RSA ontwikkelt beveiliging tegen 'drive-by hacking'

Iets meer dan een maand geleden schreven we nog over de onveiligheid van sommige draadloze netwerken, maar het lijkt erop dat RSA Security hier binnenkort verandering in zal gaan brengen. Door met een laptop een straat door te rijden kon men eenvoudig binnenkomen op de bedrijfsnetwerken van een aantal grote organisaties, iets dat natuurlijk niet mogelijk zou moeten zijn. Om te voorkomen dat iedere voorbijganger op deze manier in kan loggen op het netwerk, heeft RSA een aanpassing aan het Wireless Equivalent Privacy protocol gemaakt. Dit protocol wordt gebruikt voor het beveiligen van informatie die via netwerken met de 802.11-standaard loopt.

Het nadeel van Wireless Equivalent Privacy was tot nu toe altijd dat de gebruikte codes veel te veel op elkaar lijken en daardoor eenvoudig te kraken zijn. Volgens het ontwikkelde Fast Packet Keying zal het mogelijk zijn om elk datapakketje en aparte sleutel te geven, zodat het veel lastiger wordt om in te breken. De aanvulling op de huidige standaard is al goedgekeurd door het IEEE, zodat toekomstige software voorzien zal zijn van de verbeterde beveiliging. Wanneer de eerste toepassingen op de markt zullen komen, is echter nog niet bekend.

Lees verder bij CNET.

Lees meer

Reacties (25)

martijnvds 18 december 2001 17:23

Dit werd natuurlijk wel hoog tijd, ik geloof dat er meerdere sites en tv-programma's zijn geweest die in een praktijktest op de privénetwerken van een aantal grote bedrijven binnenkwamen en bovendien zelfs vertrouwelijk informatie konden onderscheppen! Er zijn in principe genoeg beveiligingsmogelijkheden al aanwezig, maar veel bedrijven zijn daar niet goed van op de hoogte en hebben hun netwerk nog niet goed beveiligd. Hopelijk komt daar nu verandering in.

Redje 18 december 2001 18:24

Mja mij lijken al die draadloze netwerken echt een hack uitnodiging...

Bij een normaal netwerk komt niemand van buitenaf op je lan, of hij moet fisiek in het gebouw aanwezig zijn(internet enz. niet meegerekend)... maar nu met draadloze netwerken vliegt alles maar dan ook alles gewoon in het rond...
Encryptie of geen encryptie men kan het opvangen, tijd zal uitwijzen hoelang het duurt voordat men dit grapje gehackt heeft.

[typo's]

eflukx @Redje • 18 december 2001 18:27

Je kunt best een MAC adress faken met sommige kaarten hoor!
Standaard functie van bepaalde NIC is dat je je HW adress handmatig in kan stellen..
Dag security..

blaatenator @Redje • 19 december 2001 20:20

Uiteraard kan het gekraakt worden, zelfs bij onze 'milspec' (weet ik, klinkt interessant

) crypto apparatuur gaan we ervan uit dat het op den duur ontcijferd kan EN ZAL worden. Met nadruk 'op den duur'. Het is heel leuk informatie te kunnen aftappen, maar geclassificeerde informatie is over het algemeen slechts een beperkte periode bruikbaar voor een tegenpartij (concurrent, vijand, whatever). Het is dus zaak die tijd in te schatten, en daar de sterkte van je crypto op in te stellen.

brainball 18 december 2001 17:28

opzich is het te begrijpen dat het even geduurt heeft want men wil naast veiligheid natuurlijk ook snelheid.

En die Fast Packet Keying techniek kost natuurlijk iets extra tijd aangezien elk paketje een eigen key krijgt. Het ontcijferen en verwerken van die key kost toch even ook voor de snelle pc's.
ben dus benieuw of de snelheid daalt en de lag stijgt.

Jeronim0 @brainball • 18 december 2001 17:36

Ik denk, dat dit niet aan de orde is. De codes voor de sleutel die werd gebruikt, waren in de oude situatie te eenvoudig te kraken (gebrek aan diversiteit). De codes zijn dus nu een stuk diverser geworden. Het aantal sleutels dat je processor te verwerken krijgt is dus gelijk, alleen ze variëren meer. Snelheid zal dus gewoon hetzelfde blijven.

Dennizz @brainball • 18 december 2001 17:38

het decoden aan de hand van een key duurt toch even lang ? alleen het genereren maybe niet...aangezien dit voor elke packet opnieuw moet

2 late..................

wzzrd 18 december 2001 17:24

Persoonlijk vind ik het niet zo slim om gevoelige data over een draadloos netwerk te laten gaan, maar goed, een paar maanden geleden was er aan een programma op tv over de belastingdienst in Rotterdam. Daar gebruiken ze ook zoiets, een straalverbinding geloof ik. Daar kon je zo naar binnen lopen! (Met een laptop dan

)
Lijkt me een goed idee dat ze dit protocol zo snel mogelijk gaan gebruiken wereldwijd!

