Onderzoekers simuleren virus-uitbraak via wifi-toegangspunten

Onderzoekers van de universiteit van Liverpool hebben een virusuitbraak via wifi-netwerken gesimuleerd. Ze ontdekten dat een virus zich snel via toegangspunten kan verspreiden in dichtbevolkte gebieden met veel hotspots.

De onderzoekers ontwikkelden een virus met de naam Chameleon, dat bij de verspreiding een aantal stappen nam. Het virus stelt een lijst van vatbare toegangspunten op, omzeilt eventuele encryptie en de interface van de hardware, bepaalt de instellingen en vervangt de firmware door een variant met het virus. Vervolgens worden de oorspronkelijke instellingen weer geladen. Hierdoor zou de aanval moeilijk te detecteren zijn. Virussen die zich voordoen als een afzonderlijk apparaat, bij een zogenoemde evil twin-aanval, zorgen onder andere voor meer verkeer en zijn eenvoudiger herkenbaar, volgens de deskundigen.

Bij een simulatie werden aanvallen via wifi-netwerken in Belfast en Londen nagebootst, waarbij de onderzoekers informatie over de aantallen toegangspunten en de al dan niet aanwezige beveiliging van Wigle.net haalden. Het virus beschouwde een toegangspunt als mogelijk doelwit als dit zich binnen een straal van 10 tot 50 meter bevond. Het model stelde een zwarte lijst op van punten die niet te infecteren waren, zodat die bij volgende aanvallen door geïnfecteerde routers ook niet meegenomen zouden worden.

Niet duidelijk is of het team Chameleon wifi-punten met verouderde encryptie als WEP liet infecteren bij de simulatie, maar dit zou in ieder geval wel het geval zijn bij de hardware van open netwerken. In de conclusie betogen de onderzoekers dat eigenschappen als het totaal aantal geïnfecteerde toegangspunten en de tijd tot infectie slechte maatstaven voor succes bleken. De verhouding tussen totale infectie en de mate waarin de verspreider nieuwe seeds moest planten om een tot stilstand gebrachte verspreiding nieuw leven in te blazen, zouden betere maatstaven zijn. Daarnaast wijzen ze erop dat de verspreiding vooral in een beginstadium in dichtbevolkte gebieden opvallend snel verliep, vergelijkbaar met een epidemie.

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 26-02-2014 17:0223

26-02-2014 • 17:02

23 Linkedin

Lees meer

Miljoenen routers kwetsbaar voor aanval met gemanipuleerde cookies Nieuws van 18 december 2014
Linksys maakt fix tegen malware in E-serie-routers Nieuws van 16 februari 2014
Xs4all raadt klanten aan lek in FritzBox-routers te dichten met update Nieuws van 8 februari 2014
Nieuw lek in Netgear WNDR3700-router geeft admintoegang Nieuws van 23 oktober 2013
Onderzoekers vinden tientallen nieuwe lekken in populaire routers Nieuws van 5 augustus 2013
Onderzoekers: Linksys-lek treft ook Asus, Cisco, TP-Link, Zyxel en Netgear Nieuws van 1 februari 2013
'Populaire Linksys WRT54GL-router op afstand te kraken' Nieuws van 15 januari 2013
KPN komt na UPC ook met fix voor wps-lek in routers Nieuws van 7 januari 2013
'Backdoor in hardware is relatief eenvoudig aan te brengen' Nieuws van 29 juli 2012
Meer producten en artikelen
Mobiele netwerken Routing Virus Wifi

Reacties (23)

-Moderatie-faq
23
21
13
3
2
3
Wijzig sortering
Keypunchie
26 februari 2014 18:04
Ze ontdekten dat een virus zich snel via toegangspunten kan verspreiden in dichtbevolkte gebieden met veel hotspots.
En de Universiteit van de Open Deur heeft binnenkort een prijsuitreiking.

Ik heb het artikel erbij gepakt:
http://jis.eurasipjournals.com/content/2013/1/2

Ik heb erg veel twijfels bij hun "chameleon"-virus. Ze hebben het in een laboratorium-setup getest (met 3 verschillende apparaten). Vervolgens hebben ze van routers met bepaalde kenmerken aangenomen dat die ook kwetsbaar zijn. ( Dat laatste is de aanname waardoor je heel makkelijk je resultaten kunt beinvloeden. Hun grafieken rekenen met een P (kans) van infecteerbaarheid van een minimum van 10% tot een maximum van 60% (!!!).

Natuurlijk zijn er kwetsbare routers overal (wie date de software nou ooit op), maar dit is wel heel gortig, zeker omdat je virus niet alleen moet kunnen infecteren, maar ook de router zodanig moet kunnen aanpassen dat hij weer zelf kan infecteren. Dus je moet een zeer complexe payload hebben, of deze van een vanaf elk AP benader punt kunnen downloaden. Kan, maar wordt me nogal een complex verhaal.
Restrictions on the influence of PProd_sus may be caused by the relative distance between APs and the difficulty in connecting between them over a large area. Thus, the susceptible APs are still sufficiently separated and at the mercy of geography such that increasing the vulnerable firmwares has limited influence on performance. We deduce from this result that AP connectivity density is a more significant factor for virus propagation than product susceptibility.
Ja, dank je de koekkoek. Wat een conclusie! (wordt later herhaald) Voor je oppervlakte maakt het dan niet zoveel uit, maar dat is natuurlijk ook helemaal niet zo'n interessante metriek. Het gevaar van een gecompromitteerde AP is natuurlijk de mensen die ermee verbinden. Dat is uiteraard vokomen evenredig met het aantal besmette wifi-punten! Dat er een besmet wifi-punt in de buurt is, is helemaal niet zo gevaarlijk, zolang je er maar niet mee verbindt.

Hun detectie-algorithme klinkt trouwens wel leuk, maar heb ik domweg de technische kennis niet van om er iets zinnigs over te kunnen zeggen. Het media-vriendelijke stukje over het "razendsnel om zich heen grijpende techno-virus" is domweg dat. Sensationeel en prikkelend voor de fantasie. Maar niet echt reeel.

En dat is het irritante van slechte wetenschapsjournalisitek Dit artikel GAAT helemaal niet daarover. Staat ook in de eerste regel van het abstract:
This paper analyses and proposes a novel detection strategy for the 'Chameleon’ WiFi AP-AP virus.

En ja, dat stuk geloof ik zeker wel. Als er zo'n theoretisch virus zou zijn, dan hebben zij de academische uitdagingen om het te detecteren daarbij goed in het oog. Maar in zekere zin is dat net zoiets als iemand die de beste straten van Monopoly heeft geanalyseerd: goeie wetenschap, maar weinig te maken met die straten in het echt.

[Reactie gewijzigd door Keypunchie op 26 februari 2014 18:13]

Kain_niaK
@Keypunchie26 februari 2014 19:53
En daarbij komt nog het volgende ... al die wifihotspots zijn toch al aan het internet gekoppeld? Dus waarom moeilijk doen om ze te proberen te infecteren via de WiFi kant. WAN kant lijkt veel gemakkelijker want die is meestal bereikbaar voor elke systeem op het internet.

Als je daarna root hebt over een router kun je alsnog alle clients die een WiFi verbinding maken gaan infecteren. Daarvoor is het niet nodig om de firmware van een rooter te updaten. Meeste routers draaien de linux kernel. Een kleine payload draaien zonder dat een reboot of firmware update nodig is zal nog wel lukken. Kwestie van technische handigheidjes en exploits vinden.

In principe kan elke router ook alle andere AP's in de nabijheid scannen en daar op proberen in te loggen. Echter tegenwoordig zijn de meerderheid van netwerken wel beveiligt. Voor het kraken van WEP heeft een router toch wat te weinig resources. Ik denk niet dat je een payload kun laten draaien binnen de resources van de gemiddelde draadloze router die dat voor elkaar krijgt. Dan zou je router dus WEP verkeer moeten sniffen in promiscuous mode en dat over het internet naar een eigen server sturen die het dan kan kraken.

Hetzelfde met WPA en WPA2 ... alleen zijn die veel beter beveiligd en heb je een stuk meer netwerk pakketjes nodig voor je uberhaubt genoeg data hebt om een kraak poging te kunnen doen.

En dan heb je al een systeem nodig met wat krachtige videokaarten die via cuda of de amd variant (naam onschiet me) een soort van rainbowtable achtige aanval kan uitvoeren op WPA en WPA2.
Het virus stelt een lijst van vatbare toegangspunten op, omzeilt eventuele encryptie en de interface van de hardware, bepaalt de instellingen en vervangt de firmware door een variant met het virus.
Als ik het goed begrijp valt dit virus dus geen clients aan? Het probeert alleen connecties op te zetten naar andere draadloze routers ook wel Access Points of AP genoemd.

Maar via de Wifi kant een firmware update doen ... met een payload. Die techniek wil ik ook in OpenWRT hebben ..... daar moet je toch eerst alles op statisch IP zetten en met de juiste browser de firwmare update over de LAN kant uploaden. Anders is je succes rate gewoon echt veel te laag en brick je een router voor je het weet.


In theorie is dit dus mogelijk. In de praktijk totaal niet. Tenzij het eerste AP (met virus) toevallig precies exact dat type router vind in de lijst van AP's waar een firmware update via Wifi een hoog genoege succes rate heeft. Denk 95% of hoger. Daarna moet die router op zijn beurt ook EXACT het zelfde type router vinden wanneer hij alle netwerken scant die hij kan ontvangen. etc etc. Als je succesrate maar 80% of lager is dan kom je maar een paar hops voor dat je zoveel routers hebt gebrickt dat er niks meer verspreid word. Zelfs 95% is dan nog te laag .... 10 hops of meer en er zijn al teveel routers gebrickt.

Dus vergeet het maar. Dit is een volledig theoretisch scenario dat in de praktijk volledig onmogelijk is omdat je in de praktijk niet dezelfde paremeters controlleert die je wel kunt controleren in een labo setup.


Daarbij als het op grote schaal mogelijk was om via de WAN kant routers te hacken en voorzien van kwaadaardige firmware dan was dat al lang gedaan. Zo gemakkelijk is het gewoon niet. Er zijn teveel verschillende configuraties van routers in de wereld om zo'n aanval op grote schaal plausibel te maken. Zodra het fout gaat start zo'n router niet meer op, of start het op zonder verbinding met internet. En dan is verdere verspreiding niet meer mogelijk.

Lees trouwens overal "worm" waar ik virus typ. Een virus dat zich voornamelijk van internet punt naar internet punt verspreid noemen we een worm.

De enige worm waar ik ooit persoonlijk last van gehad heb was de MSBlasterworm. Die veroorzaakte een fout in een service van windows die je computer standaard afsloot wanneer de service crashte.

Worms kunnen gigantische schaden aanrichten door hun supersnelle verspreiding omdat ze onafhankelijk is van userinput (openen van email en attachment openen).

[Reactie gewijzigd door Kain_niaK op 26 februari 2014 20:18]

robvanwijk
@Kain_niaK27 februari 2014 02:31
Er zijn enorm veel kanttekeningen te plaatsen bij dit onderzoek, maar laat ik er eentje noemen die weinig omschrijving nodig heeft: de horizontale as is in jaren...!? Ga je me nou serieus vertellen dat een besmette router na (letterlijk!) tientallen jaren nog steeds niet opgeschoond is (lees: door een nieuwe, schone router vervangen)...!?
Dit is ongeveer even relevant als de kans op huidkanker vaststellen na duizenden jaren in de zon liggen: zo oud wordt je toch niet, dus da's volkomen irrelevant. 8)7
ecolo76
26 februari 2014 17:16
Zo naast de biologische schade die wifi met zich meebrengt dus ook een gezonde portie digitale vatbaarheid voor virussen. Er komen echt veel te veel signalen in de lucht waarvan we eigenlijk niet goed weten wat de gevolgen zijn voor de volks- en digitale gezondheid.

Ach over een jaar of 10 hebben we toch wel weer nieuwe verbindingsstandaarden, dus waar maken we ons druk om :?
sygys
@ecolo7626 februari 2014 18:03
Ik ben het met je eens. iedereen stop zijn kop in het zand. maar warm jij wel eens iets op in magnetron? je hoort er niks van in de media. maar zet maar eens een Bluetooth headset op en ga binnen een meter van de magnetron staan (die aan staat) dan valt je signaal weg...

Ik ben er allemaal niet zo zeker van wanneer overheden zeggen dat iets veilig is. Er komt in mijn ogen wel akelig veel straling in de lucht. en het ziet er niet naar uit dat het de komende jaren minder gaat worden
Cerberus_tm
@sygys27 februari 2014 04:13
Niet overheden zeggen dat laagenergetische straling onschuldig is, maar wetenschappers. Het enige wat laagenergetische straling kan doen is het direct opwarmen van weefsels, en de normale variatie van temperatuur van jouw hoofd is vele, vele malen groter dan wat Wifi of GSM kan bereiken. Denk aan opwarming door zonlicht, interne processen, inspanning, etc.

Niet te verwarren met hoogenergetische of ioniserende straling, zoals die van radioactief materiaal: ionisering kan kanker veroorzaken. Je hoofd opwarmen met 0,05 graden heeft niets daarmee te maken. Laat je niet bang maken door het woord straling: licht is ook straling, en veel schadelijker dan Wifi of GSM. Laat staan UV-licht. En wat nog veel schadelijker is is de cosmische achtergrondstraling die ons lichaam elke dag raakt: die is namelijk wel ioniserend en verhoogt daadwerkelijk je kans om in je leven kanker te krijgen (maar die kans is sowieso al iets van 30 % voor een gemiddeld mens, dus tja).

Hier is het bekende diagram van XKCD over de hoogte van ioniserende straling die je ondergaat door verschillende factoren. Laagenergetische straling wordt niet behandeld, omdat die normaliter geen effect op de gezondheid heeft.
http://blog.xkcd.com/2011/03/19/radiation-chart/
Enai
@sygys27 februari 2014 11:28
*zucht*

Er is ioniserende straling en niet-ioniserende straling. Het verschil is de kinetische energie van de afzonderlijke deeltjes: elektromagnetische straling met korte golflengte bestaat uit fotonen met veel energie en kan dus bij een botsing met een atoom voldoende energie overbrengen om het atoom te ioniseren (een elektron los te slaan) wat een eventuele chemische band overhoop kan gooien. Indien dit met DNA-moleculen gebeurt, dan kan het mislopen bij de volgende celdeling. Straling met lange golflengte heeft minder energie per foton en het atoom krijgt enkel maar een duw waardoor het sneller beweegt, zonder dat het daarbij schade oploopt. De beweging van atomen heet "warmte".

Een magnetron zendt véél niet-ioniserende straling uit en wekt dus veel warmte op zonder rechtstreeks kanker op te wekken. Een laser ook. En wi-fi zendt weinig niet-ioniserende straling uit en wekt dus weinig warmte op. Dit vind je in de media terug als "de straling kookt je hersenen" maar deze opwarming heeft geen schadelijke gevolgen. Het lichaam weet wel hoe om te gaan met een tiende van een graad verschil, anders zou je dood neervallen zodra je uit de schaduw stapt.

De grens tussen ioniserend en niet-ioniserend voor organisch materiaal ligt ongeveer in het ultraviolette deel van het spectrum. Radiogolven zijn infra-infra-infrarood. Microgolven zijn infra-infrarood. Kans op ionisatie van biologisch weefsel is dus nul. (Anders zou er een radioactiviteitsteken op je telefoon staan)

Overigens kan UV-straling biologische schade veroorzaken aan te lage energieniveaus om ionisatie teweeg te brengen, dit doordat andere moleculen wel reeds geioniseerd worden en vervolgens reageren met het DNA. Toch maar die vliegenlamp de deur uit?
OmeJoyo
26 februari 2014 17:09
Die wisten dit dan toch al wel hoor ;)
IGC058
26 februari 2014 17:16
Dit maakt ubisofts' nieuwe ip watchdogs opeens een stuk realistischer..
poor Leno
26 februari 2014 17:05
...en nu weten kwaadwillenden dit ook? :X
MrEddy
@poor Leno26 februari 2014 17:09
Ik denk dat dit al eerder speelde. Uiteraard zal het argument "hou het onder de pet, anders weten de slechteriken dit ook" kant noch wal raken. Uit verleden is gebleken dat je dit soort problemen alleen aan de man krijgt als je het op grote schaal in de media brengt.
poor Leno
@MrEddy26 februari 2014 17:14
Maarja, had er dan niet 'wetenschappers bewijzen' gestaan en niet 'wetenschappers ontdekten'?.. Lijkt me stug dat alleen de badguys dit soort dingen weten en de wetenschap mijlenver achterloopt..
osmosis
@poor Leno26 februari 2014 17:22
Dit is nou niet bepaald "groundbreaking" of wat dan ook.
Zoek eens "Wardriving" en "MITM"op.
osmosis
@poor Leno26 februari 2014 17:11
Die wisten dat allang.

Echter ik kan nergens vinden of het nou open hotspots waren of niet.. maakt nogal een verschil
M.l.
@poor Leno26 februari 2014 20:46
Het is een simulatie van een worst-case scenario, het laat men zien hoeveel schade aangericht kan worden door een virus. Het helpt eerder mensen bewust te worden van risico's van slechte beveiliging dan dat het hackers aanzet een geavanceerd virus te schrijven.
Enai
@poor Leno27 februari 2014 10:42
Kwaadwillenden zouden dit nog eerder weten dan hun doelwitten. Nu weet tenminste iedereen het.
rene037
27 februari 2014 15:58
Ik mis iets. Als ik naar het grafiekje kijk, zijn er na 14 jaar 1500 accesspoints geïnfecteerd in heel Londen. (Een paar %) (Of in 3 jaar 5000 in een ongunstig geval, maar dan nog.)
A. Hoeveel access points gaan 14 jaar mee?
B: Zou in 14 jaar niet ontdekt zijn dat er een virus rondzwerft?
Dus ik zou zeggen, nauwelijks een probleem.
Of zie ik iets over het hoofd?

[Reactie gewijzigd door rene037 op 27 februari 2014 16:06]

mphilipp
26 februari 2014 17:30
Dat daar een wetenschappelijk onderzoek voor nodig is. Het heet niet voor niets een virus en een biologisch virus verspreid zich nu eenmaal makkelijker in de metro in Amsterdam dan op een pleintje in Lutjeboertange.
MrMonkE
@mphilipp26 februari 2014 17:36
Misschien is het wel een open deur maar ze hebben het nu bewezen. Daar draait het om in de wetenschap toch? Er is een stelling en die ga je bweijzen/ontkrachten.
Lord_Farin
@mphilipp26 februari 2014 17:37
Dat op basis van eerder bekende eigenschappen ooit een naam is gekozen uit de biologie zegt helemaal niets over hoe die analogie standhoudt in nieuwe situaties...
Enai
@mphilipp27 februari 2014 11:30
Je vergeet de mogelijke uitkomst "er gebeurt helemaal niets". Of "in tien uur ligt de wereld plat".

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee