Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Belgische onderzoekers vinden ernstig lek in wifibeveiliging wpa2

Twee onderzoekers uit BelgiŽ hebben een ernstig lek blootgelegd in wpa2: het Wi-Fi Protected Access II-protocol. Het lek maakt onder andere decryptie van de verbinding, het overnemen van de connectie en tcp-code-injectie mogelijk.

De Belgische onderzoekers Mathy Vanhoef van de KU Leuven en Frank Piessens van imec-DistriNet hebben een exploit voor de door hen gevonden kwetsbaarheid ontwikkeld en deze de naam Krack gegeven, wat staat voor Key Reinstallation Attacks. De kwetsbaarheid zit in de manier waarop het protocol aan sleutelbeheer doet en dan met name in de vier stappen van een handshake.

De US-CERT-organisatie heeft een waarschuwing uitgestuurd over de impact van de exploit waarin staat dat er onder andere sprake kan zijn van decryptie, packet-replay, het kapen van tcp-verbindingen en http-contentinjectie. De organisatie wijst er verder op dat alle of bijna alle correcte implementaties van de wpa2-standaard getroffen zijn, aangezien het een probleem op protocolniveau is. Binnen een draadloos netwerk zijn verbindingen daardoor wellicht niet meer als veilig te beschouwen; bij verbindingen met https-sites zorgt de extra encryptielaag uiteraard nog wel voor bescherming.

De details over de kwetsbaarheid zijn op het moment van schrijven nog niet onthuld, dat gebeurt later op maandag. Dan wordt mogelijk meer bekend of en zo ja in welke mate de problemen met software-updates verholpen kunnen worden. Wpa2 stamt uit 2004 en is nog altijd de standaard wat wifibeveiliging betreft.

Op Github heeft Vanhoef al wel een placeholder voor de exploit geplaatst en ook lijkt de site krackattacks klaar te staan om meer informatie te bieden. Volgens beveiligingsdeskundige Nick Lowe, die blijkbaar vooraf is ingelicht over de kwetsbaarheid, zijn de CVE-2017-identifiers 13077, 13078, 13079, 13080, 13081, 13082, 13084, 13086, 13087, 13088 gereserveerd voor de kwetsbaarheden.

Ars Technica constateert dat Vanhoef tijdens de Black Hat-conferentie in augustus al een presentatie gaf waarin de handshake van wpa2 een prominente rol speelde. Vanhoef en Piessens zouden hun huidige onderzoek 1 november officieel presenteren tijdens de ACM Conference on Computer and Communications Security in Dallas, in een presentatie met de naam Key Reinstallation Attacks: Forcing Nonce Reuse in WPA2. Bij hun onderzoek zijn ook wetenschappers van de Amerikaanse University of Alabama, Huawei Technologies in Düsseldorf en de Ruhr-Universität in Bochum betrokken.

Update: Het onderzoek is inmiddels gepubliceerd.

Door Olaf van Miltenburg

NieuwscoŲrdinator

16-10-2017 • 07:45

307 Linkedin Google+

Submitter: Jelv

Reacties (307)

Wijzig sortering
Het schijnt nogal een ernstige te zijn. Op Twitter gingen een aantal security onderzoekers al los. Zie ook

https://twitter.com/swiftonsecurity
https://arstechnica.com/i...ic-open-to-eavesdropping/
https://twitter.com/matthew_d_green
https://decentsecurity.com/#/routerwifi-configuration/

Er schijnt een tweede te zijn gevonden die ook nog vrijgegeven moet worden.

[Reactie gewijzigd door CurtPoindexter op 16 oktober 2017 07:52]

Het is inderdaad een erg lek. Waar ik nu wel benieuwd naar ben is hebt tweede lek waar ze het ook over hebben maar nog niks hebben vrijgegeven.

Maar meer om Topic: Hoe gaat dit opgelost worden en wat gebeurd er als jij router een patch heeft geÔnstalleerd en jou telefoon/laptop niet. Kan je dan nog wel verbinden. Daarnaast vraag ik mij af; Is het een lek of ontworpen voor afluisteren.
Er zijn hardwaremakers die al patches verspreiden voor Krack, bv MikroTik.
Yup, en Ubiquity. En word has it dat Apple ook snel een patch voor de Airport’s gaat pushen.
Heb je misschien wat meer informatie over Ubiquity?
Op hun fora vind ik enkel terug dat dit in versie 3.9.3.7537 gepatcht zal worden, maar dit voorlopig nog in beta zit. De huidige release zou 3.9.2.7517 zijn en is vorige week dinsdag uitgebracht.
Het gaat om 3.9.3 (Beta)
Ik heb net mijn AP's een upgrade laten doen, laatste versie nu is 3.8.14.6780, toestellen zijn AP AC PRO's.. Nergens de mogelijkheid om al naar 3.9.x te gaan , of het moet in beta zijn en dat doe ik liever niet ...
Net gekeken, hier staan de Lite's en de Pro's maar op 3.8.3.6587. Geen mogelijkheid om te updaten precies.
Ja, is nog een beta.
3.9.2 kun je wel al installeren hoor, maar dat moet je doen via "Custom upgrade" en dan de directe links van het Ubiquiti forum in geven.
In hoeverre kan dit in de firmware van een AP zelf worden gefixed? Als ik het probleem een beetje begrijp dan zijn het vooral die clients die in phase-3 van de handshake een packet opnieuw krijgen waardoor ze een key opnieuw gaan gebruiken (en in het ergste geval zelfs een lege key gaan gebruiken!). Dat kan je met aanpassingen aan de firmware in het AP niet voorkomen lijkt me. Zou een fix aan de client kant niet veel wenselijker zijn?
Uhm, ik heb me er niet in verdiept, maar dat klinkt niet logisch, toch?
Dan zou een attacker zijn software niet updaten ;-)
Of snap ik je verkeerd?
De bedoeling is dat je een client die niet gepatched is z'n verkeer gaat onderscheppen door z'n encryptie "zwak" te maken. Als alle clients gepatched zijn kan je hun encryptie niet langer zwak maken en is er dus geen probleem.

Een client (van een attacker) kan zo ie zo toch al niet verbinden met het AP... dus of die gepatched is maakt niet uit.
Ik heb een Apple Airport, maar
die worden niet ge-puched,
die worden bij Editing voorgesteld (propose to download / install) - nooit ge-puched. ;)

[Reactie gewijzigd door HoeZoWie op 16 oktober 2017 10:32]

Pushen staat niet perse voor het automatisch uploaden en installeren, maar ik snap de verwarring :P

Let me rephrase: ze stellen een patch ter beschikking. :)
Klopt, 100%.
Een Patch Push-en zou ongevraagd "download & install" zijn.
En dat is dus absoluut niet zo bij "Appeltjes Lucht Poorten".
Klopt. Voor mij ook de reden dat ik zeer tevreden ben over Mikrotik. Fix was er al voor uitgebracht in versie RouterOS v6.39.3, v6.40.4, v6.41rc . Je was dus al vanaf Juli al veilig bij Mikrotik :)

[Reactie gewijzigd door vali op 16 oktober 2017 14:59]

Hmmm, de reactie van Mikrotic waar je naar verwijst zegt: "We released fixed versions last week, so if you upgrade your devices routinely, no further action is required."

Aangezien de melding/reactie van Mikrotik vandaag geplaatst is lijkt het me sterk dat het dus al in juli gepatched was.
Ik kijk naar de versies die niet vatbaar zijn en dat is vanaf v6.39.3.

Voor de mensen die geÔnteresseerd zijn, kan je hier meer over de aanval lezen. Schijnt dat OpenBSD en macOS het snelt hackbaar zijn.

[Reactie gewijzigd door vali op 16 oktober 2017 18:47]

Een samenvatting van Security.nl:
De KRACK-aanval die de onderzoekers ontwikkelden, wat staat voor Key Reinstallation Attacks, valt de handshake volgorde aan die WPA2 gebruikt om de encryptiesleutels te kiezen voor een sessie tussen de client en het access point. Tijdens de derde van de vier stappen kan de sleutel meerdere keren opnieuw worden gestuurd. Wanneer dit op bepaalde manieren wordt gedaan kan de cryptografische nonce, een willekeurig getal dat maar een keer mag worden gebruikt, op zo'n manier worden herbruikt dat de encryptie volledig wordt ondermijnd.
In de aanname dat dit het probleem goed samenvat zou je dus aan de kant van het access point het hergebruik van nonces kunnen verbieden en altijd een nieuwe nonce kunnen genereren wanneer dit nodig is ("WPA2.1"). Apparatuur die hierop niet voorbereid is (WPA2) zal waarschijnlijk de verbindingspoging annuleren en mogelijk (gebaseerd op hoe het geconfigureerd is) een gehele nieuwe sessie proberen op te bouwen.

De beste beveiliging die men nu kan gebruiken is een always-on VPN tunnel waar al het verkeer over gaat, met een verbod op verkeer (anders dan de VPN, uiteraard) niet op een andere manier naar buiten mag.

Neem altijd aan dat alle vormen van draadloos netwerk onveilig zijn en dat iedereen ten alle tijde kan afluisteren en injectiepogingen kan doen. Met andere woorden, zie draadloze netwerken als het Internet voor het beoordelen van informatiebeveiliging.

[edit]
Het blijkt dat dit een client-side implementatieprobleem is en daar ook gepatched moet worden.

[Reactie gewijzigd door The Zep Man op 16 oktober 2017 13:19]

Daarbij rekening houden met waar je je VPN afneemt. Zoals aangegeven op krackattacks.com, een groot deel van VPN providers (op android dan wel volgens dit artikel) bieden onvoldoende extra beveiliging/privacy.

