nrk.no

Slik fungerer sårbarheten som påvirker «alle» wifi-enheter

Kategori: Sikkerhet

Foto: Sunil Soundarapandian CC BY 2.0.


Sikkerhetsprotokollen WPA2 som brukes av de fleste moderne Wifi-rutere er brutt. Nå starter kappløpet mellom dem som vil utnytte feilen og dem som vil gjøre deg sikker på internett.

Forskere ved det belgiske universitetet KU Leuven publiserte mandag en vitenskapelig artikkel som forklarer hvordan de omgikk protokollen for kommunikasjon mellom pcer og rutere kalt WPA2.

Protokollen brukes i dag til å kommunisere med nesten alle moderne rutere; det er ikke usannsynlig at du akkurat nå leser denne artikkelen via en ruter som bruker WPA2.

WPA2-standarden, som ble innført i 2004, er så langt den sikreste standarden som er innført for å beskytte trådløsnettverk.

Men:

Angrepet virker på alle moderne wifi-nettverkMathy Vanhoef, postdoktor ved universitetet KU Leuven

De belgiske forskerne har funnet en feil i selve den underliggende protokollen. Dermed betyr det ikke noe hvilken enhet du bruker. Alle er sårbare.

Dette er svakheten:

Det har blitt vanligere å navngi større sårbarheter. Her også med logo. Foto: Skjermbilde fra krackattacks.com
Angrepet bruker en ny teknikk som lurer offeret til å gjenbruke en kryptografisk nøkkel som brukes til å bekrefte identiteten til alle som snakker sammen.

Vanhoef kaller teknikken key reinstallation attacks, eller KRACK på kortform.

Protokollen lures ved å gjenspille og manipulere beskjeder som sendes i det man starter opp en økt på ruteren.

Beskjedene skal brukes til å starte opp en forbindelse som gjør at utenforstående ikke kan lese innholdet.

Kryptografiske nøkler skal egentlig kun brukes én gang, men sikkerhetsforskerne fant en måte å gjenbruke dem ved å lure systemet til å tro at datapakker ikke kom fram.

Dermed fikk de mulighet til å omgå WPA2, og derved tilgang til kommunikasjonen mellom brukeren og ruteren.

Og da kan en angriper slippe inn skadevare i nettrafikken din.

Spesielt trafikk som går til ukrypterte nettsider (HTTP) er sårbare.

På de usikre HTTP-nettsidene kan en angriper legge inn skadevare som kjører på maskinen din uten at du vil legge merke til det.

Bruker man den krypterte halvbroren HTTPS vil angripere ikke kunne se hva du gjør på nettsidene, og det vil være vanskeligere å gjøre skade.

Men du trenger kun å besøke en ukryptert nettside én gang for å eksponeres for virus, og mange nettsider støtter ikke kryptering.

En demonstasjon av angrepet:

Her kan du selv lese sikkerhetsforskerne gå mer i detalj og her kan du lese den vitenskapelige artikkelen.

Hvem er sårbare?

Sikkerhetsekspert Per Thorsheim mener folk flest ikke burde bekymre seg for denne sikkerhetsfeilen på hjemmebane så lenge de påser at ruteren deres blir oppdatert.

Dette er en veldig alvorlig feil om den først blir utnyttet, men man må være i nærheten av ruteren for å bruke sikkerhetshullet. Det begrenser i stor grad hvor mye skade dette kan gjøre.Per Thorsheim, sikkerhetsekspert

Thorsheim mener derfor at bedrifter, offentlig sektor, og enkeltpersoner som jobber med sensitive oppgaver er spesielt utsatt.

Nasjonal sikkerhetsmyndighet (NSM) vurderer sårbarheten som «alvorlig», og trekker spesielt fram større offentlige trådløse nettverk som mest utsatt for angrep.

De anbefaler å fortsatt bruke WPA2, og å påse at trafikken er beskyttet med HTTPS eller VPN.

