Eén van de technieken waar verreweg de meesten van ons waarschijnlijk dagelijks gebruik van maken is Wi-Fi, de standaard voor draadloze data-overdracht, die tegenwoordig echt overal te vinden is.

En het is precies die standaard die nu onder vuur ligt, om precies te zijn de manier waarop we data versleuteld over Wi-Fi versturen. De gouden standaard daarvoor is al een tijd de tweede versie van het Wi-Fi Protected Access protocol, die kennen wij allemaal waarschijnlijk beter onder de afkorting WPA2. Daarvoor is nu een exploit gevonden, die trouwens ook werkt op WPA1, WPA-TKIP, AES-CCMP en GCMP.



In de video hierboven zie je hoe de nu gepubliceerde exploit voor WPA2 werkt, de ontdekker van deze kwetsbaarheid hebben hem de naam KRACK gegeven. Die ontdekker is trouwens Mathy Vanhoef, een student aan de Katholieke Universiteit Leuven in België.

Meer details over deze exploit kan je vinden op de website die door het team dat deze kwetsbaarheid gevonden heeft online is gezet. Daar is ook een Vraag en Antwoord te vinden, waar de belangrijkste vragen rond deze exploit beantwoord worden.

Wat betekent dit voor ons?

Apple heeft al laten weten dat voor zover ze tot nu toe kunnen zien AirPort routers en Time Capsules niet met deze exploit gekraakt kunnen worden. Ook hier is waarschijnlijk de eigen code die Apple op deze routers gebruikt waarschijnlijk weer een voordeel, net zoals bij eerdere vergelijkbare exploits.

Wat betreft de besturingssystemen van onze devices: in de huidige beta-versies van iOS, macOS, tvOS en watchOS is er al een correctie voor deze exploit door Apple toegepast. Als die updates binnenkort voor ons allemaal uitkomen, dan zullen devices met die versies er op niet meer hiervoor kwetsbaar zijn.

Wil je daar niet op wachten, door deel te nemen aan Apple's Beta Software Programma kan je een beta-versie meteen op jouw device zetten. Maar bedenk wel dat het gebruik van een beta-versie ook kan betekenen dat je last kan hebben van bugs die daar nog in zitten.

En wat betekent dit voor ons op dit moment?

Tot je een nieuwe versie van een besturingssysteem van Apple op jouw device hebt staan lijkt het verstandig om geen contact meer te maken met open Wi-Fi netwerken. Databundels worden steeds groter, terwijl de prijs ervan steeds verder aan het dalen is, en inmiddels gelden die bundels ook in andere landen van de EU. De meesten van ons hebben die open netwerken waarschijnlijk dan ook steeds minder nodig.

Mocht je data nodig hebben op een device dat zelf geen directe toegang heeft tot dat soort netwerken, bijvoorbeeld op je Mac, dan kan het aanzetten van de Persoonlijke hotspot in iOS mogelijk de oplossing zijn.

Gebruik je iOS 11 en wil je de Wi-Fi helemaal uitzetten, om er zeker te zijn dat je niet met deze ellende te maken krijgt? Dan is het de moeite om dit eerdere nieuwsbericht van MacFreak ook nog even te lezen, daarin wordt uit de doeken gedaan wat het verschil is als je Wi-Fi uitzet in het Bedieningspaneel of in de Instellingen-app.

En wat betekent het voor mijn router?

De exploit zelf is vooral gericht op de client, maar sommige routers hebben wel degelijk een firmware update nodig. Mathy Vanhoef raadt ons aan om speciale functionaliteit voor de client in ieder geval uit te zetten, hij noemt zelf de opties die in repeater modus gebruikt worden en het uitzetten van 802.11r (fast roaming).

Als je een andere router gebruikt dan Apple's AirPort of Time Capsule routers dan lijkt het waarschijnlijk dat die router een firmware update nodig zal hebben. Of dat nodig is, en of die er ook komt, is afhankelijk van de maker van jouw router.

Maar voor thuisgebruikers is een update van het besturingssysteem van de devices die je in gebruik hebt op dit moment het allerbelangrijkst. Het duurt waarschijnlijk niet lang meer voordat Apple die voor ons klaar heeft staan.

Robert om 11:40, 17-10-2017
Apple heeft al laten weten dat voor zover ze tot nu toe kunnen zien AirPort routers en Time Capusules niet met deze exploit gekraakt kunnen worden. Ook hier is waarschijnlijk de eigen code die Apple op deze routers gebruikt waarschijnlijk weer een voordeel, net zoals bij eerdere vergelijkbare exploits.

Of die iMore site gelijk heeft, weet ik niet. Apple routers zijn niet getest. Ik ben redelijk zeker dat die iMore site dat uit z'n duim zuigt. Of liever, de onduidelijke communicatie van Apple hierover verkeerd interpreteert.

For example, it's my understanding that Apple's AirPorts, including Express, Extreme, and Time Capsule don't seem be vulnerable to the exploit, even if using one as a bridge.

Als het waar is, ligt dat er aan dat die Apple routers 3rd party software hebben. Net als Mikrotik, de enige waarvan ik weet dat ze niet kwetsbaar zijn.

Het punt is nl. dat geen enkele router kwetsbaar is, tenzij client mode aan staat. En dat gebruik je bij bridging, maar ook bij range extenders en andere niet-router toepassingen. "Omgekeerde" routers, bv. die op Wifi connecteren, maar via ethernet verdelen.

Wat vreemd is, is dat TP-Link niet gewaarschuwd is, maar toch al aangeeft dat ze niet kwetsbaar zijn.

En op een online test hoef je ook niet te wachten, want dit is alleen over Wifi te testen. Dus, ter plaatse.

Wat betreft de besturingssystemen van onze devices: in de huidige beta-versies van iOS, macOS, tvOS en watchOS is er al een correctie voor deze exploit door Apple toegepast. Als die updates binnenkort voor ons allemaal uitkomen, dan zullen devices met die versies er op niet meer hiervoor kwetsbaar zijn.

Maar eender wie een ouder OS draait dan High Sierra kan naar updates fluiten?

En alle oudere Airport routers kunnen meteen de schroothoop op?

Nu ja, er is wat tijd. Dit wordt pas ernstig als er tooltjes voor beschikbaar komen. Die zijn er nog niet.

cyrano om 13:03, 17-10-2017
Maar eender wie een ouder OS draait dan High Sierra kan naar updates fluiten?

Mogelijk, maar dat is nu nog niet bekend.

En alle oudere Airport routers kunnen meteen de schroothoop op?

Nee, want die hebben niet alleen eigen code, die krijgen als het nodig is ook nog updates.

Robert om 13:19, 17-10-2017

Citaat

cyrano om 13:03, 17-10-2017
Maar eender wie een ouder OS draait dan High Sierra kan naar updates fluiten?

Mogelijk, maar dat is nu nog niet bekend.

iOS, TVos en Watch OS updates circuleren al in het corporate update systeem...

Nog geen aankondiging van Apple. Microsoft, Cisco en vele andere hebben al updates klaarstaan. Apple weet hiervan sinds augustus...

Citaat

En alle oudere Airport routers kunnen meteen de schroothoop op?

Nee, want die hebben niet alleen eigen code, die krijgen als het nodig is ook nog updates.

Afgaande op wat Apple in 't verleden deed met de AP Express, betekent dat dat ze client functionaliteit (bridging etc.) gewoon uitschakelen.

http://www.commitstrip.com/en/2017/10/16/wpa2-vulnerability-just-a-small-update/?

En wat tot nu toe nergens duidelijk vermeldt wordt:

Zolang niet ALLE devices op je draadloos netwerk gepatcht zijn, blijft het hele netwerk kwetsbaar.

Dus ook elke Wifi camera, lampen, oude tablet...

cyrano om 16:23, 17-10-2017
Nog geen aankondiging van Apple. Microsoft, Cisco en vele andere hebben al updates klaarstaan. Apple weet hiervan sinds augustus...

Volgens mij staat die aankondiging in dit nieuwsbericht, incl. de link waar die vandaan komt.

Heb jij meer nodig dan?

Zolang niet ALLE devices op je draadloos netwerk gepatcht zijn, blijft het hele netwerk kwetsbaar.

Heb je een bron voor deze bewering?

Dat is geen aankondiging. Het is Apple's "Usual response", waar iedereen in de sec community steen en been over klaagt, want je kan er niks mee. Geen lijst met "affected" en geen idee of er een patch komt.

Bron? Lees de paper. Via dit gat kent de MITM aanvaller je key. Eens hij die key heeft, kan hij alles zien dat er draadloos voorbij komt. Tenzij het https verkeer is, of er, via een corporate VPN nog een andere encryption layer op zit.

De router kan hier niks tegen doen, want het is een client probleem. Of bv. Mikrotik voorzien heeft dat dat ging gebeuren, weet ik niet. Maar Mikrotik's eigen Router OS valt niet voor deze aanval. In deze zin zijn ze dus niet helemaal 802.x compatibel.

Maar dit soort mitigation* ontwikkelen kost tijd en geld. Als Apple dat al gedaan heeft, zouden ze dat toch aankondigen, zou je denken?

* Mitigation is geen patch, maar een manier om kwetsbare clients te weren. Die werken dan wel niet meer. Op een thuisnetwerk, geen groot probleem.

Om de maat van het probleem een beetje te illustreren, volgende quote:

"A friend of mine works for a huge cruise-liner company, they'd just spent the past four months installing over 8,000 WAPs across all ships and offices, and finished the project officially last Friday, two days before the WPA2 fault was announced. He tells me the deployment project leader's just checked himself into psychiatric care."



EDIT:

Een patch van je eigen routers is nog altijd geen oplossing voor openbare Wifi. Daarvoor moet de client side gepatcht worden, of je moet er op vertrouwen dat de router kant gepatcht is.

Bovendien is dit niet het einde van het verhaal. Toen de pers Matthy vroeg of hij verwachtte nog meer gaten te vinden, was het antwoord dat er nog in de pipeline zitten.

(Bewerkt door cyrano om 16:48, 17-10-2017)

Dit is het advies van de nieuwe OpenWRT developers, het LEDE project: Zet alle Wifi gewoon AF:

https://forum.lede-project.org/t/critical-wifi-vulnerability-found-krack/7450

OpenWRT zit ook als motor in sommige routers. Niet die van Apple. En in de praktijk niet haalbaar, want ipads en iphones hebben geen ethernet.

De patch is in beta voor Sierra. 10.12.6 beta testers kunnen 'm al installeren.

Er is ook een sprankje hoop voor gebruikers van vorige versies van OSX. De patch is gemaakt voor 10.8+. Mogelijk betekent dat dat er een backport tot Mountain Lion inzit?

Zeer goede samenvatting van de makers van TenFourFox:

http://tenfourfox.blogspot.be/2017/10/krack-is-wack-on-power-macs.html