoef, een onderzoeker aan de Universiteit van Leuven. De gaten in de beveiliging maken het mogelijk dat aanvallers kunnen inbreken op een draadloos netwerk met een WPA2-beveiliging – zo'n netwerk dat in ongeveer elk huis, koffiezaak of kantoor te vinden is. Het is mogelijk om data van de verbonden apparaten te onderscheppen en ontcijferen. In sommige gevallen is het zelfs mogelijk om gegevens in de datastroom te injecteren waardoor hackers de controle over je computer zouden kunnen overnemen.

De ontdekking werd al snel internationaal nieuws, maar het is de moeite waard om te kijken hoe het werkt en of jij kwetsbaar bent.

Hoe werkt de aanval?

Hackers moeten eerst een neptoegangspunt opzetten. Dat punt imiteert de echte router die jouw apparaat al kent en dwingt apparaten in de buurt om er verbinding mee te maken. Dit wordt een 'key reinstallation attack' (KRACK) genoemd.

De aanval richt zich op de 'handshake' en dwingt apparaten om een oudere beveiligingssleutel te gebruiken. Hierdoor wordt de WPA2-beveiliging verzwakt.

Om zo'n aanval succesvol uit te voeren, moet de aanvaller binnen het bereik van je wifi-router zijn en een netwerk imiteren dat je apparaat al vertrouwt en waarmee het verbinding zou willen maken (bijvoorbeeld je thuisnetwerk).

Wat hackers met KRACK kunnen doen, is het draadloze verkeer van je apparaat kapen en het geheel of gedeeltelijk ontcijferen. Hierdoor kunnen ze toegang krijgen tot gevoelige informatie (wachtwoorden, berichten, e-mails en bestanden) als deze niet versleuteld verstuurd worden.

Wie wordt hierdoor getroffen?

Dit is een probleem met de hele WPA-standaard, dus als een apparaat wifi ondersteunt, is het waarschijnlijk kwetsbaar voor deze aanval. De gaten zitten in alle versies van de beveiligingsstandaard: zowel in WPA2-Personal als WPA2-Enterprise, en ook in oudere beveiligingsstandaarden als WPA. Maar als je daar nog gebruik van maakt heb je het misschien wel aan jezelf te danken.

"Aan het begin van het onderzoek ontdekten we dat Android, Linux, Apple, Windows, OpenBSD, MediaTek, Linksys en nog veel meer producenten allemaal kwetsbaar zijn voor een variant van de aanval," zegt Vanhoef op de website waarop hij zijn bevindingen in detail beschrijft.

De gevolgen zijn niet voor elk besturingssysteem even groot. Bij sommige systemen is het mogelijk om een groot gedeelte van datapakketten te ontcijferen, maar niet alles.

Maar de aanval is voornamelijk catastrofaal voor Linux en versies 6.0 en later van Android. Op deze systemen is het voor aanvallers kinderlijk eenvoudig om wifi-verkeer te kraken en te manipuleren.

Vanhoef schat dat meer dan 40 procent van de Android-apparaten in omloop kwetsbaar voor deze gevaarlijkere versie van de aanval is. En omdat er zoveel verschillende versies van Android zijn, kan het nog maanden duren voordat veel apparaten gepacht worden. Sommige telefoons zullen zelfs voor altijd kwetsbaar blijven, omdat ze niet meer worden ondersteund door de fabrikant.

Windows en iOS zijn niet kwetsbaar voor de basis-KRACK-aanval – ironisch genoeg dankzij de niet-standaard manier waarop zij wifi gebruiken. Deze besturingssystemen kunnen alleen wel kwetsbaar zijn voor een aanval via een gehackte router.

En dit is ook belangrijk: zowel draadloze routers, als computers en telefoons zijn kwetsbaar, maar de meeste aanvallen zullen gericht zijn op smartphones en pc's. Alleen zijn sommige apparaten tegelijkertijd een toegangspunt en maken ze verbinding met andere netwerken. Een draadloze repeater is bijvoorbeeld een apparaat dat verbinding maakt met een draadloos netwerk, en dus optreedt als client, en dan het wifi-signaal doorstuurt naar andere clients, en dus ook optreedt als accesspoint.

Het goede nieuws is dat patches de compatibiliteit van apparaten niet beïnvloeden, dus een gepatchte client kan nog gewoon communiceren met een niet-gepatcht accesspoint en andersom.

Dit is erg, maar geen paniek

Het beste dat je kunt doen is je apparaten – laptops, smartphones, routers – patchen, zodra dat kan. Voor sommige apparaten zal dit moeilijker zijn dan voor andere. Een firmware-update van een router vereist bijvoorbeeld vaak dat een gebruiker naar de website van de fabrikant gaat om te checken of er een update is, waarna de update op een computer gedownload moet worden om vervolgens naar een router geüpload te worden via een vaak krakkemikkige webinterface.

"Dit probleem kan worden opgelost door middel van eenvoudige software-updates, en de wifi-industrie is al begonnen om patches uit te rollen naar wifi-gebruikers," zegt de Wi-Fi Alliance, een organisatie die wifi-producten gebruiken certificeert, in een verklaring. "Gebruikers kunnen verwachten dat al hun wifi-apparaten, ongeacht of ze gepatcht of niet zijn, goed blijven samenwerken."

De organisatie heeft informatie over deze kwetsbaarheden gedeeld met leveranciers en checkt nu op deze kwetsbaarheden als onderdeel van hun wifi-certificatieproces, wat betekent dat toekomstige wifi-compatibele producten gepatcht moeten worden.

Het CERT Coordination Center van de Carnegie Mellon University, die het Computer Emergency Readiness Team (US-CERT) van de Amerikaanse overheid ondersteunt, heeft een advies over dit probleem gepubliceerd en houdt een lijst bij van de getroffen hardware- en softwaremakers.

Totdat de patches beschikbaar zijn, zijn er een paar dingen die je kunt doen om je apparaten en informatie te beschermen. Controleer ten eerste of je thuisnetwerk WPA2 een AES-encryptie gebruikt, en niet TKIP. Beide beveiligingen zijn kwetsbaar voor voor KRACK, maar AES is niet kwetsbaar voor het het injecteren van data, wat ernstige gevolgen kan hebben, zoals het injecteren van malware in legitieme webpagina's.

Ook zou je e-mail en webverkeer moeten beveiligen met TLS – op dezelfde manier als sommige websites HTTPS gebruiken – want dan ben je theoretisch beschermd tegen gegevenssnuffelaars, omdat het nog een extra beveiligingslaag bovenop WPA2 legt.

Hackers kunnen ook de HTTPS-beveiliging van een website verwijderen om mensen zo naar een onbeveiligde versie te leiden. Dit soort aanvallen werken niet op goed geconfigureerde servers. Browsers hebben ook een ingebouwde lijst van populaire websites waarmee alleen HTTPS-verbindingen zijn toegestaan. En er zijn ook browserextensies, zoals HTTPS Everywhere, die altijd een veilige HTTPS-verbinding forceert voor een groot aantal websites.

Google Chrome geeft ook aan dat webpagina's die geen HTTPS gebruiken, maar wel inlogschermen gebruiken niet veilig zijn. Mozilla Firefox gaat nog een stap verder en geeft een waarschuwing als gebruikers proberen om informatie in dergelijke formulieren in te vullen. Deze visuele indicatoren kunnen gebruikers waarschuwen over mogelijke pogingen om HTTPS van een site te verwijderen.

Een andere goede optie is om het gehele netwerkverkeer van een computer – niet alleen e-mail of het web – te beveiligen door middel van een VPN. Bedrijven bieden deze diensten aan voor hun werknemers en er zijn ook veel consumentenopties.

Een VPN verstuurt al het verkeer beveiligd en het gebruik van een VPN wordt aanbevolen als je verbinding maakt met een onbetrouwbaar wifi-netwerk. Gebruikers die zich zorgen maken over een mogelijke KRACK-aanval, zouden hun VPN altijd moeten aanzetten als ze wifi gebruiken, of ze nu thuis zijn, op hun werk of in hun favoriete restaurant.

Deze aanval "kan SSL/TLS of VPN's niet verslaan," zegt veiligheidsdeskundige Robert Graham in een blog. "Dus, als jij denkt dat je veilig bent als je op de openbare wifi van een luchthaven zit, dan is je laptop ook veilig voor deze aanval."

Natuurlijk zijn er naast laptops en smartphones veel meer apparaten die kwetsbaar zijn voor een KRACK-aanval. Veel Internet-of-Things-apparaten gebruiken wifi, versturen gevoelige informatie op locale netwerken en ondersteunen geen VPN. Er is geen makkelijke oplossing om zonder patches deze apparaten te beschermen, dus gebruikers zouden druk moeten uitoefenen op fabrikanten om deze apparaten te beveiligen voor KRACK-aanvallen.

"Je thuisnetwerk is erg kwetsbaar," zegt Graham. "Veel apparaten zullen SSL/TSL gebruiken en zitten dus goed, zoals je Amazon Echo, die je kunt blijven gebruiken zonder je zorgen te maken over deze aanval. Andere apparaten, zoals je lampen van Philips, zijn misschien niet zo veilig."

Hij adviseert dat gebruikers controleren hoe lang hun fabrikanten erover doen om op deze aanval te reageren met een patch, en dan de apparaten te vervangen van de verkopers die er te lang over deden. Het idee hierachter is dat alle software en hardware gebreken hebben, maar dat de leveranciers zich kunnen onderscheiden door snel patches uit te brengen.

"We kunnen niet genoeg benadrukken dat thuisgebruikers – vooral in dichtbevolkte gebieden – absoluut hun wifi-apparatuur moeten patchen of overstappen als er geen updates zijn," zegt Bob Rudis, hoofd dataonderzoeker bij Rapid7.