Det har kommet mye ny informasjon i denne saken, som avkrefter en del av antagelsene denne saken var basert på. Sårbarheten er virkelig og alvorlig, men åpner for angrep rettet mot klienter, ikke Wi-Fi-rutere. Les mer i denne saken.
To sikkerhetsforskere ved det belgiske universitetet KU Leuven skal senere i dag presentere en alvorlig sårbarhet i WPA2-protokollen (Wi-Fi Protected Access II) som i mange år har vært den foretrukne krypteringsmetoden for trådløse nettverk, altså Wi-Fi eller WLAN.
Den første presentasjonen skal skje på et nytt nettsted, Krackattacks.com. Dette skal etter alt å dømme skje klokken 13 i dag.
Den 31. oktober skal de to sikkerhetsforskerne, Mathy Vanhoef og Frank Piessens, presentere sine funn under ACM Conference on Computer and Communications Security (CCS) i Dallas.
KRACK
Det er ikke mange detaljer som har blitt offentlig kjent ennå, men tittelen på foredraget til Vanhoef og Piessens, forteller noe: «Key Reinstallation Attacks: Forcing Nonce Reuse in WPA2».
Derav navnet som er gitt angrepet, KRACK (Key Reinstallation AttaCK).
Det dreier seg altså om at et vilkårlig, kryptografisk tall («nonce»), som bare skal brukes én gang, likevel kan bli gjenbrukt. Ifølge The Register er dette trolig knyttet til initieringen av Wi-Fi-forbindelsene («handshake»), da dette er et område de to sikkerhetsforskerne har studert i det siste.
Må anses som usikret
Selv om detaljene om sårbarheten ennå ikke er kjente, kan man nok likevel si noe om konsekvensene, dersom sårbarheten forholdsvis enkelt lar seg utnytte. Den korte versjonen er at man heretter må behandle Wi-Fi-forbindelser som om de ikke er sikre i det hele tatt.
Dette skriver Alex Hudson, teknologidirektør hos britiske Iron Group, i et blogginnlegg. Han mener at sårbarheten vil gjøre det mulig for uvedkommende å avlytte trafikken i lokalnettet til virksomheter og privatpersoner. I mange tilfeller er krypteringen og det tilhørende passordet det eneste som hindrer uvedkommende i å få tilgang til det aktuelle lokalnettet, så lenge de befinner seg innenfor det trådløse nettets rekkevidde.
Hudson beskriver sammenligner det hele med at virksomhetens brannmur mellom internett og lokalnettet nå har blitt overvunnet.
HTTPS fungerer fortsatt
Heldigvis avhenger ikke all nettverkssikkerhet av WPA2. De fleste tjenester som behandler fortrolig informasjon, benytter andre krypteringsteknologier, helt uavhengig av hvordan den enkelte brukerenhet er tilkoblet internett. Nettbanker, eposttjenester, mange nettbutikker og mange andre nettsteder, benytter HTTPS-protokollen med tilhørende krypteringsalgoritmer.
Hvilken skade en angriper kan gjøre i lokalnettet, avhenger helt av hvor godt det er sikret. I noen tilfeller kan det for eksempel være mulig for en angriper å sette inn en enhet i lokalnettet og tilby ondsinnede ressurser fra denne, for eksempel et delt filområde.
Amerikanske myndigheter, nærmere bestemt US-CERT, skal ha sendt advarsler om sårbarheten til blant annet amerikansk presse. Sitatet nedenfor er gjengitt av Guardian:
«The impact of exploiting these vulnerabilities includes decryption, packet replay, TCP connection hijacking, HTTP content injection and others,” the alert says, detailing a number of potential attacks. It adds that, since the vulnerability is in the protocol itself, rather than any specific device or software, “most or all correct implementations of the standard will be affected.»
Mens Ars Technica har gjengitt følgende sitat:
«US-CERT has become aware of several key management vulnerabilities in the 4-way handshake of the Wi-Fi Protected Access II (WPA2) security protocol. The impact of exploiting these vulnerabilities includes decryption, packet replay, TCP connection hijacking, HTTP content injection, and others. Note that as protocol-level issues, most or all correct implementations of the standard will be affected. The CERT/CC and the reporting researcher KU Leuven, will be publicly disclosing these vulnerabilities on 16 October 2017.»
Må oppdateres
Hudson mener at sårbarheten vil kunne rettes ved hjelp av fast- eller programvareoppdateringer, men trolig må dette gjøres på både rutere og klientenheter, altså pc-er, smartmobiler og alt mulig annet som kan kobles til et trådløst nettverk.
Problemet er selvfølgelig at ikke vil bli tilbudt noen slik oppdatering til mange enheter, rett og slett fordi leverandøren har sluttet å støtte dem. Potensielt kan det også oppstå kompatibilitetsproblemer.
I praksis må enheten da skiftes ut for å kunne tilby noen meningsfylt sikkerhet.
I blogginnlegget har Hudson samlet noen råd til henholdsvis bedriftsledere og privatpersoner om hvordan man bør forholde seg til sårbarheten. Det er uansett ingen grunn til umiddelbar panikk.
Dersom man ikke ønsker å skru av hele det trådløse nettet, må man i alle fall sørge for at sikkerheten til enhetene i lokalnettet er på stell, for eksempel ved å la være å dele ressurser med ukjente brukere.
Tidligere funn: Alvorlig svakhet i WLAN-teknologi