"WiFi beveiligingsprotocol niet veilig genoeg"

CNN meldt ons, dat een professor en zijn afgestudeerde assistent de beveiliging van WiFi heeft weten te omzeilen. In een wetenschappelijk artikel beschrijven ze twee aparte manieren om de beveiling van de IEEE 802.1X standaard te ondermijnen. Door het afluisteren en zich voordoen als basisstation of cliënt, kan onrechtmatig gebruik worden gemaakt van een draadloze verbinding. Via 'session hijacking' en 'man-in-the-middle' is het zo mogelijk om toegang tot een draadloos netwerk te verkrijgen onder valse voorwendselen. Bijzonder gevoelig voor deze aanvallen zijn openbaar toegankelijke 'Access Points'. Hier wordt vaak niet eens het Wired Equivalent Privacy (WEP) protocol gebruikt. Dit protocol baat echter ook niet bij deze vormen van inbraak:

WiFiIn a paper, "An Initial Security Analysis of the IEEE 802.1X Standard" funded by the National Institute of Standards, Professor William Arbaugh and his graduate assistant Arunesh Mishra outline two separate scenarios that nullify the benefits of the new standard and leave Wi-Fi networks wide open to attacks.

The use of public access "hot spots" are particularly vulnerable to session hijacking because these locations do not even deploy the rudimentary WEP (Wired Equivalent Privacy) protocol.
"This problem exists whether you use WEP or not, but it is trivial to exploit if not using WEP," said Arbaugh.

De toekomstige beveiligingsstandaard voor draadloze netwerken, Temporal Key Integrity Protocol (TKIP), is moeilijker om te kraken, maar ook over dit ontwerp is niet goed nagedacht. Pas in 2003 komt er een veelbelovend en gloednieuw beveiligingsprotocol, Advanced Encryption Standard (AES). Tot die tijd zullen we zelf het verkeer over een draadloos netwerk zodanig moeten versleutelen, dat de afluisteraars er geen raad mee weten.

Door Martijn Berkhoff

Feedback • 19-02-2002 16:58 20

19-02-2002 • 16:58

20

Bron: CNN

Lees meer

Duitse rechter: wifi-aanbieder niet verantwoordelijk voor illegale uploads
Duitse rechter: wifi-aanbieder niet verantwoordelijk voor illegale uploads Nieuws van 10 juli 2008
Hackende koffercomputer scant 300 draadloze netwerken
Hackende koffercomputer scant 300 draadloze netwerken Nieuws van 31 augustus 2006
Doe-het-zelf-afluisterbeveiliging voor WiFi-thuisnetwerk
Doe-het-zelf-afluisterbeveiliging voor WiFi-thuisnetwerk Nieuws van 17 juni 2004
Wi-Fi Alliance introduceert nieuwe beveiligingsstandaard
Wi-Fi Alliance introduceert nieuwe beveiligingsstandaard Nieuws van 31 oktober 2002
Software lokaliseert Wi-Fi-apparaten
Software lokaliseert Wi-Fi-apparaten Nieuws van 20 oktober 2002
Beveiliging van WiFi-netwerken onder de loep
Beveiliging van WiFi-netwerken onder de loep Nieuws van 3 september 2002
'Wi-Fi Certified' voor 802.11 producten verwarrend?
'Wi-Fi Certified' voor 802.11 producten verwarrend? Nieuws van 16 juli 2002
Eerste plugtest HiperLAN2 technologie
Eerste plugtest HiperLAN2 technologie Nieuws van 7 juli 2002
KPN wil gecombineerde dienst voor GPRS en WiFi
KPN wil gecombineerde dienst voor GPRS en WiFi Nieuws van 3 juli 2002
Palladium, Microsoft's nieuwe security-benadering
Palladium, Microsoft's nieuwe security-benadering Nieuws van 24 juni 2002
In Alkmaar en Amsterdam gratis mobiel internet
In Alkmaar en Amsterdam gratis mobiel internet Nieuws van 20 juni 2002
Microsoft komt met Wi-Fi "lite"
Microsoft komt met Wi-Fi "lite" Nieuws van 14 april 2002
Sputnik wil landelijk draadloos netwerk in VS
Sputnik wil landelijk draadloos netwerk in VS Nieuws van 4 april 2002
"Philips WiFi 'Detachable Monitor' op CeBIT" - Updated
"Philips WiFi 'Detachable Monitor' op CeBIT" - Updated Nieuws van 12 maart 2002
Intel over 500Mbit "ultrawideband" wireless
Intel over 500Mbit "ultrawideband" wireless Nieuws van 2 maart 2002
"Veiligheid op internet eerst slechter, dan verbetering"
"Veiligheid op internet eerst slechter, dan verbetering" Nieuws van 24 februari 2002
KPN en Nokia introduceren draadloos ADSL
KPN en Nokia introduceren draadloos ADSL Nieuws van 6 november 2001
Wireless LAN-standaard slecht beveiligd
Wireless LAN-standaard slecht beveiligd Nieuws van 6 augustus 2001
Serieuze concurrentie voor Bluetooth
Serieuze concurrentie voor Bluetooth Nieuws van 1 augustus 2001
Meer producten en artikelen
Bedrijfsnieuws