Netman768

@wzzrd • 18 december 2001 19:55

Er zijn al veel mogelijkheden om een draadloos netwerk te beveiligen, de sysadmin moet die mogelijkheden alleen kennen. Dus als die niet verteld worden dat dit bestaat schieten we nog niets op.

en: als we dit wereldwijd toepassen, dan zal er verdomd snel een gat in gevonden worden. Wat dat betreft is minder bekende software handiger....

-=bas=- @Netman768 • 18 december 2001 20:02

Dus als die niet verteld worden

Een goede sysadmin zoekt zoiets zelf natuurlijk uit, da's toch zijn _werk_.

justice strike @-=bas=- • 19 december 2001 17:29

sysadmin heeft er niets mee te maken een netwerk admin moet dat doen!!

Tadango 18 december 2001 18:09

Heeft niemand gehoord van Encryptie? beveiliging door alleen bepaalde MAC's door te laten? Op de RUG hebben we gewoon de standaard beveiliging aan staan en niemand kan op dat netwerk met een andere kaart. Het is niet de hardware die onveilig is, het zijn de systeembeheerders die er niks aan doen.

Verwijderd @Tadango • 18 december 2001 18:37

Ooit gehoord van MAC spoofing ?

Alleen bepaalde MAC's toelaten heb je niet zoveel aan.

Crazy D @Verwijderd • 18 december 2001 19:49

Hoef je alleen nog maar een MAC adres te bedenken welke wel rechten heeft op het netwerk. Eitje

Maar je hebt gelijk, 't is te spoofen en dus niet safe. Maar 't is wel weer een onderdeel van een goede beveiliging.

blaatenator @Tadango • 19 december 2001 20:15

Jij hebt het (denk ik) over verificatie. Dus dat een buitenstander niet zomaar 'bogus traffic' kan genereren. Dat weerhoud niemand ervan om het verkeer af te luisteren. De oplossing die RSA nu heeft gaat over encryptie van het complete pakketje (dus niet alleen de header oid)

vargo 18 december 2001 20:45

De IEEE802.11 standaard heeft een protocol genaamd WEP. Dit was puur bedoeld om het verschil tussen draadloze netwerken en standaard (wired) netwerken te overbruggen. WEP staat immers ook voor Wired Equivalence Privacy.

Dit WEP protocol maakt gebruik van RC4. Hierbij wordt een cipherstream gecreeerd op basis van een secret key en een Initialisatie Vector (IV). Echter, dit was fout geimplementeerd. Een aantal van deze IVs zijn 'zwak': door een aantal pakketjes te analyseren die deze zwakke keys hebben gebruikt is het mogelijk om de secret key te achterhalen (met bv Airsnort). Naar ik begrijp (het staat niet expliciet vermeld) worden deze zwakke keys in het vervolg vermeden . Echter, bv. een fabrikant als Avaya (vroeger Lucent) had al eerder deze maatregel geimplementeerd onder de naam WEPplus.

Dit is dus 1 van de zwakke punten (ga ze niet allemaal uitleggen) van WEP, maar er zijn echter meer mogelijkheden om te beveiligen zoals anderen al vermelden. 'Off the shelf' zijn draadloze netwerken idd niet veilig, maar wanneer men bv een VPN hierover draait is de beveiling van wireless netwerken best behoorlijk.

vargo @vargo • 18 december 2001 20:49

Oeps - zie nu dat "enables you to encrypt each packet of data with a different key".. dmv de nieuwe Advanced Encryption Standard.

Maar hoe gaat dit dan in zijn werk? Wordt er dan iedere keer een andere secret key gebruikt? En hoe gaat die dan gedistributeerd worden (op een veilige manier)?

Jeronim0 18 december 2001 17:26

...zodat toekomstige software voorzien zal zijn van de verbeterde beveiliging.

Dit is uitermate gunstig en verkort de time-to-market ten opzichte van een hardwarematige oplossing. Daarbij meegenomen, dat ook nog eens de IEEE zijn fiat heeft gegeven, kan het toch eigenlijk niet lang meer duren voordat draadloze verbindingen een relatief veilige oplossing worden.

edit:

Fikse typo

tweakerbee 18 december 2001 17:54

Zouden er geen updates kunnen komen voor huidige netwerken. 'k Heb wel interesse in wat betere beveiliging, al gebruik ik het nu alleen prive...

eymey

18 december 2001 18:30

Inderdaad... iedereen loopt hier steeds maar te flamen en te schreeuwen dat draadloze netwerken onveilig zijn en uitnodigen tot hacken. Maar er zijn al zat mogelijkheden hoor.

Je kunt ook altijd nog een eigen VPN-achtig syteem opzetten dat over je draadloze verbinding werkt. Of alle gevoelige data over SSH tunnelen (moet ook tot de mogelijkheden behoren, lijkt me).

OK, het vergt extra werk en je moet goed opletten dat je het voor de normale gebruikers niet te ingewikkeld maakt, maar ook nu kun je draadloze netwerken best wel beveiligen.

NuKeFaCe 18 december 2001 19:02

Die wireless lan's hebben al hun EIGEN beveiliging ...
Zo kun je bij Dynalink gewoon ENCRYPTIE (64 of 128 bit's) aanzetten en zelf een KEY verzinnen .....

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (25)

Sorteer op:

Weergave: