Ernstig beveiligingslek in veelgebruikte Wi-Fi-beveiliging WPA2
Belgische beveiligingsonderzoekers hebben een lek gevonden in het beveiligings-protocol wat gebruikt wordt door Wi-Fi. Het beveiligingslek, ‘KRACK’ genaamd, zit in WPA2, de wereldwijde standaard voor het inloggen op Wi-Fi-netwerken. Ook het Nationaal Cyber Security Centrum (NCSC) wijst op deze kwetsbaarheid en heeft een beveiligingsadvies opgesteld.
De beveiligingskwetsbaarheid bevindt zich in het WPA2 protocol, dat zijn afspraken waarin fabrikanten die bij Wi-Fi betrokken zijn, hebben vastgelegd hoe Wi-Fi werkt. Daardoor beperkt de impact zich niet tot één apparaat of besturingssysteem.
Door dit beveiligingslek zijn (beveiligde) Wi-Fi-netwerken kwetsbaar. Iedereen die gebruikt maakt van een Wi-Fi-verbinding loopt potentieel risico. De kwaadwillende moet weliswaar in de buurt van de Wi-Fi-verbinding aanwezig zijn, maar zou de gegevens die via het Wi-Fi-protocol worden verstuurd wel kunnen onderscheppen en inzien.
De Nederlandse Telecom- en Internet Service Providers zijn op de hoogte van deze kwetsbaarheid en onderzoeken samen met het Nationaal Cyber Security Centrum (NCSC) en andere partijen in de industrie de impact ervan voor het gebruik van Wi-Fi. Zodra hier meer over bekend is, volgt er een update.
Wat kunt u zelf doen
Het is altijd belangrijk de laatste updates geïnstalleerd te hebben. Mocht u dit nog niet gedaan hebben. Verder een paar punten op rij:
1. Windows 7, Windows 10 en iOS apparaten voorzien van de laatste software update zijn niet kwetsbaar
2. De aanval is alleen mogelijk door in de buurt van het Wi-Fi netwerk te zijn en werkt dus niet via het internet
3. De aanval vindt plaats per apparaat, er is dus geen toegang tot het volledige netwerk
4. Gebruik van VPN, HTTPS en e-mailen via een beveiligde verbinding voorkomt dat dit verkeer kan worden afgeluisterd
[Update] Volgens een woordvoerder van Apple zit een oplossing voor de bug in de bèta van iOS 11.1. De definitieve versie hiervan wordt in “de komende weken” beschikbaar gesteld. Het is onduidelijk of iOS 10 en eerdere versies een beveiligingsupdate ontvangen.