Reacties (20)

-Moderatie-faq
20
20
9
2
0
8
Wijzig sortering

Sorteer op:

Weergave:
NiGeLaToR 19 februari 2002 17:18
Hmm, die WEP codering is 40 bits. Met een stevige laptop kun je die op de harde manier in een kwartiertje kraken. Die tools zijn wijdverspreid aanwezig. Tis pas echt leuk als de clients dan een beveiligde terminal sessie gebruiken over een beveiligde VPN lijn. Door steeds alles net iets meer te beveiligen maak je het nog onmogelijk om de boel te hacken.
Dat gedoe rond wireless kent nog een keerzijde, als iemand een raampje ingooit en een utp'tje naar buiten trekt met een laptop ben je ws nog eerder binnen dan via wireless en dat gebeurt ook niet dagelijks.

Maar om de gebruikers gerust te stellen is het maar goed dat we ons draadloze netwerk maar vanaf 2003 kunnen beveiligen, dan verkoopt het nu in ieder geval niet. (Tis dus heus wel mogelijk om goed te beveiligen...)
KeeZ @NiGeLaToR19 februari 2002 18:02
das niet helemaal waar, de nieuwste WEP coderingen zijn 160 bits... wat dat betreft een stuk moeilijker te kraken (onder 802.11g correct me if im wrong)

helaas kleven aan het gebruik van WEP enige nadelen, zoals het omlaag gaan van de bandbreedte, vrij logisch maar toch

voor thuisgebruik en eventueel zakelijk gebruik tijdens besprekeningen e.d. draadloos is het misschien wel enigszins interresant om te doen
TD-er @KeeZ19 februari 2002 18:28
Ik heb laatst nog met een wireless setje van Draytek zitten spelen en die kan zowel 64 bits (40 bits voor de encryptie) als 128 bits (104 bits voor de encryptie) aan.
Ruim 100 bits lijkt me ruimschoots vorldoende, als je kijkt naar hoelang }:O al bezig is met die 64-bits.
Verwijderd @TD-er19 februari 2002 21:07
Ik denk dat dit iets anders werkt als mooh }:O

Als je een klein beetje weet naar wat voor soort data je op zoek bent kan je in de datastroom naar patronen zoeken (ehh.. grofweg).. daarmee vind je niet alleen een klein blokje data maar heb je gewoon de sleutel...

de snelheid van het gewone WLAN waar we 't over hebben is ook genoeg om ff op te kunnen slaan en op je gemak uit te rekenen :Y)
Raafz0r @NiGeLaToR19 februari 2002 18:35
Dat gedoe rond wireless kent nog een keerzijde, als iemand een raampje ingooit en een utp'tje naar buiten trekt met een laptop ben je ws nog eerder binnen dan via wireless en dat gebeurt ook niet dagelijks.
Alleen blijf je via een "wireless inbraak" anoniem, terwijl je bij het ingooien van een ruitje je sporen achter laat. Bij het wireless inbreken kun je ook geheime data afluisteren zonder dat het bedrijf weet dat het is afgeluisterd.
Klovan @NiGeLaToR20 februari 2002 19:36
In het blad inforsecurity.nl van dit kwartaal staat ook een mooi stukje over de beveiliging van WLAN's.
Omdat respectievelijk 40 en 104 bits van het geheime deel van de sleutel statisch zijn, steeds hetzelfde voor de achtereenvolgende data pakketten, en het variable gedeelte 24 bits systematisch oploopt, zijn de sleutels niet voldoende afhankelijk van elkaar. Uit een voldoende groot aantal data pakketen kan via statischische analyse de sleutel worden achterhaald.
Ook staan er beveilingstips in voor standaard 11 Mbps-WLAN's

dit is niet bedoelt als spam, meer voor de mensen die er wat meer over willen weten ;)