Slik ser det ut når du er inne på en sikker HTTPS-tilkobling. Foto: Martin Gundersen (CC BY 2.0)

Kappløpet

Da sikkerhetsforskerne tok kontakt med ruterprodusentene fant de ut at feilen gjelder alle enheter som bruker WPA2.

Dermed startet et kappløp mellom dem som ønsker å trygge internett og dem som vil utnytte feilene i det.

Og det er ikke sikkert det går så bra, for selv om det finnes oppdateringer, oppdaterer ikke nødvendigvis alle bedrifter og privatpersoner systemene og enhetene sine.

Dette kappløpet ser alltid stygt ut. Med all respekt, selv om mediene skriver om dette vil mange ikke få med seg dette. Og om de får det med seg er det mange som tenker at dette ikke angår dem.Per Thorsheim

Sikkerhetsanalytiker ved NTNU, Christoffer V. Hallstensen, mener både rutere og enhetene de kommuniserer med bør oppdateres siden sårbarheten ligger i wifi-standarden.

Flere selskaper har nå rullet ut oppdateringer, men det er ikke nødvendigvis slik at dine rutere, pcer, og mobiler blir oppdatert av seg selv.

Spesielt er dette et stort problem for Android-enheter.

Problemet med mange Android-enheter er at de veldig ofte ikke mottar sikkerhetsoppdateringer generelt. […] Mange leverandører som baserer seg på Android gjør lokale tilpasninger som gjør at sikkerhetsoppdateringer rett i fra Google ikke kan benyttes.Christoffer V. Hallstensen

Du bør derfor selv sjekke at alle enheter du eier er oppdatert, og høre med internettleverandøren din om de oppdaterer ruteren for deg. Lengre nede kan du lese svar fra Telenor, Get, og Altibox.

Er du en lykkelig eier av mange smarte dingser som er tilkoblet internett bør du være bekymret. Det er usannsynlig at alle får oppdateringer.

Her kan du finne en liste over selskaper som er påvirket og hvordan de ligger an med å fikse svakheten.

Hjemmenettverket

Vi tok en runde med Altibox, Telenor, og Get om bredbåndsruteren.

Samtlige forklarer at de kommer til å oppdatere ruteren for deg, om du har en annen leverandør bør du høre med dem.

I likhet med alle andre operatører og utstyrsleverandører globalt jobber vi og våre leverandører med å ta frem oppdateringer som adresserer denne sårbarheten på alle våre bredbåndsrutere. Caroline Lunde, informasjonssjef Samfunn og sikkerhet ved Telenor

I en pressemelding skriver Altibox:

Altibox har tatt kontakt med alle våre leverandører av trådløst utstyr for å få kartlagt om det er noen av våre produkter som påvirkes av sårbarhetene, og når vi kan forvente eventuelle oppdateringer. Vi vil installere disse så raskt vårt sikkerhetsteam har fått testet dem.Thomas Skjelbred, administrerende direktør i Altibox

Get svarer:

Vi jobber sammen med utstyrsleverandørene for å løse dette så rask det lar seg gjøre gjennom nødvendige sikkerhetspatcher. Sikkerhetspatchene blir rullet ut uten at kundene trenger å gjøre noe.Øyvind Husby, direktør for samfunnskontakt i Get

27 kommentarer

  1. Håkon Strandenes

    La meg forsøke å rette opp litt:

    1) Denne feilen er et angrep på *klienter* i et trådløst nettverk, og ruteren/aksesspunktet vil ikke gjøre noen forskjell. Selve overskriften er dermed sterkt misvisende, den påvirker nesten *ingen* wifi-rutere. Mitt forslag til ny overskrift: «Slik fungerer sårbarheten som påvirker «alle» wifi-enheter»

    2) Det eneste tilfellet hvor det er behov for å oppdatere nettverket/ruteren er i de tilfellene hvor ruteren/aksesspunktet *selv* er en trådløs-klient, f.eks. i form av en repeater eller i et mesh-nettverk. En ruter/aksesspunkt med kablet nettverk som uplink har ikke behov for patching/oppgradering. Dermed er det nesten «ingen» rutere som trenger oppgradering (ref. overskriften).

