Säkerhetsblogg

KRACK – Det du behöver veta om WPA2-sårbarhet

Nyligen meddelade två forskare från det belgiska universitetet KU Leuven att de upptäckt en sårbarhet i WPA2s säkerhetsprotokoll. WPA2 representerar standarden för säker kommunikation mellan de mobila enheterna vi använder. Det är även accesspunkten som smartphones, läsplattor och bärbara datorer kopplar sig mot för att få tillgång till internet och andra tjänster som tillhandahålls från lokala servrar.

En lösning som tidigare användes för att skydda trådlösa kanaler, WEP, övergavs för en tid sedan på grund av liknande svagheter. Nu har vi upptäckt att den mycket starkare lösningen WPA2 inte alls är fri från sårbarheter, tvärtemot är det ett mål för KRACK-attacker. KRACK står för Key Reinstallation AttaCKs, och är en ny teknik med målet att stjäla känslig information (kreditkortsnummer, lösenord, mejladresser, meddelanden, foton osv) som skickas via Wi-Fi. Om det trådlösa nätverket inte är ordentligt konfigurerat, så ökar riskerna och sannolikheten för att ’fraudulent insertion’ (falsk data, installation av skadliga program, manipulation av befintlig information) blir alarmerande stor.

Forskningen kommer att presenteras vid två viktiga tillfällen, International Conference on Computer and Communications Security (CCS) och på Black Hat Europe meeting.

Hur ska IT-säkerhetschefer bemöta detta problem?

Det enklaste och mest extrema svaret är: Stäng av WPA2-kopplingar, skippa trådlöst fram till att problemet förtydligats och en lösning presenterats.

Det råder ingen tvekan om att upptäckten har skrämt upp många IT-aktörer. Samtidigt som den skämt ut forskarna från the Institute of Electrical and Electronic Engineers som är ’the founding fathers’ av 802.11i-protokollet, basen för modern trådlös kommunikation. Men, trots situationen finns det både lösningar och hopp.

Magnituden av problemet kan diskuteras. För det första måste de som använder sig av tekniken befinna sig nära nätverket som de attackerar. För det andra så måste de ha betydande teknisk kunskap. De måste även ha nödvändig mjukvara för att kunna utnyttja sårbarheten, och det absolut viktigaste – de måste ha tid. Faktum är att det ännu inte finns något färdigpaketerat som gör att de kan ”hoppa in” på ett snabbt och effektivt sätt. Och, attackerna måste utföras mot Linux och Android-operativsystem för att kunna lyckas. Om nätverkstrafik krypteras med hjälp av HTTPS, VPN, SSH, TLS eller liknande, kommer KRACK-systemet inte att kunna bryta anslutningen. De som har fått tillgång till Wi-Fi-nätverket och dekrypterar kommunikationspaketen kommer att inse att de står framför en slags Matrjosjka då de upptäcker att vad de just öppnade är inslaget i ett annat skyddslager osv. Hackare som använder sig av Key Reinstallation-tekniken kommer att stå inför samma problem som alla andra inkräktare som försöker avlyssna onlinekommunikation mellan användaren och en webbplats.

KRACK är inte framtaget för att stjäla de lösenord som behövs för att få åtkomst till ett system, men –om basstationen använder WPA-TKIP eller GCMP-kryptografiläge – kan det injicera fel (allt från skadliga JavaScripts till alla typer av skadlig kod) till icke-krypterad trafik. En angripare kan till exempel missbruka detta för att injicera ransomware eller malware i webbplatser som offret besöker.

Företag jobbar nu med att patcha sina produkter för att försöka övervinna hotet. Microsoft har patchat Windows trådlösa kod i oktoberuppdateringen. Apple håller på att släppa en fix för iOS och macOS. Google jobbar med en lösning för Android och ChromeOS. Liknande initiativ finns i pipeline mellan nätverkshårdvaruproducenter som engagerat sig i att lösa frågan.

Min rekommendation, och inte bara i detta fall, är att INTE försena uppdateringen av operativsystemet för de enheter som används. Säkerhetsuppdateringarsprocesser bör vara en prioritet i det dagliga arbetet, och inte bara en irriterande stresslösning som görs först när problem uppstår.

 

Här kan du hitta relaterade blogginlägg:

Städer blir smartare – så hur vanligt kommer det bli med IT-säkerhetsbrott?

Tumultet med TORMoil 

Det du kan göra för att skydda dig mot (D)Dos-attacker

  • 24 Solutions AB
  • Smedjegatan 2C
  • SE-13154 Nacka, Sweden
  • +46 (0)8 535 24 100
  • info@24solutions.com