Leuk feitje uit dat artikel: 18% van de android VPN apps versleutelen niet eens het verkeer. 8)7
Daarbij rekening houden met waar je je VPN afneemt.
Wij praten over security. Hierbij ga ik ervan uit dat je een VPN opzet naar je eigen organisatie/vertrouwde domein. Misschien had ik dat wat meer moeten verduidelijken. ;)
Gezien het een protocol probleem is zullen we moeten wachten op WPA3 voor een oplossing.
Je kan niet zomaar gaan patchen, want dan verlies je compatibiliteit en heeft de standaard geen waarde meer.
Dat is niet helemaal waar. Je kan vaak best delen aanpassen waarmee standaardgedrag gewoon blijft werken maar de exploit voorkomen wordt. We zullen moeten afwachten of dat hier het geval is, maar dat een fabrikant als Ubiquiti patches schijnt te hebben is hoopvol.
Deze fix schijnt in versie 3.9.3 te zitten. Deze is terug te vinden op het Beta forum.

[Reactie gewijzigd door m3gA op 16 oktober 2017 10:29]

Dank, maar ik wacht wel even tot ze gewoon verschijnen in de update opties.
Het is geen probleem in het protocol zelf, maar in de implementatie van het protocol. En dat kan gepatched worden.
Je kan niet zomaar gaan patchen, want dan verlies je compatibiliteit en heeft de standaard geen waarde meer.

In dit geval kan dat gelukkig wel.

De kern van het probleem is dat de client dezelfde encryptie sleutel met dezelfde initialisatie vectoren/data gebruikt. Dat is gevaarlijk, want als je bekende data twee keer versleuteld met dezelfde sleutel en initialisatie data, is een simpele XOR operatie genoeg om de plain text data te zien bij de meeste encryptie methoden. Omdat in WiFi je zat pakketjes kunt vinden waarvan je weet of rederlijkwijs kunt gokken wat er in zit, is deze aanval dus gevaarlijk.

Er zijn binnen WiFi/WPA2 verschillende encryptie/sleutel-uitwissel varianten, en sommigen varianten zijn meer kwetsbaar (= sneller te hacken) dan anderen, maar uiteindelijk zijn ze allemaal kwetsbaar in theorie.

Er is niets in het protocol dat voorkomt dat een client dit hergebruik doet,maar gelukkig ook niets in het protocol dat het verbied of zelfs extern gedrag verandert. Ofwel clients kunnen gepatched worden, zodat ze niet meer aan initialisatie-vector/data hergebruik doen en daarmee is dit lek gepatched.

Uiteraard gezien de enorme hoeveelheid aparaten die WiFi ondersteunen, en de gebrekkige support van velen zullen kwetsbare clients een gegeven zijn, totdat de wereld overgegaan is op WPA3. Denk aan brakke/oude WiFi drivers, talloze Android toestellen en nog erger die enorme berg IoT apparatuur, IP camera's, etc.

Daarbovenop blijken er nog wat additioneel bugs/implementatie keuzes te zijn (o.a. zoals gedaan in Android/Linux/OpenBSD/MacOS) die het soms extra makkelijk maken dit te hacken. Deze kunnen ook opgelost worden, maar ook hier geldt dat je apparaat wel ondersteund moet worden.
Ok, dan had ik het verkeerd begrepen.
Alleen is de vraag hoeveel fabrikanten dit gaan doen?
En wie wil updaten, hoe kan men zeker zijn dat men een gefixte router koopt?
Is er een manier om dat te checken?
Nope. Patching is mogelijk met backwards compatibility. Zoals in de paper beschreven.
IPv6 hebben ze in principe ook op een gelijksoortige manier gepatcht.
Er worden gewoon nieuwe standaarden voorgesteld, en iedereen moet z'n steentje bijdragen om die zo snel mogelijk actief te krijgen.

Microsoft en Linux devs zullen moeten zorgen dat de client-kant ondersteund wordt, alle routerfabrikanten zullen firmware-updates moeten pushen om de router-kant te verzorgen.

Als iedereen dan z'n ding doet, kan de gebruiker binnenkort zonder al te veel zorgen overschakelen naar een veilig alternatief.

Als jouw router echter plots een update zou krijgen voor een nieuwe WPA standaard, en deze ook meteen default activeert (wat me zeer vreemd zou lijken), en MS of Linux is nog niet mee, zal je idd niet meer kunnen verbinden tot je je encryptie terug downgrade naar iets wat wel door je "client" ondersteund wordt.
Routers geŁpdatet en alles verbindt nog gewoon ;) Dus daar hoef je je geen zorgen over te maken.
damn, nu bljkt dat heel veel mensen hebben ingebroken op mijn netwerk en via piratebay heel veel films hebben gedownload hahahaha _/-\o_ _/-\o_ _/-\o_ _/-\o_
Zo werkt dit dus niet. Je kunt met deze aanval geen verbinding maken met een WPA2 beveiligt netwerk en de internet verbinding gebruiken. Je kunt deze aanval alleen gebruiken om verkeer af te luisteren en te manipuleren tussen router en apparaat. Deze aanval helpt niet in het achterhalen van het WiFi password.
Het lijkt alsof je het probleem minimaliseert? Op een thuisnetwerk is illegaal een filmpje downloaden misschien het ergste wat er kan gebeuren, maar op enterprise netwerken kan het toch echt wel kwalijke gevolgen hebben.

Edit: Ik ongewenst, davidgilmour slechts offtopice. Raar.

[Reactie gewijzigd door Carharttguy op 16 oktober 2017 13:41]

Daar gaat het hele beleid van DutchFilmWorks betreft het opzoeken van illegalen downloaders.

WPA2 is immers niet meer veilig :p
Nogal kort door de bocht deze redenering.
Je kan net zo goed de schuld geven aan de fabrikant van de sloten op jouw huis op het moment dat geconstateerd wordt dat er duizenden illegale films bij jou thuis zijn gedownload.
Er zouden dan immers ook inbrekers kunnen zijn geweest die dat hebben gedaan.
Ofwel door in jouw huis een (geheim) servertje te plaatsen, ofwel door de Wifi code van de onderkant van jouw (inmiddels gepatchte) Wifi router af te lezen, of misschien hebben ze wel een (geheime) kabel getrokken?
Erg waarschijnlijk dat dit door een rechter als excuus wordt geaccepteerd lijkt me dat niet.
Uiteindelijk zal jij als huis/IP-adres eigenaar toch aansprakelijk gesteld worden (tenzij je met een aannemelijker verhaal komt), ook als je gebruikt maakte van de (op dat moment) sterkste beveiliging.

[Reactie gewijzigd door soedesh op 17 oktober 2017 19:23]

Uit die laatste link:
One researcher told Ars that Aruba and Ubiquiti, which sell wireless access points to large corporations and government organizations, already have updates available to patch or mitigate the vulnerabilities.
Dat geeft in elk geval de hoop dat het probleem in principe oplosbaar is.

* ATS gebruikt Ubiquiti accesspoints en gaat maar eens kijken of er toevallig een update klaar staat...
Via een comment op ArsTechnica vond ik een link naar het MicroTik forum waar door MicroTik wordt gezegd dat ze hun RouterOS al gepatcht hebben. Het lijkt dus inderdaad oplosbaar via software.

https://forum.mikrotik.com/viewtopic.php?f=21&t=126695
Hij is wat eerder uit, een draft was gelekt, youtube video hier: https://www.youtube.com/watch?v=Oh4WURZoR98
Den heldere uitleg en goede FAQ zijn te vinden op:

https://www.krackattacks.com
Dat kon er ook nog wel bij. WPA2 was toch al onveilig voor kwaadwillenden die de PSK hebben, zoals bij veel openbare implementaties in horeca.

Ik vraag me af of deze aanval ook geldt voor WPA2/Enterprise. Vanwege de zwakheden in PSK al tijden overgestapt, maar ik weet niet hoe zeer die protocollen op elkaar lijken, gezien de naamgeving.
Als ik het goed begrijp gaat dit vooral om het verkeer van verbonden clients met het AP. Dat heeft niks meer te maken met de authenticatie dus. Het gaat puur om de encryptie van de al eerder opgezette verbinding. Enterprise zal dus net zo goed kwetsbaar zijn.

Dit soort dingen maken steeds weer het belang duidelijk van end to end encryptie, die makkelijk te updaten is aan zowel client side als server side.

[Reactie gewijzigd door Johan9711 op 16 oktober 2017 08:00]

WEP is al heel lang geleden gekraakt.
WPA was onveilig
WPA2 / TKIP was onveilig (eigenlijk dit is effectief WPA)

WPA2 AES (CCMP) was tot op heden niet gekraakt. (En is overigens de enige overgebleven en laatste encryptie methode).
WPA2 heeft dus een replay probleem door herhaald pakketten te verzenden is er voldoende info over de sleutel te achterhalen, of kan de sleutel beÔnvloed worden.
Dat zou net zo goed kunnen werken voor WPA2/Enterprise als WPA2/PSK.

In beide gevallen gaat het om een live sessie open te breken. Niet om de PSK te achterhalen.
IN het verderop aangehaalde artikel is een referentie dat als je niet IEDEREEN op het encrypted netwerk kan vertrouwen je er niet van op aan kan dat PSK eeen veilige encryptie is.
omdat bij bezit van de PSK + het onderhandelings verkeer het overige verkeer decryptbaar is.. (tja dat is evident bij alle vormen van encryptie).
In beide gevallen gaat het om een live sessie open te breken. Niet om de PSK te achterhalen.
IN het verderop aangehaalde artikel is een referentie dat als je niet IEDEREEN op het encrypted netwerk kan vertrouwen je er niet van op aan kan dat PSK eeen veilige encryptie is.
omdat bij bezit van de PSK + het onderhandelings verkeer het overige verkeer decryptbaar is.. (tja dat is evident bij alle vormen van encryptie).
Dat is niet evident bij WPA2/Enterprise - daarbij werkt deze aanpak niet.

Maar voor de rest is de hier gevonden vulnerability dus blijkbaar wel een bug in (correcte) implementaties van WPA2 die backwards compatible op te lossen is. Wat minder ernstig dan de issue met WPA2-PSK dus. Omdat die laatste veelvuldig gebruikt wordt in flexwerkplekken en horecagelegenheden brengt dat heel veel risico met zich mee, terwijl het niet opgelost kan worden.
Dat is niet evident bij WPA2/Enterprise - daarbij werkt deze aanpak niet.
Als iemand de sleutel heeft is decrytie eenvoudig.... ongeacht de encryptie.

De huidige aanval op WPA2 gaat over wat er als key gebruikt wordt NADAT EAPOL (eg. overleg met een radius server) etc. al gedaan is.
(Tijdens stap 3 van het Wifi uitwisselingsprotocol, het gaat dus ook mis voor WPA2/Enterprise )
In de net gereleaste blog staat dat zowel personal als enterprise vatbaar zijn:
This implies all these networks are affected by (some variant of) our attack. For instance, the attack works against personal and enterprise Wi-Fi networks, against the older WPA and the latest WPA2 standard, and even against networks that only use AES.
Thanks. Ik lees gelukkig net in Glewellyn in 'nieuws: Belgische onderzoekers vinden ernstig lek in wifibeveil... dat Microtik het in RouterOS al gefikst heeft, dat betekent dat ik grotendeels veilig zit.
Als het protocol zelf lek is, hoe kan Microtik het dan oplossen? Gebruiken ze een eigen variant van WPA2?
Er zit een foutje in het protocol waardoor frames hergebruikt worden. Dit wordt nu opgelost.
https://twitter.com/MalwareJake/status/919857084883243013
Wpa2 enterprise is toch gewoon hetzelfde met het verschil dat je in plaats van een pre shared key bijvoorbeeld met een radius server kan connecten voor verificatie. Protocol is verder exact hetzelfde. Het verschil zit em meer in dat in plaats van dat het access point even in zijn psk veld kijkt voor de sleutel hij dan eerst even verbind met een authenticatie server met dit Mac adres wil verbinden met deze key mag dat?
Nee. WPA2 enterprise gebruikt verschillende encryptiesleutels voor elke client. WPA2/Personal gebruikt voor iedereen dezelfde. Dat betekent dat als jij de PSK hebt je al het verkeer kunt afluisteren en een MITM-attack op kunt zetten. Bij WPA2/Enterprise kan dat niet omdat iedereen een andere key heeft.
Dat is wat ik zei... Enkel iets anders uitgelegd, omdat de verschillende keys wel ergens geuthenticeerd moeten worden. 10 verschillende psk’s waarmee elk device kan connecten zou nog onveiliger zijn dan 1 key. Het is wel bedoeling dat je echt een authenticatie uitvoert van dit device wil connecten met deze key, mag dat? En als de devices verder niet met elkaar hoeven te praten kan je elk ook nog op een eigen vlan gooien.

Als jij WPA2 Enterprise gebruikt en gewoon meerdere keys aanmaakt om aan je gebruikers weg te geven, dan gebruik je het verkeerd. Dat is hetzelfde als een login waar meerdere wachtwoorden werken in plaats van een.

[Reactie gewijzigd door ro8in op 16 oktober 2017 08:25]

Volgens mij heeft bij gebruik van PSK iedere client ook zijn eigen encryptiesleutel die ook periodiek ververst wordt. Het is iig niet zo dat iemand met de psk al het verkeer kan aftappen. Correct me if Im wrong with proof :)
Toch wel. Er wordt idd een encryptiesleutel onderhandeld, maar die onderhandeling gebeurt grotendeels in plaintext, als je de PSK hebt kun je dat gewoon meelezen en daarna dus het verkeer ontsleutelen. En de onderhandeling kun je forceren door een deauth-attack.

Bron: https://www.howtogeek.com...l-vulnerable-to-snooping/
heel mooi dat dit ontdekt hebben. maar zonder een oplossing onthullen van hun bevindingen is niet netjes. eerst de oplossing, daarna de onthulling
Instanties zijn op de hoogte gebracht, het embargo op publicatie loopt vandaag af. 1 van de onderzoekers heeft hier in augustus een mention in zijn twitter tijdlijn van gemaakt. https://twitter.com/vanhoefm/status/902258135888474113
Zodat kwaadwilligen het via een dump file kunnen importeren in hun tools? Nee dankje, de ernst van de situatie is bekend, ook bij de onderzoekers, vandaar eerst fix en daarna onthulling, gaat het te lang duren kan het altijd nog worden bekend gemaakt.
En hoe zie jij dat bij een protocol welke tot standaard is verheven en door duizenden fabrikanten in producten is verwerkt over meer dan 10 jaar? Hoe wil jij ooit een fix uitgerold krijgen? Dit is niet fixable zonder het protocol aan te passen maar dat kan weer niet omdat je met zovele legacy devices zit die al jaren geen updates meer krijgen. De enige oplossing is dus een nieuw protocol en dan heb je voor je legacy devices hetzelfde probleem.
Dat legacy devices iets nieuws niet ondersteunen hoeft geen probleem te zijn. Binnen een paar jaar zijn de meeste van die legacy devices toch vervangen. Vergelijk het met veiligheidsvoorzieningen in auto's. Toen de airbag werd geintroduceerd beseften we dat oudere auto's onveiliger waren. Maar we gingen oude auto's niet aanpassen.

We weten nu dat er risico's zijn en je hebt een bepaalde tijd nodig om het veiliger te maken. Als het er op aankomt zijn berichten op Facebook waar veel mensen hun hele hebben en houden op zetten (van afwezig zijn wegens vakantie tot aan foto's in het ziekenhuis bij ingrijpende ziektes) een groter risico dan een lek in WPA2....
Betaalverkeer wat veelal over WiFi loopt is dus geen ramp? Als je als aanvaller in het lokale subnet komt en de PC zelf vertrouwt op de firewall van de router zelf (lees: NAT) dan ben je aardig kwetsbaar en wordt wardriving weer een dingetje.
Betaalverkeer loopt, als het goed is, niet unencrypted over je netwek of het Internet.
Nee, maar zat lekken in windows die je gewoon, eenmaal in het lokale subnet, gewoon kan gebruiken. Lokale netwerken zijn in zijn geheel compromised. Enige wat je nu kan doen is een guest-netwerk aanmaken voor WiFi zodat een indringer niet gelijk access heeft tot onbeschermde computers.
Toch ben ik dat niet met je eens,
Hoeveel gezinnen in NL hebben een Standaard router van hun provider.
Juist miljoenen. en hoeveel van deze mensen zullen een nieuwe router of update krijgen van hun provider,

waarschijnlijk minder dan 30%..

Als ik alleen naar mijzelf kijk, ik heb in 13 jaar geen nieuwe router van mijn provider gehad.(nu heb ik mijn eigen wifi-router maar toch het geeft je te denken, alleen toen ik wilde overstappen kon in een keer van alles..)

Ik denk dat je zo heel wat jaartjes kan wachten totdat alles in orde is..
Veel providers pushen automatisch updates naar hun routers; xs4all, tele2, kpn etc. Tenzij je dit zelf hebt uitgezet natuurlijk.

En is een update niet mogelijk dan kan een compleet nieuwe router/modem worden uitgegeven. Dit was toen met WEP niet heel veel anders.

Doet jouw provider hier niet aan mee, dan zou ik ze eens aanschrijven of een nieuwe provider overwegen ;)
Het verschil is dat legacy devices niet meer kunnen internetten omdat die afhankelijk zijn van WiFi.
Dus om het in jouw context te plaatsen, oudere auto’s kunnen niet meer rijden omdat de auto zonder airbag onveilig is bevonden en de fabrikant maakt geen airbags voor dat model.
Auto zelf doet het nog prima, alles werkt nog, alleen mag dus niet meer op de weg.
Eens, ik reageerde ook op het update / mobiel verhaal van ari2asem en niet het fixen van deze exploid.
ok. en wat is de oplossing? iemand en idee?
Als ik het zo lees in de reacties:
- alle patches van je clients en AP's zo snel mogelijk installeren
- wifi AP uitzetten (of iig niet gebruiken) en een alternatief gebruiken zoals kabels, 2-4G
- encryptie op andere netwerk niveaus regelen zoals https

Wel bijzonder: 2x een waardering 'Off-topic / Irrelevant'...

[Reactie gewijzigd door napel25 op 16 oktober 2017 14:28]

Mag aannemen dat ze iig makers van APs, routers, etc op de hoogte gebracht hebben van dit... Anders lijkt het me heel erg apart.
Als het probleem op protocolniveau zit zie ik niet goed hoe de fabrikanten dit zouden kunnen/moeten oplossen.
Het zit op implementatie niveau aan de client side.
Jazeker, daarom hebben meerdere vendors al een patch klaar staan :)
Het is nog niet bekend gemaakt hoe het werkt.

Ubiquiti en Aruba hebben al een patch (zie ze nog niet online though).
One researcher told Ars that Aruba and Ubiquiti, which sell wireless access points to large corporations and government organizations, already have updates available to patch or mitigate the vulnerabilities.
De patches zal aan het grote publiek pas geopenbaard worden, wanneer de lek openbaar gemaakt wordt.
Tot die tijd krijgen meestal de partijen die dik betalen, eerst de gelegenheid om te patchen.

Dit zie je de laatste tijd steeds vaker, bij bugs die remote te misbruiken zijn. Eerst de grotere bedrijven en dan pas de rest.
Opzich is deze handels wijze te begrijpen en te verdedigen, aan de andere kant. Is de rest van de wereld minder waard dan die grote bedrijven?
Je kunt niet alles tegelijkertijd doen. Dan is het logisch dat je eerste de gebieden doet waar de impact van een risico het grootst is. Dat is basic risk analysis & mitigation. Als je spoorwegovergangen veiliger wilt maken doe je ook eerst de drukste of die waar de meeste slachtoffers vallen. Hoe erg het ook kan zijn als je toevallig iemand kent die bij een kleine overgang is verongelukt. Dit is niet anders.

[Reactie gewijzigd door ReneWouters op 16 oktober 2017 09:52]

Je kunt niet alles tegelijkertijd doen.
Onzin. Zodra een patch gereed is kan die voor iedereen beschikbaar zijn. Als ik thuis hetzelfde AP heb hangen als er in het witte huis hangen, is er geen enkele (technische) reden waarom de gepatchte firmware al wel voor het witte huis beschikbaar kan zijn maar nog niet voor mij.
Nee, wereldkundig maken, zodat er door zo veel mogelijk mensen zo snel mogelijk aan een oplossing gewerkt kan worden. Dat is iets wat 2 man samen nooit lukt.
Gezien de enorme impact van dit issue zullen mensen geneigd zijn hun kop in het zand te steken, zeker de mensen die hier een hoop kosten aan gaan hebben om het probleem te fixen. Daarom zo groots aankondigen
Waarom is dit niet netjes? In 9 van de 10 gevallen is dit toch zo?
Ik kan mij wel vinden in het achterhouden van enkele details, maar zoiets moet toch snel naar naar buiten gebracht worden!
Dat is hier niet zomaar haalbaar. Responsible disclosure is mooi als je met 1 enkele vendor te maken hebt. Hier heb je een industriestandaard die door duizenden vendors is geimplementeerd over een periode van 13 jaar. Heel veel toestellen zullen nooit nog een update krijgen en een oplossing ligt dan ook niet voor de hand. De enige echte oplossing zal waarschijnlijk een opvolger zijn voor WPA2.

Ondertussen zit er dus wel een zwakte in die misbruikt kan worden en die mogelijks zelfs al misbruikt wordt. En dan wil jij dat ze gewoon zwijgen en doen alsof dit niet bestaat?
Ik snap je punt. En je hebt maar deels gelijk.

Met z'n tweeŽn een heel protocol oplossen gaat niet. Het is een standaard en daarmee zullen diegene die deze standaard beheren/goedkeuren met de oplossing moeten komen.

Maar er is een oplossing. Alle sites over op HTTPS zoals in het artikel staat:
Binnen een draadloos netwerk zijn verbindingen daardoor wellicht niet meer als veilig te beschouwen; bij verbindingen met https-sites zorgt de extra encryptielaag uiteraard nog wel voor bescherming.
Diverse fabrikanten van routers e.d. hebben dus al oplossingen klaar staan inmiddels.
Er zijn zelfs patches aangeleverd aan hostapd/wpa-supplicant.
Dus er is wel meer gedaan.
Dat is spectaculair nieuws. Voor zover ik het begrijp geldt dit voor zowel WPA2 Personal als Enterprise?

Het vervelende: Veilige alternatieven voor WPA2 zijn er nauwelijks (ik ken ze niet...), dus dat wordt bij bedrijven weer overal de kabel erin steken?
dus dat wordt bij bedrijven weer overal de kabel erin steken?
Dat is gelukkig niet nodig. Door de manier waarop computernetwerken zijn opgebouwd (meerdere protocollen, de ene bovenop de ander: "de TCP/IP stack") is het niet erg als je verbinding op een bepaald niveau niet (genoeg) beveiligd is. Zolang je weet dat het zo is en een volgende laag wel voldoende beveiliging biedt is er in principe niets aan de hand. Waar het op neer komt: HTTP-over-WPA2 is gekraakt; HTTPS-over-WPA2 (en, wat dat betreft, HTTPS-over-WEP) is niet gekraakt.

Het is dus wel vervelend (als WPA2 gewoon zijn werk doet dan is elk protocol daarboven ook beveiligd; wel zo handig, dan kun je niets vergeten), maar niet catastrofaal (zolang je beveiligde protocollen hebt voor alles wat over die verbinding moet is er niets aan de hand). In de praktijk kun je nu bijvoorbeeld DNS spoofen, maar je slachtoffer zal geen verbinding maken met jouw server omdat die geen geldig certificaat kan laten zien.

Let wel even goed op, daar staat "als je overal beveiligde protocollen voor hebt" en het zit er dik in dat dat niet het geval is! Je gooit (zonder daar bij stil te staan) flink wat interessante data onbeveiligd over de lijn: een pagina die per ongeluk toch nog HTTP gebruikt, DNS kan wťl gespoofed worden als je daarna via HTTP verbindt (of als je self-signed certificaten accepteert), DNS (en, zonder speciale trucs, HTTPS!) verraadt nog steeds welke websites je bezoekt, per ongeluk via POP3 je mail ophalen, ...

Edit:
Inmiddels heeft het artikel zelf dit ook toegevoegd: "bij verbindingen met https-sites zorgt de extra encryptielaag uiteraard nog wel voor bescherming".

[Reactie gewijzigd door robvanwijk op 16 oktober 2017 11:00]

Wellicht worden corporate omgevingen hier niet (of beperkt) door getroffen, maar het gaat natuurlijk veel verder dan een simpele http vs https. Neem de gemiddelde smartphone. Welke protocollen worden er precies gebruikt als je zo'n ding een dagje gebruikt? Zitten daar kwetsbare protocollen tussen? Ik gok zo even van wel.

Ook de VPN-oplossing is natuurlijk leuk, maar daar heeft de gemiddelde smartphone-gebruiker (met waarschijnlijk een verouderde Android versie) natuurlijk niets aan. Mijn (schoon)ouders hebben echt geen idee wat 'VPN' zou kunnen zijn.
Die kunnen gewoon Opera VPN downloaden en aanzetten. Zo makkelijk kan het zijn (mits je niet bij apparatuur op je interne netwerk hoeft te komen).
Een alternatieve browser downloaden en daar iets in aanzetten...dan ben je het technisch niveau van waarschijnlijk 80% van de telefoon- en tabletgebruikers wel gepasseerd. Ik ben bang dat het niet zo makkelijk gaat zijn.
Browser? Nee het is gewoon een VPN app. Je kan gewoon je bestaande apps gebruiken.

En diezelfde gebruikers kunnen wel angry birds en candy crush installeren dus dit downloaden en op "Connect" drukken moet ze toch ook wel lukken, lijkt me.
Browser? Nee het is gewoon een VPN app. Je kan gewoon je bestaande apps gebruiken.

En diezelfde gebruikers kunnen wel angry birds en candy crush installeren dus dit downloaden en op "Connect" drukken moet ze toch ook wel lukken, lijkt me.
In Android is het inderdaad een aparte app, in iOS niet. Daar is het een optie in de Opera browser.
Neem de gemiddelde smartphone. Welke protocollen worden er precies gebruikt als je zo'n ding een dagje gebruikt? Zitten daar kwetsbare protocollen tussen? Ik gok zo even van wel.
Ik kan je geen volledige lijst van protocollen geven, maar met je conclusie moet ik het eens zijn: waarschijnlijk zullen er wel een paar kwetsbare tussen zitten.
Ook de VPN-oplossing is natuurlijk leuk, maar daar heeft de gemiddelde smartphone-gebruiker (met waarschijnlijk een verouderde Android versie) natuurlijk niets aan. Mijn (schoon)ouders hebben echt geen idee wat 'VPN' zou kunnen zijn.
De ironie druipt er natuurlijk aan alle kanten vanaf, maar als je wifi uitschakelt (en dus alles via 3g/4g/5g doet), dan bereik je zonder een VPN hetzelfde resultaat: een beveiligde verbinding van jouw apparaat tot de backbone (waar, realistisch gezien, alleen tientallen geheime diensten kunnen tappen, maar criminelen (als het goed is...) en irritante buurjochies niet bij kunnen).

Gelukkig zullen de meeste dingen die echt "interessant" zijn voor misbruik alsnog beveiligd zijn: bijvoorbeeld banking-apps gaan (mag ik toch hopen...!) echt niet zonder encryptie met hun server kletsen "omdat onze klanten alleen via beveiligde wifi verbinding maken"; die zullen echt wel rekening houden met mensen die nog WEP gebruiken.
Daar heb je inderdaad een goed punt; WiFi uit op je telefoon lost eventuele WPA2 beveiligingsproblemen op. Maar ja, die tablets hŤ?

Overigens is het uitzetten van WiFi ook niet ideaal; niet elk OS / elke versie van een OS kan goed tegen het uitzetten van WiFi; de accuduur kan wel eens flink klappen krijgen.

Dat bankieren apps beveiligd zijn ga ik inderdaad wel vanuit, maar hoeveel apps die toegang hebben tot 'interessante gegevens' zijn niet zo goed beveiligd? Ik ben bang dat dat er toch nog een hoop zijn.
Veel bedrijven hebben hun interne verkeer niet encrypted en dat is nou net waar WiFi veel voor gebruikt wordt.
Is een draadloze beveiliging, wel een beveiliging?
Wat ik bedoel, iemand heeft alle tijd om de het wifi verkeer te onderscheppen en op te slaan. Om vervolgens op een later tijd stip in alle rust, het te proberen te kraken?
Is een draadloze beveiliging, wel een beveiliging?
Wat ik bedoel, iemand heeft alle tijd om de het wifi verkeer te onderscheppen en op te slaan. Om vervolgens op een later tijd stip in alle rust, het te proberen te kraken?
Dat geldt voor iemand die fysieke toegang heeft tot een bekabelde verbinding. Toegegeven, die toegang verkrijgen is moeilijker, maar wel mogelijk.

En ja, natuurlijk noemen we het dan nog steeds een beveiliging. Je noemt de deur van je kluis toch ook een beveiliging, ook al kunnen criminelen die kluis meenemen en thuis in alle rust proberen de code te kraken? Of misschien beter gezegd: alles wat onderschept kan worden kun je opslaan en later pas kraken; ik weet in elk geval geen voorbeelden van data waarbij je gedwongen wordt om het "live" te kraken, omdat je die na het onderscheppen niet op kunt slaan. (Je moet wel live kraken als je naast afluisteren ook data wil injecteren, maar dat komt alleen omdat de ontvanger anders een time out geeft.)
Klopt, maar wifi maakt het wel een stuk gemakkelijker en zonder dat het te traceren is.

Voor criminelen, die mijn kluis willen hebben, zullen eerst mijn voordeur moeten opbreken (inbraak sporen) voordat ze bij mijn kluis kunnen. Dit geld ook voor het bedrijfsnetwerk.
Even vanuit gaande dat die goed beveiligd is en er geen onbekende bugs zijn.

Iemand in een auto met een laptop is niet eens verdacht, en een geparkeerde auto zonder iemand er in, is al helemaal niet verdacht.
Wanneer WiFi juist is geÔmplementeerd binnen een bedrijf dan valt het risico wel mee. Voor een bedrijf is interne WiFi gelijk aan extern Internet en zullen interne services alleen benaderd kunnen worden zoals een extern device dat doet. Dus WiFi als LAN extensie is grootste fout die men kan maken.
Goed punt, ik moet echter nog het eerste bedrijf tegenkomen waarbij dit als zodanig goed is ingericht.
Ik ken er genoeg die het zo hebben. Banken, zorginstellingen, overheidsinstellingen. En zeker met BYOD (Bring Your Own Drama) is dat ook geen overbodige luxe.

Per definitie is namelijk ieder mobiel device een potentieel gevaar.
Vraag me af hoe ze dat doen met laptops die overal bij moeten kunnen. Developers bijvoorbeeld. Kan je wel een apart vlan maken, maar moet je vervolgens alles openzetten.
Heel simpel 1 poortje naar je SSL VPN appliance zoals een Netscape of iets gelijkwaardig en dan een dedicated of shared VDI er achter, Citrix of iets dergelijks. Ideaal standaardiseren, te updaten, te beveiligen. Een Fat cliŽnt is zo 1999. En zeker met VDI in combinatie met huidige technieken, zoals hardware virtualisatie heb je geen zware cliŽnt meer nodig.

Er zijn zo weinig scenario's nog te bedenken waar VDI een slechtere oplossing is dan een vette Pc of Laptop. De voordelen van VDI zijn echter wel veel groter dan een Pc of Laptop.

Het mooie is dat een VDI tijd en plaats onafhankelijk werken biedt. En voor zware grafische workloads gewoon een rits Tesla's er bij. Snelle storage, SSD array er onder van bijvoorbeeld Purestorage.

Andere voordelen van VDI of Private Cloud is security, geen medewerkers meer die USB disks nodig hebben. Geen zorgen meer als een device in de trein blijft liggen. Even snel iets doen, iPad of Tablet op de bank maar wel mega power tot je beschikking. Je pand brand af, ruk een zwik goedkope devices af en iedereen kan weer werken.

En ik moet de eerste medewerker tegenkomen die een snellere desktop/laptop kan maken dan een VDI.

En je bent ook af van andere security zaken en kan volgens een 3-tier/4-tier model werken zonder verlies aan functionaliteit en performance maar wel met verhoogde security.

[Reactie gewijzigd door Wim-Bart op 17 oktober 2017 19:30]

Ja en het feit dat je voor elke WiFi aanval natuurlijk te plaatse moet zijn en een goed genoege verbinding moet hebben met AP en alle clients. Het is uiteraard wel een manier voor een hacker om verder in een netwerk binnen te dringen, maar dan moet hij wel gevaarlijk te plaatsen zijn.
Hangt er vanaf. Een HTTPS verbinding opzetten is voldoende voor de meeste use cases.
Voor het netwerkverkeer tussen mijn nas en laptop? Browsen is nog wel hetgeen waar ik mij het minst druk over maak.
Hey ik kan niet raden welke use case jij hebt dus ik zei niet voor niets "de meeste".

Maar ik zou zeggen, SFTP.
SFTP en zelfs FTPS gaat nog lastig worden, zeker met Windows machines, die out-of-the-box geen support voor deze protocollen heeft. ;) Kun je natuurlijk wel een programma voor installeren, maar daarmee zie ik ook niet iedereen in staat zijn om dan via die protocollen te gaan verbinden. SFTP of FTPS lijken mij dus geen alternatieven.
Meeste clients schakelen dat tegenwoordig gewoon in. Vooral op Windows en MacOS draait men toch aparte clients (ondanks dat die laatste sowieso built-in support heeft), dus met die ondersteuning zit het wel snor. Je client uit t jaar 0 kan t vast niet nee.
Ik bedoel dus iets heel anders dan wat jij hier zegt. Zelfs Windows 10 heeft vanuit de Explorer (zonder een apart programma dus, wat ik bedoelde met out-of-the-box) geen ondersteuning voor SFTP of FTPS. ;) Dus hoe een client dat dan "inschakeld" is mij een raadsel.

[Reactie gewijzigd door CH4OS op 16 oktober 2017 11:13]

Een client heeft ondersteuning voor die protocols, en schakelt ze automatisch in.
Dan ben ik even benieuwd wat jij bedoeld met client, want we kletsen langs elkaar heen heb ik zo het idee.

Een client is voor mij een PC met een OS erop. Windows 10 heeft geen support out-of-the-box voor SFTP en FTPS en kan dat dan dus ook niet automatisch inschakelen.

Als ik jou zo lees, zou ik zeggen dat jij een programma zoals bijvoorbeeld FileZilla als client beschouwd? Zo ja, dan heb ik het dus niet daarover, aangezien de meeste mensen dan al niet meer snappen hoe het allemaal moet werken en is het instellen maar lastig. Vandaar dat ik over out-of-the-box begon.

FileZilla schakelt trouwens ook niet automatisch van protocol, zeker met FTP with explicit TLS (FTPS) niet, aangezien dat ook 'gewoon' over poort 21 gaat, standaard gezien. Hoe dat voor SFTP zit weet ik niet, dat gebruik ik meestal op poort 22, dus dat kan ook poort-based zijn en niet protocol-based. Bij FTPS with implicit TLS gebruik je meestal ook een andere poort (990 is daarvoor de standaard poort immers). ;)

[Reactie gewijzigd door CH4OS op 16 oktober 2017 11:38]

Ik heb het inderdaad over (S)FTP-clients. :)
sftp kan eenvoudig via winscp.
Dacht dat die ook ftps kon ondersteunen, maar ik gebruik geen windows kan het niet nakijken.

[Reactie gewijzigd door tweaknico op 16 oktober 2017 15:22]

En dus kan het niet out-of-the-box, zoals ik aangeef. Genoeg tools die wel sftp en ftps kunnen.
Leuk, maar als mensen zo je netwerk binnen kunnen wandelen is dat waardeloos. Of ga jij ieder apparaat in je eigen netwerk voorzien van een 20 karakter wachtwoord? Lekker gebruiksvriendelijk en echtgenoot proof...

/edit:
Ik wordt wel ge-mind, maar denk er eens over na hoeveel apparaten op je eigen thuisnetwerk je van een wachtwoord kan voorzien (bijvoorbeeld printers, TV's, IOT apparaten)? En hoeveel apparaten op je netwerk al jarenlang geen firmware updates meer hebben gekregen en dus zo lek zijn als een mandje als ze ineens in de "grote boze buitenwereld" zouden komen?

En let's face it: dit is gewoon de waarheid, niet iedereen wil iedere keer een lang wachtwoord in voeren om bij zijn foto's te kunnen.

[Reactie gewijzigd door OverSoft op 16 oktober 2017 10:57]

Snap sowieso de mensen niet die geen wachtwoord op hun systeem hebben.

Heb zelfs op alle de devices Bitlocker aanstaan en encryptie op alle Android devices.

Want ik weet niet of ik wat te verbergen heb, maar wil daar niet achter komen wanneer het te laat is.

Dus wordt er ingebroken en wat gestolen dan ligt er geen data op straat.

[Reactie gewijzigd door Wim-Bart op 16 oktober 2017 12:38]

Ik neem toch aan dat je jouw NAS niet zonder wachtwoord aan een netwerk hebt geknoopt dat met het interner verbonden is...
Admin niet natuurlijk, maar mijn samba, NFS en Plex poorten zijn gewoon open. (Zoals in 95% van de gevallen gok ik). Daar heb je NAT voor...
Daarnaast loopt je management interface over HTTP, dus erg veilig is dat nou ook weer niet.

[Reactie gewijzigd door OverSoft op 16 oktober 2017 09:41]

Samba heeft ook auth, wat ik op mijn NAS ook gebruik.
Maar de rest niet...
Doet er verder niet toe, de NAS is niet het enige wat op iemands netwerk staat.

Dingen als een Philips Hue, Homewizard en andere IOT achtige dingen zijn vaak niet eens te beveiligen en/of werken over HTTP, waardoor ALS ze wel beveiligd zijn, je simpelweg de tokens kan sniffen om toegang te krijgen.
Nat is geen beveiliging:) Een beetje als het raam niet op slot doen maar alleen het gordijn dicht doen..
Je mag er vanuit gaan dat je interne netwerk veilig is. Dat is het idee van een intern netwerk en ook iets waar zo'n beetje alle IOT apparaten op leunen (+ printers, TV's, etc...)

En NAT is misschien onhandig geformuleerd, ik had moeten zeggen: daar heb je je router voor, om je intern netwerk gescheiden te houden van het internet.

[Reactie gewijzigd door OverSoft op 16 oktober 2017 10:55]

Het is geen oplossing, het is een workaround. Je eigen netwerk gaan inrichten alsof het een WAN is, is een workaround. De verbinding zelf moet veilig genoeg zijn.

Daarnaast KAN ik bijvoorbeeld mijn printer niet eens voorzien van een wachtwoord...

[Reactie gewijzigd door OverSoft op 16 oktober 2017 08:20]

Echter als je wifi AP aan het zelfde netwerk zit als je bekabelde printer zit je nog steeds in de problemen.
Met dit lek is HEEL je netwerk open. Dus alles wat er achter je AP hangt. Tenzij je met firewalls en captive portals op je interne netwerk gaat werken.
Ook captive portals zijn onveilig op een "gekraakt" netwerk. Je kan immers makkelijk de MAC adressen sniffen van de andere apparaten die wel al verbinding hebben en die clonen.
Ook whitelisten / firewalls gaat hierbij dus niet helpen.
tenzij je geen wifi gebruikt :) met deze bug zie je alleen verkeer dat door de lucht gaat.
Ok, en een Philips Hue, of een Homewizard? Die via HTTP werken en je dus de tokens van kan sniffen als je op hetzelfde netwerk zit?
En als ik een laptop thuis heb en een printer? Moet ik dan iedere keer naar mijn printer lopen om die aan te sluiten? Dat is natuurlijk de omgekeerde wereld.

Veel apparaten worden ontworpen met in het achterhoofd dat de netwerklayer veilig is, en dus het grootste gedeelte van de beveiliging daar laten liggen. Dan kun je zeggen dat het slecht ontworpen is, maar het is nou eenmaal zo en dat is niet 1,2,3 opgelost. Sowieso kan je interne adressen niet eens voorzien van een HTTPS certificaat, want je kan geen geldig HTTPS certificaat aanvragen op puur IP adressen.
Ja, dat is dus een kwestie van bezint voor gij begint. Gemak en security gaan helaas maar zelden hand in hand en fabrikanten zijn redelijk ongeinteresseerd in de gevolgen van hun implementaties.
We weten allemaal dat dit soort devices hopeloos slecht beveiligd zijn en nog slechter gepatched worden, dan heb je twee keuzes, of je accepteert het risico of je laat ze niet toe op je (wireless) netwerk.

Overigens hangt mijn printer via LAN aan het netwerk en is dus wel via Wifi te benaderen maar maakt de wifi van de printer geen deel uit van het netwerk. Het zijn allemaal keuzes waar je zelf moet bepalen in hoeverre security en privacy van belang zijn voor je.
Laten we wel ff orde op zaken stellen.
Tot nu toe was WPA2 NIET gekraakt en dus als absoluut veilig bevonden.
Het heeft 13 jaar geduurd voordat de eerste tekenen van onveiligheid boven water komen. (En dan is het niet eens direct een gat in WPA2, maar een gat in de implementatie).

Dan kan je wel 13 jaar lang het jezelf moeilijk maken om alles maar te weren van je netwerk, of alles in verschillende VLANs te gieten, of je neemt het risico dat ooit, in de toekomst de techniek gekraakt wordt en dat dat dan wel gepatched wordt.

Ja, ik ga voor gemak boven veiligheid. Net zoals 99,9% van alle mensen. Natuurlijk heeft mijn NAS een wachtwoord, natuurlijk is alles redelijk dicht getimmerd, maar je kan ook overdrijven...
Het is niet een gat in de implementatie, maar in de specificatie....
Dus alle implementaties die aan de specificatie voldoen zijn lek, mogelijk hebben sommige implementaties een bug (t.ov. de specificatie), dan zou door die bug het lek kunnen verdwijnen.
(bv. het blokkeren van replay van bepaalde pakketten)

Dit is overigens ook wat in de nieuwe versies van wpa-supplicant en hostapd nu ingebouwd wordt.

[Reactie gewijzigd door tweaknico op 16 oktober 2017 15:31]

Overigens zijn er voor HTTPS-verbindingen wel risico's:
Dat is alleen mogelijk bij onversleutelde http-verbindingen, al zijn er volgens Vanhoef ook risico's voor https omdat in het verleden is gebleken dat ook deze techniek te omzeilen is. De onderzoeker demonstreert echter geen aanval op https.
Bron: nieuws: 'Krack-aanval treft alle moderne wifinetwerken door lek in wpa2-stand...

[Reactie gewijzigd door CH4OS op 16 oktober 2017 13:19]

Ik vraag mij af of dit voor de huis/tuin/keuken WiFi's nu zo schokkend is?

Belangrijk verkeer gaat toch al over httpS, banken met name.
De meeste mensen gebruiken een web-based mailprovider (gmail, outlook) en die zijn ook httpS,
Webshops hebben ondertussen ook al meestal een httpS.

Blijft over client based applicaties die geen httpS/VPN gebruiken.

De meeste huis/tuin/keuken zullen dit nieuws waarschijnlijk nooit horen en dus vrolijk doorgaan op hun gebruikelijke voet.
Tot iemand uw netwerkje wil gebruiken om criminele zaken te doen.
Uw gegevens zullen ze idd worst wezen. Maar uw netwerk gaan ze met plezier misbruiken.
Netwerk gebruiken voor criminele zaken?
Toch lullig als ze hun Tor exit node o.i.d. aan jouw internetverbinding hangen...
Denk je dat echt?

Maar dan nog, huis/tuin/keuken aansluitingen zullen hier nooit van horen.
En wat @Keypunchie zegt, de meesten klikken een waarschuwing gewoon weg.

En wordt je gepakt voor een vermoeden van iets illegaals dan blame je gewoon het WPA2 lek O-)
Deze aanval helpt met niks om iemand zijn netwerk te misbruiken. Je kunt alleen het verkeer tussen router en apparaat afluisteren. Niet verbinding maken met die router en dan het internet op gaan. Daar heb je nog steeds het WPA2 password voor nodig.
Omdat mensen bij huis-, tuin- en keukenwifi vaak niet checken wie her certificaat heeft uitgegeven, of waarschuwingen gewoon lekker wegklikken.

In principe is nu bijna elke thuiswifi kwetsbaar voor MitM-aanvallen. War-driving wordt weer boeiend.
Todat jouw buurman in je WiFi kan en lekker gaat zitten torrenten...
Maar kunnen we dit niet oplossen mat MAC whitelisting? Dan heb je daar sowieso geen probleem mee.
idd, op de betere routers zit deze functie er al jaar en dag in. Maar wordt weinig gebruikt in huis-tuin-keuken
omgeving
Omdat het niet goed werkt. Een MAC adres kun je met weinig moeite zelf instellen naar alles wat je wil. Als je meeluistert op een netwerk, zie je snel genoeg welke adressen 'whitelisted' zijn.
Kunnen ze die dus ook zien zonder zelf acces te hebben op dat netwerk? Dan is het idd zinloos.
Ja - een draadloos apparaat broadcast zijn MAC-adres.
Je hebt bepaalde tools (ehum.. airodump-ng) waarbij je kan zien welke access points in de lucht zijn en ook de clients die ermee zijn verbonden. Hiervoor hoef je niet met die netwerk verbonden te zijn.
MAC whitelisting werkt niet als beveiligingsmethode.

[Reactie gewijzigd door oef! op 16 oktober 2017 10:12]

ja ok, maar het maakt het toch al weeral een extra drempel.
En zolang ze de gewhitelisted mac's niet kennen lijkt het me niet makkelijk die te spoofen toch?
Die kan je gewoon sniffen. Dus dit is echt een non-oplossing.

Eigenlijk is het dan gewoon een paswoord dat je met elk pakketje in plain text mee stuurt :) Dus niet bepaald zinvol. Zelfs zonder WPA2 hack kan je de MAC adressen van encrypted pakketten gewoon zien.

Bovendien is het gevaar van deze hack niet zozeer ongeautoriseerd gebruik van je WiFi. Maar meer het sniffen van het verkeer terwijl je verwacht dat dit veilig is (dus geen extra middelen zoals VPN gebruikt zoals je in het cafe / hotel zou doen)

[Reactie gewijzigd door GekkePrutser op 16 oktober 2017 11:34]

In het betreffende artikel wordt ook aangegeven dat slechts WPA2 wel veilig is.
Het artikel is inmiddels dus achterhaald.
Wat ik wel denk is dat de combinatie van zowel MAC adres filtering als WPA2 wel degelijk een veilige oplossing is.
Het lijkt mij namelijk sterk dat bij gebruik van WPA2 het MAC adres unencrypted door de lucht gaat, iets wat Gekke Prutser wel suggereert, maar (zijn naam zegt genoeg) volgens mij niet waar is.

[Reactie gewijzigd door soedesh op 17 oktober 2017 19:00]

Ik zou zeggen start de sniffer eens, zie je gelijk hoe 'veilig' Mac Whitelisting is.
Dat is letterlijk te simpel om te omzeilen, zelfs scriptkiddies kunnen en doen dat.
Hoe zie je dat voor je, als Mac adressen ook encrypted worden, hoe weet de ap dan waar het bij hoort...

[Reactie gewijzigd door RGAT op 19 oktober 2017 08:59]

Inmiddels lees ik op de site van AVM: "Since wireless devices transmit their unencrypted MAC addresses in each data packet they send, attackers can easily determine a MAC address that can be used to login", waaruit ik begrijp dat MAC adressen idd unencrypted "door de lucht" gaan, dus ook als er sprake is van Wifi beveiliging. Ik had dit niet verwacht en twijfel om eerlijk te zijn nog steeds of dit echt zo is.
Ik vraag mij verder af waarom de vragensteller op dit forum

https://www.backtrack-linux.org/forums/showthread.php?t=5282

niet gelijk een ťťnduidig antwoord heeft gekregen en waarom de moderator die wel als enige heeft geantwoord daar zo geheimzinnig over doet.
Is het gebruik van een programma als Backtrack soms illegaal? Lijkt mij van niet.
Als ik het goed begrijp zijn de MAC adressen van alle apparaten van je buren dus gemakkelijk uit te lezen (van de access points en wifi routers wist ik al dat dit het geval was, want de functie om access points te scannen zit al ingebouwd in iedere huis tuin en keuken router), maar kennelijk zijn ook de MAC adressen van alle clients (laptops en smartphones bijv.) uit te lezen met de tool?

Graag ook een reactie van iemand die daadwerkelijk op deze manier de MAC adressen van Wifi clients (van zijn buren) op deze manier heeft uitgelezen, dus zonder zelf al toegang te hebben tot het Wifi netwerk.

Edit: dit artikel heeft me overtuigt dat het idd kan en het zelfs verstandig is om je Wifi uit te zetten als je met een smartphone rondloopt:

https://www.crc.id.au/tra...-even-when-not-connected/

Geen Smartphone gebruiken, maar een oude Nokia (zoals ikzelf) is natuurlijk ook een oplossing! ;-)

[Reactie gewijzigd door soedesh op 21 oktober 2017 19:25]

Again, dit is hoe Wifi werkt ;)
Wifi is niet een draadloos protocol waarbij elke client (telefoon/laptop/...) ALLEEN maar met de AP kan praten.
Elke client en elke AP stuurt zijn packets de wereld in met een header eraan, als iedereen zich aan de afspraken houdt zal alleen de juiste client/AP het packet ook echt verwerken, maar iedereen ontvangt het (zolang binnen bereik...)
Als je dan een minder vriendelijke KALI (Backtrack is jaren geleden vervangen door KALI) client hebt kan je daar al aardig wat mee.
Ik heb een Netgear WC7520 met meerdere WNDAP360 AP's (zakelijk systeem) thuis hangen welke 'as standard' mij een lijst van alle MAC adressen toont die langs zijn geweest, aangezien ik naast een station woon zie ik er dagelijks duizenden.
Dit zijn clients die niet met mijn netwerk verbinden (en sommige wel), ik heb alleen maar WPA-2 PSK voor guests en enterprise voor mijzelf maar dit geeft mij een complete lijst van alle AP's die in de buurt zitten (inclusief iPhone/Android tethering hotspots enz.) en alle clients.
MAC blacklisting/whitelisting is dan ook niets meer dan een manier om je tante van jouw prive wifi te houden en haar te dwingen het guests netwerk te gebruiken ;)

Bekijk het zo: een goed slot op je voordeur met de sleutel onder de deurmat: is dat beveiliging? Iedere inbreker zal daar als eerste kijken...
Waarom zou het dan wel beveiliging zijn als je constant die sleutel uitdeelt aan de hele straat ;)
Wat zou dan de remedie kunnen worden? Als het op protocol gebied is en WPA2 toch wel redelijk ingeburgerd is dan zal dit niet 1 2 3 te tackelen zijn.
Een VPN gebruiken?
In een enterprise omgeving wordt al langer VPN gebruikt over WiFi om op jet bedrijfs netwerk te komen, tenminste, bij de grotere organisaties die verstand van Security hebben. Want vaak heb je te maken met een VDI omgeving wat je al extra wilt afschermen.

Maar voor thuis.... zelf ik zou dit wel heel vervelden vinden. Kijk liever uit naar een opvolger van WPA2, maar dat WPA2 ooit zou worden gekraakt hangt al lang in de lucht.

[Reactie gewijzigd door sokolum01 op 16 oktober 2017 08:28]

Een vpn tunnelt enkel je eigen verkeer. Dit probleem gaat verder.
Alle apparatuur die aan het netwerk hangt waar ook de wifi AP aan hangt is beschikbaar voor de aanvaller.
Wat versta je onder "beschikbaar"? Volgens mij is alleen datgene "beschikbaar" wat onversleuteld over je netwerk gaat (bedraad of onbedraad). Als je bijv. een Active Directory Netwerk hebt en niet inlogt op http websites is er weinig aan de hand hoor.
Een AD is geen beveiliging, voegt geen encryptie toe, enkel meer om gekraakt te worden omdat het nu centraal kan worden aangesproken...
Wil jij beweren dat een Microsoft Active Directory domein onveilig is? Dat zou dan toch ook gelijk wereldnieuws zijn en het aandeel Microsoft zou dan gelijk dalen! Wellicht dat jij de technici bij Microsoft kan inlichten over het vermeende "lek"? Misschien nemen ze je wel gelijk in dienst als security expert! ;)
Dat zou ik verwelkomen aangezien ik druk bezig ben die kant op te werken.

Anyway, ADS zijn een manier om centraal beheer mogelijk te maken, het is niet zo dat ADS ook encryptie toevoegt, hooguit voor verkeer tussen DC's maar het is niet zo dat een client op een domein ineens veilig kan internetten, Active Directory doet daar niks aan, vandaar dat het niet 'Encrypted Network' oid heet maar gewoon over een directory gaat, zoals het AD ooit ontstaan is.
Als je een domein hebt (Of 'Active Directory Netwerk' zoals jij het noemt) en iemand onderschept jouw verkeer dan zijn jouw credentials wel beveiligt naar het domein maar jouw normale verkeer niet.
Again, pak Wireshark er bij en je zal dit direct zelf kunnen bevestigen ;)
Totdat daar een lek in wordt gevonden
Kan ook gebeuren, maar er zijn een hoop verschillende VPN's. Terwijl zo ongeveer elke WiFi AP tegenwoordig WPA2 gebruikt.

Plus dat je dan door 2 beveiligingslagen heen moet in plaats van eentje.
Een software patch. Ik ben alleen benieuwd of dit uitsluitend aan de router kant mogelijk is of ook in bijvoorbeeld OS. Heb me nog niet helemaal kunnen inlezen.

Als ‘t enkel aan de router kant kan, dan is dat een nogal groot probleem gezien tig van die dingen totaal geen updates krijgen.
Het moet wel aan de router kant, wat voor zin heeft het om dit op een werkstation te doen? Die is niet verantwoordelijk voor de beveiliging eh :-)

edit: aan de router kant zou beste zijn, meeste mensen hebben maar 1 router. Maar aan de client is ook belangrijk, want velen nemen hun laptop, smartphone, tablet... overal mee natuurlijk.

[Reactie gewijzigd door telenut op 16 oktober 2017 14:22]

Die is ook onderdeel van de handshake en gebruikt dezelfde standaard. Volgens de onderzoekers moeten juist de clients gepatched worden. :P
heb de paper eens gelezen. klopt :-)
Ik denk dat men vooral binnen de grotere bedrijven waarbij er veel met laptops/WiFi word gewerkt nu wat schrik krijgt. De interne toegangen en verbindingen zijn namelijk niet overal en altijd geencrypteerd :-(
Aan de andere kant is het in zo'n ecosysteem weer relatief eenvoudig op te lossen. Je weet immers welke apparatuur er wordt gebruikt.
Dergelijke bedrijven gebruiken Wifi alleen voor de internet verbinding, de verbinding naar shares en andere gevoelige delen gaan via een VPN.
Ik weet niet bij welke bedrijven jij al binnen bent geweest dan, maar ik ken omgevingen met 10000+ werkplekken waar 'de WiFi' echt als alternatief voor Ethernet/LAN word gebruikt, dus geen VPN noch andere zaken.

Dat het relatief eenvoudig opgelost kan worden is dan weer wel correct. Nu zoals hieronder reeds vermeld is er natuurlijk meestal wel een vorm van NAC en is de attack vector beperkt tot interne medewerkers, maar dan nog ...
Heb werkelijk nog nooit een bedrijf gezien met minder dan 200 werknemers waar shares enz over Wifi gingen zonder VPN, zou daar ook niets mee te maken willen hebben met dat soort bijna uitlokken van datalekken :/
Spreek je dan over Routed VPN's of effectief endpoint VPN's (client to network) ? Want dat laatste ben ik dan weer nog nooit tegengekomen, buiten dan voor internal support op echt grote netwerken bvb.

Een routed VPN (nearest gateway to datacenter/service) kom ik ook wel eens tegen, maar zou in deze dus geen enkel nut zijn.
Werkelijk elk kantoor waar ik ben geweest (behalve de kleinere) hadden VPNs voor thuiswerken waarmee de client op een afzonderlijk netwerk werd gezet waar het bij de shares kon.
Kan me ook niet bedenken hoe je anders thuiswerken zou kunnen toelaten als de medewerkers niet bij het netwerk kunnen komen ;)
Ja .. duh .. thuiswerken ... :-) Ik had het natuurlijk op WiFi binnen het bedrijf als alternatief voor de kabelverbinding. Daar kan je ook met routed VPN's werken ... maar das iets helemaal anders. We waren hier dus letterlijk op andere niveau's en naast mekaar aan het praten :)
Niet echt...
Hoe kan je thuiswerken zonder VPN?
De bedrijven waar ik ben geweest hadden dat dus, wifi op kantoor doet niks meer dan internet voorzien, geen shares of andere bedrijfsdata kan worden gevonden via het wifi daar.
Ik probeerde het uit te leggen door het te vergelijken met thuiswerken, de aansluiting maakt niets uit, de VPN die erover MOET worden gebruikt om uberhaupt virtueel op kantoor te komen is waar het over gaat ;)
Nevermind ... thuiswerken zonder VPN doen we inderdaad niet (alhoewel ... Citrix/RDS ook een mogelijkheid is, maar dan tunnel je ook weer over SSL). Maar zeg jij nu dat de bedrijven waar je komt, en je zit daar op het kantoor van dat bedrijf en een medewerker is daar aangesloten op de Corporate Wifi, die medewerker nog altijd een VPN Client moet starten ... geloof ik niks van.
Vraag mij dan toch af wat voor bedrijf zijn shares over wifi open gooit naar de halve buurt? Ik heb ze dus nog nooit gezien.
Wifi is de internetverbinding (net zoals thuiswerken dus), de VPN is hoe je op het vertrouwde bedrijfsnetwerk komt, elk bedrijf wat beveiliging serieus neemt heeft dit, deels omdat het gewoon hoort maar ook omdat je anders je certificeringen gewoon niet haalt als je zo roekeloos met je bedrijfsdata omgaat :/
Naja, ik ken wat ZZPers die op hun Ziggo router wifi zitten en daar geen VPN over draaien en een paar kleine kantoren maar voor de rest ben ik nog nooit tegen gekomen dat het netwerk zo open staat, wat voor bedrijven doen dit?

[Reactie gewijzigd door RGAT op 16 oktober 2017 17:08]

Kerel, ik vermoed dat jij echt niet goed weet wat WiFi is, of anders spreken we over andere dingen. Wifi en Internet is iets helemaal anders hoor ... je shares beschikbaar stellen via je draadloze netwerk hoeft toch niets met Internet te maken te hebben. Ik ga de discussie hier stoppen denk ik :)
Vertel eens wat wifi volgens jou is dan, 'kerel'?...
Bij normale bedrijven verbindt je jouw laptop met wifi, dat levert niks anders dan internet, dus geen shares etc.
Dan verbindt je met VPN (over dat wifi dus) naar het interne bedrijfsnetwerk zoals je thuis ook zou doen.
Dat levert een veilige, uniforme manier om 'extern' te verbinden.
Dit is bij vrijwel elk bedrijf zo, ik kan mij oprecht niks voorstellen behalve echt kleine bedrijven die beveiliging zo erg negeren dat het bijna opzettelijk moet zijn om het wifi aan het interne bedrijfsnetwerk te koppelen, vertel eens welke bedrijven dat volgens jou doen?... (Zou die gelijk op de zwarte lijst zetten als ze zo graag datalekken willen)
Lees de posts nog eens door, je haalt namelijk e.a. door elkaar zo te zien (ik zeg nergens dat shares iets met internet te maken hebben)...
Ik vraag mij dan toch af wat jouw ervaring is als je serieus alles open gooit, ja het is makkelijk en goedkoop om te doen, maar je zal geen certificeringen krijgen...

[Reactie gewijzigd door RGAT op 16 oktober 2017 19:34]

Bij normale bedrijven verbindt je jouw laptop met wifi, dat levert niks anders dan internet, dus geen shares etc.
Dan verbindt je met VPN (over dat wifi dus) naar het interne bedrijfsnetwerk zoals je thuis ook zou doen.
Dat levert een veilige, uniforme manier om 'extern' te verbinden.
Dit is bij vrijwel elk bedrijf zo, ik kan mij oprecht niks voorstellen behalve echt kleine bedrijven die beveiliging zo erg negeren dat het bijna opzettelijk moet zijn om het wifi aan het interne bedrijfsnetwerk te koppelen, vertel eens welke bedrijven dat volgens jou doen?... (Zou die gelijk op de zwarte lijst zetten als ze zo graag datalekken willen)
Neem dan nu onmiddellijk pen en papier, pak willekeurig 90% van alle bedrijven groter dan 5 werknemers en je zal correct zijn vermoed ik. Ik zit bij grote tot zeeeeer grote bedrijven, en ondanks het feit dat het zo inderdaad iets veiliger zou zijn, maar ook totaal niet meer performant, heb ik nog geen enkel bedrijf gezien dat zijn medewerkers zo laat connecteren. Er zijn meer dan genoeg technieken beschikbaar om datalekken te vermijden. Als we even het topic onderwerp niet in beschouwing nemen, dan is WiFi zelfs niet inherent minder veilig dan een klassieke kabelverbinding.

In ieder geval, ik begrijp nu wat je wil bedoelen, ik ga er alleen absoluut niet mee akkoord :-)

Lees anders ook even de verdere reacties ...
Tja, dan doe je daar toch iets fout als je denkt dat VPN een (noemenswaardige) impact heeft op performance en gemak boven beveiliging stelt, wat voor 'zeeeeer groot' bedrijf heeft geen data te verliezen?
In de financiele sector werden collega's in ieder geval letterlijk de huid vol gescholden (leuk sfeertje daar btw :+) als dit soort zaken voor gesteld werden, maar daar stonden we dan ook 's ochtends al klaar om Hearthbleed te patchen, beveiliging was daar belangrijk genoeg ;)
Er zijn er heel veel (natuurlijk hebben ze wel afzonderlijk inet only gasten wifi en productienetwerk). En als je het dan toch echt goed wilt doen moet je zowel bedraad als draadloos beveiligen met unieke client certificaten. Geen vpn voor nodig.

[Reactie gewijzigd door Rinzwind op 16 oktober 2017 11:41]

Ik werk in een ziekenhuis met 6000 man personeel, en hier gebruiken ze nog op veel plaatsen WEP...
PatiŽntengegevens in plain text via wifi (het EPD stuurt ook zonder encryptie)
Het kan dus wel degelijk. En wie het probleem durft aan te kaarten snoeren ze de mond...
Of zouden ze misschien radius gebruiken?
Aangezien dat de meeste routers bagger support hebben kwa updates en er ongelooflijk veel client apparaten zijn die zelfs geen of amper een software update mechanisme hebben of geen updates meer krijgen wordt dit een zeer groot probleem ;(

Moderne consumenten routers met modernere OS software zoals de Google Home kunnen hierin natuurlijk heel mooi op in gaan spelen, als eerste de updates aanbieden en promoten dat ze altijd up to date en veilig zijn.
Maar dan zijn ze niet meer compatibel met de WPA2 standaard. Dus is dit geen oplossing.
Uiteraard heb ik het over een update naar de nieuwe standaard. De meeste routers zullen dit niet krijgen maar een router met een 2.4 en 5ghz antenne en een modern OS kan uiteraard gewoon deze standaard aan gaan bieden door middel van een update.

Dan heb je nog wel het probleem dat oude apparaten niet meer kunnen verbinden, dit zal altijd een probleem blijven waarvan ik betwijfel of er een oplossing is.

[Reactie gewijzigd door seapip op 16 oktober 2017 09:20]

Daarom moet er altijd een overlappings periode zijn. En daar is er de marge nu niet voor.
Ze hebben niets achter de hand om dit op te lossen. En dat is schrikbarend.
Dit legt alleen maar bloot dat we al veel te lang op de WPA 2 standaard zitten.
Dat ding is er al bijna 14 jaar. Tijd voor een update.

Langs de ene kant updaten ze copyright beveiligingen aan de lopende band. Maar wifi beveiliging verandert al jaren niet meer. Vroeg of laat moest dit gebeuren. En nu is er geen alternatief...

[Reactie gewijzigd door Jurgen.D op 16 oktober 2017 08:57]

Een beetje kort door de bocht om leeftijd als criterium te hanteren of iets veilig is. IPsec is al sinds 1995 een standaard die nog steeds veilig wordt geacht.
klopt deels wel, maar hoe langer iets in gebruik is, hoe meer kans je maakt dat er problemen komen.
Het is beter om op tijd en stond het over een andere boeg te gooien zodat men terug bij af staat met het zoeken naar inbraakmogelijkheden.

Of verander jij ook nooit uw wachtwoorden?
Wachtwoorden veranderen is vaker een zwaktepunt dan een daadwerkelijke beveiliging, iig als het vanuit policy verplicht is ;)
Gebruikers worden het zat tig wachtwoorden te onthouden en password managers willen ze niet aan (god knows why...) dus krijg je wachtwoorden als:
wachtwoord1
wachtwoord2
wachtwoord3
Waar 'wachtwoord' meestal wel iets beter doordacht is maar jouw aanvaller hoeft alleen maar op de zelfklevende post-its aan het beeldscherm te kijken wat het wachtwoord is...
Voor beveiliging is constant alles weggooien en het wiel opnieuw uitvinden ook alles behalve een goede optie, als je de werkende delen behoudt kan een aanvaller dus alsnog daarop richten en als je alles weggooit en opnieuw begint met een protocol doe je niks meer dan security through obscurity. Dat werkt niet als de hele hackers wereld erin probeert te komen...

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True