    3) Det er utelukkende mot *klienter* dette angrepet rettes mot. Nettverkets oppsett eller ruters/aksesspunkt kan ikke gjøre noe forskjell. Har du en klient som er utsatt hjelper det ikke hva du gjør med nettverket, den er utsatt på samme måte uansett.

    4) Om Telenor/Altibox/Get patcher sine rutere (en patch som bare vil påvirke eventuelle mesh- eller trådløse repeater-enheter) er din Android-telefon like utsatt som før.

    5) Det er mulig å patche/fikse klienter på en bakoverkompatibel måte, slik at en patchet klient vil virke mot eksisterende WPA2-infrastruktur uten å bryte med WPA2-standarden. Dermed kan mye av skylden for dette sikkerhetshullet legges på de ulike implementasjonene av standarden, og ikke selve standarden i seg selv. Dette sees klart i dette tilfellet ved at enkelte klienter er mer sårbare/lettere å angripe enn andre, selv om alle klientene i seg selv følger standarden. Mest sannsynlig kommer like vel standarden til å bli oppdatert med eksplisitt informasjon om hvordan denne sårbarheten unngåes, men på en slik måte at kompatibilitet med eldre utstyr beholdes.

    Se for øvrig krackattacks.com/ under FAQ «Do we now need WPA3?» og «What if there are no security updates for my router?»

    Svar på denne kommentaren

    • Martin Gundersen (NRK) (svar til Håkon Strandenes)

      Takk Håkon,
      Jeg har nå oppdatert saken med mer vekt på kommunikasjonen mellom enhet og ruter.

      Jeg har også oppdatert overskriften til «wifi-enheter» da den som du påpeker er mer korrekt.

      Vi er nok uenige i hvor lite viktig ruteren er, men hovedpunktet her bør være at alle bør ta en runde på alle sine enheter.

    • «Finally, although an unpatched client can still connect to a patched AP, and vice versa, both the client and AP must be patched to defend against all attacks!»
      Så det er en bug i AP også(sender samme nøkkel flere ganger), men usikker på hvilket sikkerhetsproblem dette medfører, men merkelig nok sier dem at AP også må fikses.

  2. Me talar her om ein mellommannveikskap i sjølve protokollhandhelsinga (MitM hand shake vulnerability), og det skal difor vera nok å oppdatera anten avsendar eller mottakar. Sjølvsagt aller helst båe to. Mobilen og datamaskinene våre bør me opdatera snarast råd, medan dei smarte dingsane i heimen nok først vert sikra når routeren kan patchast (av internettleverandør eller deg sjølv).

    Svar på denne kommentaren

    • Dette er dessverre feil. Dersom klienten (mobil, PC, etc) ikke er oppdatert hjelper det ikke å fikse routeren/nettverket. Det viktigste for folk flest er at mobiler og laptoper blir oppdatert etterhvert som sikkerhetsfiksene blir tilgjengelig.

    • Øyvind Mo (svar til Sjur)

      Du har dessverre rett, Sjur.
      Oppdatering av AccessPoint hjelper berre mot nokre av problema (802.11r og repeater funkjonalitet). Patch av både AP og klientar er nok naudsynt.

      Lei for at eg uttrykte meg forhasta. Mathy sitt paper kan elles anbefalast:
      papers.mathyvanhoef.com/ccs2017.pdf

  3. Remi Aure Reksten

    Hvorfor publiserer de dette fritt på nett og ikke bare direkte til produsenter? Ble ikke det første viruset produsert for å vise et sikkerhetshull, selv før noen tenkte på å lage virus? Jeg har ikke helt forstått tankegangen bak dette, kanskje noen kan forklare.

    Svar på denne kommentaren

    • Tanken er vel at ein godt kjend veikskap er langt mindre farleg enn ein skjult veikskap som berre nokre få kjenner til. Viss alle veit at noko er usikkert, så har alle betre evner til å passa på seg sjølve. Viss berre nokre få vert informert, er det nok i tillegg vanskeleg å sikra at alle desse utvalde få er 100% «gode». Endå eit argument er at det er umogeleg å vita om forskarane frå universitetet i Leuven er dei første som har funne denne veikskapen i WPA2… Veikskapen er jo ikkje «ny», berre fordi dei først no har oppdaga den.

    • Produsentene får beskjed om slikt på forhånd. Så publiseres det senere.
      Det gir produsentene mulighet for å fikse det, samtidig som publiseringen sørger for at produsenene blir tvunget til å fikse er.

    • En prosedyre en del som oppdager sårbarheter følger er
      1) meld ifra til diverse affekterte distributører/»vendors»/etc
      2) vent 30-60+ dager
      3) gjør sårbarheten offentlig (partene er opplyst om dette allerde i (1)), slik at de affekterte partene faktisk har et insentiv til å foreta seg noe, og ikke late som om det aldri skjedde, og håpe ingen andre noensinne oppdager sårbarheten

      en.wikipedia.org/wiki/Vulnerability_(computing)#Vulnerability_disclosure

    • Martin Gundersen (NRK) (svar til Remi Aure Reksten)

      Hei Remi,

      Ifølge Mathy Vanhoef sendte de også ut en bred advarsel til produsenter 28. august.

      De har altså hatt over en måned på seg til å gjøre klart eventuelle oppdateringer.

  4. Bjørnar Nilsen

    Er man sikret hvis den enheten man benytter er koblet til ruter med nettverkskabel? – altså er et vellykket innbrudd kun begrenset til en eller den enheten som er hacket, eller også til alle andre objektene i det lokale nettverket som denne enheten er et medlem av?

    Svar på denne kommentaren

    • Veikskapen kan gje ein angripar tilgjenge til ei delmengd av data du sender over trådlaust nett. Det skal ikkje vera fare for data som (utelukkande) vert sende over kabla nett.

    • Christian Haugan (svar til Lars-Erik Østerud)

      Vel, man kan spørre seg hvor farlig det er om man fårrilngang til forsterkeren din eller TV-en.

      Siden dette krever at en person er i nærheten av deg, så er det mest sannsynlig at denne personen vil deg ille om man ser det som en vei inn å bruke forsterkeren din som en staging-plattform for så å infisere den med ny firmware som igjen kan komme seg videre inn på nettverket ditt og gjøre ugang.

    • Alt utstyr som du ikkje kan få oppdateringar til, bør du vera SÆRS varsam med å kopla opp mot usikre / ikkje oppdaterte access points. Det vil seie: Viss du har fått oppdatert routeren din (og oppdateringa er korrekt), så skal det deretter vera sikkert (kva angår denne feilen) å bruka det ikkje-oppdaterte utstyret ditt med den routeren.

    • Dette er feil. Usikre klienter kan angripes uavhengig av hvilket nett de bruker. Det er ingen ting du kan gjøre med routeren for å sikre usikrede klienter i nettet. Enheter som ikke kan oppdateres vil derfor forbli usikre så lenge de er tilkoblet trådløst. Men alle angrep forutsetter at de har tilgang på det trådløse radiosignalet, mao at de er i nærheten av huset ditt.

    • Øyvind Mo (svar til Sjur)

      Sjur har rett. Dei fleste Access Point (routerar) bør og oppdaterast, men det er ikkje i seg sjølv nok for å sikra Klientane.

  5. Dessverre er man for unøyaktig i denne artikkelen. Et par viktige punkter.

    * Sårbarheten har vært kjent forholdsvis lenge, faktisk siden i vår. Artikkelen som nå er publisert var faktisk under «review» i mai (fra 19.mai)
    * F.eks er er Windows, svært mange Linux-distroer og utstyr fra Cisco med flere allerede fikset. Så koble seg opp med en oppdatert Windowsmaskin er sikkert. Apple OSX etc er ikke oppdatert, og ingen vet når det kommer. bleepingcomputer.com/news/security/list-of-firmware-and-driver-updates-for-krack-wpa2-vulnerability/ har en del informasjon.

    * HTTPS og VPN gir ikke full sikring mot dette sikkerhetshullet. Jeg siterer fra nettsidene om sikkerhetshullet. «Although websites or apps may use HTTPS as an additional layer of protection, we warn that this extra protection can (still) be bypassed in a worrying number of situations. For example, HTTPS was previously bypassed in non-browser software, in Apple’s iOS and OS X, in Android apps, in Android apps again, in banking apps, and even in VPN apps.»

    Svar på denne kommentaren

  6. Packet injisering er ikke mulig med AES kryptering istedenfor TKIP på WPA2 på ditt hjemmenettverk.

    Begge krypteringene er sårbare med KRACK, men AES hindrer ihvertfall skadelig pakke-injisering.

    Lurt å opplyse folket om mulige medisiner fremfor å kun skremme med sykdommen 😉
    Be folk holde seg unna åpne nettverk!

    VPN som tidligere nevnt er jo også kjempesmart, akkurat som å bruke bilbelte når du kjører i trafikk…

    Svar på denne kommentaren

  7. Som andre har nevnt her så skjønner jeg ikke helt hvorfor det skal hjelpe å oppdatere programvaren på ruteren, når feilen ligger på klientsiden, altså de trådløse enhetene?

    Tar forbehold om at jeg har oversett noe.

    Svar på denne kommentaren

    • Øyvind Mo (svar til Simon)

      Både Access Points og Clients kan vera sårbare for fleire angrepsvektorar (802.11r og repeater funksjonalitet kan gjere AP sårbare). Patch alt du har.

  8. «THE GOOD NEWS: IT’S HARD FOR HACKERS TO EXPLOIT

    The good news is Krack is a wide but shallow bug: nearly every device that uses Wi-Fi is vulnerable, but the attack itself is difficult to execute and not as damaging as you might expect. Taking advantage of this bug would take a lot of preparation and a very specific target, which is very good news in the short term.

    Krack is essentially a weakness in the WPA2 system, which secures the Wi-Fi connection between a router and a computer. When that system breaks down, it could let an attacker get in between you and your router. From there, they can eavesdrop on unencrypted (non-HTTPS) traffic or compromise your computer by slipping malware into legitimate websites. But an attacker would have to be within Wi-Fi range to carry out any of those exploits, which dramatically reduces the risk that an average person will be targeted. Unlike server-side bugs like Heartbleed or Shellshock, there’s no way to carry out the attack over the internet at large. Hackers need to be physically present in range of a network, and even if you’re war-driving, you can only hit one network at a time.

    The upshot of all of that is you probably don’t have to worry about hackers going after your network specifically. Still, we encrypt Wi-Fi signals for a reason, so you will want to patch your software as soon as you can.»

    theverge.com/2017/10/16/16484824/krack-wifi-encryption-bug-vulnerability-install-patch

    Svar på denne kommentaren

  9. KRACK Attacks og deg « Martin Koksrud Bekkelund

    […] ukens bombe var nyheten om at sikkerhetsprotokollen WPA2 er brutt. NRKbeta skriver godt og lettfattelig om detaljene. Enkelt forklart er WPA2 defacto-standarden for hvordan […]

    Svar på denne kommentaren

Legg igjen en kommentar til Herman H Avbryt svar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *. Les vår personvernserklæring for informasjon om hvilke data vi lagrer om deg som kommenterer.