edit: typo's
Stamict 19 februari 2002 18:40
Ik zag in de E-Tech wireless router, dat je naast de 128 bit WEP key ook kunt instellen dat alleen van tevoren ingestelde MAC adressen kunnen 'connecten'
Hiermee wordt het al een stuk moeilijker....
KMK @Stamict19 februari 2002 21:42
alleen jammer dat er ook een wireless-NIC kaartje is waarvan je het mac adres kunt instellen ;)
Scraper @KMK20 februari 2002 07:06
Kun jij gokken welk macadres is ingesteld :?
Verwijderd 19 februari 2002 17:19
Alle begin is moeilijk nietwaar... zolang je daar ook zelf rekening mee houdt valt dat allemaal nogal mee denk ik. Die draadloze communicatie heeft zeker en vast grote voordelen en na verloop van tijd worden toch alle kinderziektes eruit gehaald.
Haranaka 19 februari 2002 17:06
Tsja, hier kon je natuurlijk gewoon op wachten. Hoe goed je ook denkt dat iets niet te kraken is, het is enkel een questie van tijd voordat het gebeurt...
blaatenator @Haranaka19 februari 2002 18:18
[off-topic]
Heeft er niemand een patent op dit soort uitspraken liggen :? Dan kunnen de posters van dit soort reply's voortaan aangeklaagd worden }>
[/off-topic]
Darkfrog @Haranaka19 februari 2002 18:08
Als je je sleutels even groot maakt als het te coderen bericht is dat bericht naar mijn weten niet te kraken. (niet erg praktisch natuurlijk)
jochemd @Haranaka19 februari 2002 22:58
Niemand heeft ooit gedacht dat 802.1x niet te kraken was. Tenminste, niemand die de standaard heeft gelezen. In de specificatie staat expliciet dat het niet bedoeld is voor een shared medium. Toepassing zoals bedoeld in verschillende thuiswerkplekken voor studenten in Nijmegen en Delft is echter niet problematisch, want het netwerk daar is niet shared (er ligt gewoon UTP tussen computer en switch).

Het verhaal staat al lang op op infoworld.com waar CNN het van af gekopieerd heeft zo te zien.
Verwijderd 19 februari 2002 17:06
Zelfs de beste beveiliging is te kraken, maar het wordt wel weer een stuk moeilijker gemaakt voor de scriptkiddies :)

[edit]
net te laat
[edit]
Verwijderd 19 februari 2002 17:21
Wat heb je liever: een Wifi protocol of een Bifi rol?
Verwijderd 19 februari 2002 20:10
Draadloze netwerken zijn speelgoed.

Als je PROFESSIONEEL LANt, dan gebruikt je GLASVEZELS. Onafluisterbaar, je moet kabel breken, dan aansluiten, elke kwaliteits-LAN-hardware zet de lijn uit als ze onderbroken word.
Verwijderd 19 februari 2002 22:24
Ik denk dat er even wat duidelijkheid verschaft moet worden. Ten eerste: de Titel zegt Wifi beveiligingsprotocol niet veilig genoeg. WiFi = draadloos op basis van Radio. Daarnaast zijn er ook (vooral outdoor) optische oplossingen te verzinnen. De term draadloze communicatie is dus EN radio EN optisch. Om een point-multipoint netwerkje op te zetten, is radio natuurlijk de keuze. Dit ben ik ermee eens. Maar hierdoor worden wireless toepassingen wel in een slecht daglicht gesteld.

Bovendien zijn er tal van hard- en software oplossingen te bedenken die de afdoende zijn om een draadloos netwerk veilig genoeg in te zetten. Klein voorbeeldje is [url="http://www.nomadix.com."]www.nomadix.com.[/url] Zo zijn er nog tal van producten. En ja, dit brengt weer extra kosten met zich mee, maar zeker bij outdoor oplossingen zijn die kosten peanuts. Moet jij maar eens een 34mbit lijntje tussen 2 panden laten leggen (wel gebonden aan line of sight en afstand van ongeveer 30 km), dat heb je er binnen 8 maanden met wireless uit.
Rukapul 19 februari 2002 23:51
Vreemd dat AES erbij wordt gehaald. AES is immers slechts een encryptiefunctie en geen compleet beveiligingsprotocol. De zwakte van WEP is niet alleen dat de encryptiefunctie niet sterk genoeg is, maar dat het protocol niet deugt en de sleutellengte te kort is.
Verwijderd 20 februari 2002 11:37
Dan toch maar met m'n laptopje langs Universiteit Twente rijden??

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq