WPA2 is kraakbaar

Heb je problemen met het instellen van je netwerk, bedraad of draadloos, dan kan je hier altijd terecht!
Gebruikersavatar
cptKangaroo
Elite Poster
Elite Poster
Berichten: 3057
Lid geworden op: 18 dec 2004, 14:33
Locatie: 053 Aalst
Uitgedeelde bedankjes: 666 keer
Bedankt: 227 keer
Recent bedankt: 2 keer

https://arstechnica.com/information-tec ... sdropping/
US-CERT has become aware of several key management vulnerabilities in the 4-way handshake of the Wi-Fi Protected Access II (WPA2) security protocol. The impact of exploiting these vulnerabilities includes decryption, packet replay, TCP connection hijacking, HTTP content injection, and others. Note that as protocol-level issues, most or all correct implementations of the standard will be affected. The CERT/CC and the reporting researcher KU Leuven, will be publicly disclosing these vulnerabilities on 16 October 2017.
ubremoved_2964
Elite Poster
Elite Poster
Berichten: 5295
Lid geworden op: 12 jan 2006, 14:25
Uitgedeelde bedankjes: 65 keer
Bedankt: 387 keer

WEP was destijds in een paar minuten te kraken. WPA en nadien WPA2 waren de oplossing. De oplossing is 10 jaar meegegaan.

De ISP's die wifi modems hebben opgedrongen zullen nu de vruchten plukken van hun beslissing.

Blijkbaar volgt broadcom niet de standaard:
https://www.blackhat.com/docs/webcast/0 ... twork2.pdf

"Broadcom cannot distinguish message 2 and 4
Can be abused to downgrade the AP to TKIP"

Dus als deze handshaking in hardware zit ingebakken, en daarvoor geen software update mogelijk is, dan mag je al die hardware dus weggooien.

Ik denk dat ik een paar raspberry's met hostapd ga draaien, dan ben ik tenminste zeker van de cyphers. Die lijst van cyphers staat in de source, dus een downgrade attack kan vermeden worden door een patch die zwakke cyphers of geen cypher er uit haalt.

Ik heb nu zo het gevoel: de overheid doet het bovenstaande al lang met hun stingrays. Ik heb het ooit zelfs in België gezien: plots zag ik op mijn oude sony GSM iets in de aard van "warning, encryption disabled".
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

ub4b schreef:Ik heb nu zo het gevoel: de overheid doet het bovenstaande al lang met hun stingrays. Ik heb het ooit zelfs in België gezien: plots zag ik op mijn oude sony GSM iets in de aard van "warning, encryption disabled".
Encryptie op het GSM netwerk heeft nog nooit opgestaan in Belgie.

Wel een rare reactie van Mikrotik over WPA2...
RouterOS v6.39.3, v6.40.4, v6.41rc are not affected!
It is important to note that the vulnerability is discovered in the protocol itself, so even a correct implementation is affected.
Not affected... om dan te zeggen dat je altijd affected bent ?
Laatst gewijzigd door ubremoved_539 16 okt 2017, 10:14, in totaal 1 gewijzigd.
ubremoved_2964
Elite Poster
Elite Poster
Berichten: 5295
Lid geworden op: 12 jan 2006, 14:25
Uitgedeelde bedankjes: 65 keer
Bedankt: 387 keer

Blijkbaar is de downgrade binnen WPA2 naar "WEP" achtige toestanden al langer bekend:

http://cypherpunks.cpunks.narkive.com/7 ... o-tkip-rc4
r2504 schreef:
ub4b schreef:Ik heb nu zo het gevoel: de overheid doet het bovenstaande al lang met hun stingrays. Ik heb het ooit zelfs in België gezien: plots zag ik op mijn oude sony GSM iets in de aard van "warning, encryption disabled".
Encryptie op het GSM netwerk heeft nog nooit opgestaan in Belgie.
Bewijzen?
Gebruikersavatar
cloink
Elite Poster
Elite Poster
Berichten: 3629
Lid geworden op: 29 okt 2007, 10:29
Twitter: cloink
Uitgedeelde bedankjes: 105 keer
Bedankt: 150 keer
Contacteer:

r2504 schreef:
RouterOS v6.39.3, v6.40.4, v6.41rc are not affected!
It is important to note that the vulnerability is discovered in the protocol itself, so even a correct implementation is affected.
Not affected... om dan te zeggen dat je altijd affected bent ?
Inderdaad, vond ik ook een nogal "theoretische" reactie. :-(
ooh. shiny.
CCatalyst
Elite Poster
Elite Poster
Berichten: 8248
Lid geworden op: 20 jun 2016, 18:36
Uitgedeelde bedankjes: 19 keer
Bedankt: 522 keer
Recent bedankt: 12 keer

Goh, laat ons eerst de publicatie afwachten en dan zien hoe praktisch het allemaal wel is om te kraken, en in hoeverre het ook niet gaat om zaken die al geweten zijn.
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

https://gsmmap.org/assets/pdfs/gsmmap.o ... 015-02.pdf

Al blijkt er ondertussen al enige beterschap te zijn (bij Proximus dan toch)... feit blijft volgens mij dat de encryptie methodes redelijk zwak zijn.
Tomby
Elite Poster
Elite Poster
Berichten: 6348
Lid geworden op: 01 feb 2006, 12:36
Uitgedeelde bedankjes: 1285 keer
Bedankt: 485 keer
Recent bedankt: 2 keer

Toch maar weer een knappe referentie voor de KUL. Nog les gehad van Piessens...
CCatalyst
Elite Poster
Elite Poster
Berichten: 8248
Lid geworden op: 20 jun 2016, 18:36
Uitgedeelde bedankjes: 19 keer
Bedankt: 522 keer
Recent bedankt: 12 keer

Tomby schreef:Toch maar weer een knappe referentie voor de KUL. Nog les gehad van Piessens...
Academische publicaties kennende lijkt het dat het vooral het werk van Vanhoef is 8)

Die heeft al een aantal publicaties inzake wireless security op z'n naam staan.

Site staat nu online trouwens: https://www.krackattacks.com/

Mitigation is blijkbaar mogelijk met het patchen van clients alleen.
Laatst gewijzigd door CCatalyst 16 okt 2017, 11:29, in totaal 1 gewijzigd.
Tomby
Elite Poster
Elite Poster
Berichten: 6348
Lid geworden op: 01 feb 2006, 12:36
Uitgedeelde bedankjes: 1285 keer
Bedankt: 485 keer
Recent bedankt: 2 keer

Klopt, want Piessens is de prof, en die doen zelf natuurlijk het vuile werk niet :P.
CCatalyst
Elite Poster
Elite Poster
Berichten: 8248
Lid geworden op: 20 jun 2016, 18:36
Uitgedeelde bedankjes: 19 keer
Bedankt: 522 keer
Recent bedankt: 12 keer

Tomby schreef:Klopt, want Piessens is de prof, en die doen zelf natuurlijk het vuile werk niet :P.
Jep, zegt hij zelf nu ook op z'n webpage:

"In practice, all the work is done by me, with me being Mathy Vanhoef."

Soit, heb de pagina doorlezen en deze vulnerabilities lijken me (onder voorbehoud) geen groot probleem te zijn MITS er snel patches komen. Wat wellicht op Android en Windows weer een hele opgave gaat worden. Er is geen nood aan WPA3.
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

CCatalyst schreef:Mitigation is blijkbaar mogelijk met het patchen van clients alleen.
Zo begrijp ik het ook... concreet wil dit dus zeggen dat gans je netwerk kwetsbaar blijft zolang je ook maar één unpactched client hebt :?
boonpwnz
Elite Poster
Elite Poster
Berichten: 5071
Lid geworden op: 05 jul 2017, 09:50
Uitgedeelde bedankjes: 84 keer
Bedankt: 151 keer
Recent bedankt: 3 keer

r2504 schreef:
CCatalyst schreef:Mitigation is blijkbaar mogelijk met het patchen van clients alleen.
concreet wil dit dus zeggen dat gans je netwerk kwetsbaar blijft zolang je ook maar één unpactched client hebt :?
En het gaat zelfs erg ver. Bron is Security.nl(+ tweakersd)

De KRACK-aanval die de onderzoekers ontwikkelden, wat staat voor Key Reinstallation Attacks, valt de handshake volgorde aan die WPA2 gebruikt om de encryptiesleutels te kiezen voor een sessie tussen de client en het access point. Tijdens de derde van de vier stappen kan de sleutel meerdere keren opnieuw worden gestuurd. Wanneer dit op bepaalde manieren wordt gedaan kan de cryptografische nonce, een willekeurig getal dat maar een keer mag worden gebruikt, op zo'n manier worden herbruikt dat de encryptie volledig wordt ondermijnd.
Tomby
Elite Poster
Elite Poster
Berichten: 6348
Lid geworden op: 01 feb 2006, 12:36
Uitgedeelde bedankjes: 1285 keer
Bedankt: 485 keer
Recent bedankt: 2 keer

CCatalyst schreef:deze vulnerabilities lijken me (onder voorbehoud) geen groot probleem te zijn MITS er snel patches komen
Erm, is dat niet altijd zo ?! :D
Het probleem is juist dat er zo een gigantisch aantal clients vulnerable zijn. En je ziet van hier al dat dat minstens de helft daarvan geen updates meer gaan krijgen hiervoor.
CCatalyst
Elite Poster
Elite Poster
Berichten: 8248
Lid geworden op: 20 jun 2016, 18:36
Uitgedeelde bedankjes: 19 keer
Bedankt: 522 keer
Recent bedankt: 12 keer

Tomby schreef:
CCatalyst schreef:deze vulnerabilities lijken me (onder voorbehoud) geen groot probleem te zijn MITS er snel patches komen
Erm, is dat niet altijd zo ?! :D
Het probleem is juist dat er zo een gigantisch aantal clients vulnerable zijn. En je ziet van hier al dat dat minstens de helft daarvan geen updates meer gaan krijgen hiervoor.
Ok, maar dan nog, het merendeel van de informatie ga je nog steeds niet kunnen ontsleutelen gezien het over HTTPS verloopt. Het enige wat je gaat kunnen zien is alles dat cleartext loopt, maar dat kan iedereen met de nodige toegang upstream eigenlijk ook al lezen.

Nu, voor mensen die echt een target zijn is dit wel een probleem gezien het in principe MitM toelaat op het eigen netwerk waarmee iemand wel degelijk ook je verkeer over HTTPS zou kunnen ontsleutelen, indien geen andere veiligheidsnetten voorzien zijn. Dat tonen ze ook in dat filmpje. Maar nogmaals, dat vereist alweer dat iemand in jouw buurt zit en/of een toestel plant in jouw buurt om dit te doen edm, dit gaat dus eerder het domein van de professionele aanvallen zijn ipv dat van de huis-tuin-keuken hacker.
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

CCatalyst schreef:dat vereist alweer dat iemand in jouw buurt zit en/of een toestel plant in jouw buurt om dit te doen edm, dit gaat dus eerder het domein van de professionele aanvallen zijn ipv dat van de huis-tuin-keuken hacker.
Het fysieke aspect maakt dat deze hack inderdaad voor de gemiddelde gebruiker eerder beperkt zal zijn.

Voor grote bedrijven (zoals banken ed.) moet het een nachtmerrie zijn aangezien het haast onmogelijk is al je clients te controleren.
boonpwnz
Elite Poster
Elite Poster
Berichten: 5071
Lid geworden op: 05 jul 2017, 09:50
Uitgedeelde bedankjes: 84 keer
Bedankt: 151 keer
Recent bedankt: 3 keer

Zie hier nog wat meer info

https://www.krackattacks.com/
Gebruikersavatar
cloink
Elite Poster
Elite Poster
Berichten: 3629
Lid geworden op: 29 okt 2007, 10:29
Twitter: cloink
Uitgedeelde bedankjes: 105 keer
Bedankt: 150 keer
Contacteer:

CCatalyst schreef:Soit, heb de pagina doorlezen en deze vulnerabilities lijken me (onder voorbehoud) geen groot probleem te zijn MITS er snel patches komen. Wat wellicht op Android en Windows weer een hele opgave gaat worden. Er is geen nood aan WPA3.
Wut. Dit is een redelijk gigantisch probleem? Het volstaat dat er 1 vulnerable client in je netwerk hangt om het e.e.a. voor elkaar te krijgen. Het videootje dat je zag is louter een PoC van 1 scenario hé, met een MitM die je draadloos verkeer unencrypted kan lezen kan je helaas meestal redelijk wat.

Twee doelgroepen lijken me toch redelijk in hun broek te moeten kakken:
- grote bedrijven/overheden met wifi hotspots (gebruiken echt meestal geen SSL intern)
- alles IoT related (*kijkt eens loens richting zijne Nest thermostaat*)

En ook al is de kans natuurlijk kleiner op wardrivers voor je deur, toch voel ik me niet gerust, want op mijn lokaal intranet is ook verre van alles via SSL... :?

Ik vind het best een vieze...
ooh. shiny.
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

cloink schreef:- alles IoT related (*kijkt eens loens richting zijne Nest thermostaat*)
De vraag is of zij in hun broek gaan doen... uiteindelijk is het JOU netwerk dat de gevolgen draagt.

Voor hun is het gewoon wat de publieke opinie ervoor zal zeggen als men het niet oplost.

Gaat een Google, Sonos, LIFX, Honeywell, ... het dus riskeren om niets te doen ?
CCatalyst
Elite Poster
Elite Poster
Berichten: 8248
Lid geworden op: 20 jun 2016, 18:36
Uitgedeelde bedankjes: 19 keer
Bedankt: 522 keer
Recent bedankt: 12 keer

cloink schreef: Ik vind het best een vieze...
Goh opnieuw, moest dit nu gemakkelijk op grote schaal te verwezenlijken zijn, dan ja. Maar iemand die dit bij u thuis wil doen gaat al flink wat moeite moeten ondernemen (tenzij buurman) en als ze toch al weten waar je woont is de vraag of ze dan ook niet gewoon al lang de TN/Proximus kast in de straat hadden kunnen openmaken en daar iets installeren om af te tappen of uw WPA2 handshake op een GPU rig hadden laten hashcatten om uw paswoord te vinden... Bedrijven/overheid is inderdaad iets anders.
r2504 schreef: Gaat een Google, Sonos, LIFX, Honeywell, ... het dus riskeren om niets te doen ?
Sonos kan nog altijd op een eigen apart wifi netwerk opereren, je kan daar weliswaar ook Android toestellen mee verbinden maar zolang je dat niet doet gaan ze enkel maar kunnen zien naar wat je luistert, wat ze ook zouden weten als ze gewoon een microfoon tegen uw deur zouden houden.
BertG3
Administrator
Administrator
Berichten: 1784
Lid geworden op: 27 okt 2014, 20:46
Uitgedeelde bedankjes: 172 keer
Bedankt: 201 keer

Misschien een domme vraag maar als je MAC-filtering gebruikt, maak je dan niet minder kans dat ze deze vulnerability kunnen gebruiken ?
boonpwnz
Elite Poster
Elite Poster
Berichten: 5071
Lid geworden op: 05 jul 2017, 09:50
Uitgedeelde bedankjes: 84 keer
Bedankt: 151 keer
Recent bedankt: 3 keer

Nee Blijkbaar heeft dat nauwelijks effect.

Voordeel is wel dat de aanvaller al doelbewust bij jou moet in de buurt zijn. Dus de impact zal eerder klein zijn.

Zie hier

https://tweakers.net/nieuws/130755/belg ... r_10654027
Stroper
Elite Poster
Elite Poster
Berichten: 1889
Lid geworden op: 24 aug 2011, 10:27
Uitgedeelde bedankjes: 95 keer
Bedankt: 154 keer
Recent bedankt: 1 keer

r2504 schreef:Gaat een Google, Sonos, LIFX, Honeywell, ... het dus riskeren om niets te doen ?
De grote namen a la Sonos en Nest(Google) zullen dat wel doen, maar kleinere wifi printers/goedkope internetradio's en anderen zullen waarschijnlijk nooit een update krijgen. En jammer genoeg zijn die dingen veel couranter dan Sonos/Nest/...
BertG3
Administrator
Administrator
Berichten: 1784
Lid geworden op: 27 okt 2014, 20:46
Uitgedeelde bedankjes: 172 keer
Bedankt: 201 keer

En als je internetverkeer over VPN verloopt is dit toch ook versleuteld ? Is het dan niet moeilijker om je verbindingen te capteren ? Uiteraard zal je lokale netwerk dan nog altijd vatbaar zijn...
jackho
Elite Poster
Elite Poster
Berichten: 4315
Lid geworden op: 05 jun 2011, 21:00
Uitgedeelde bedankjes: 104 keer
Bedankt: 278 keer

TRiSS
Plus Member
Plus Member
Berichten: 112
Lid geworden op: 30 jan 2005, 14:59
Uitgedeelde bedankjes: 8 keer
Bedankt: 4 keer

Iemand enig idee hoe vulnerable de Telenet HGW's zijn? En of er enige communicatie van telenet is over wanneer ze dit denken op te lossen? Het voordeel van die dingen is dat je zelf niet verantwoordelijk bent voor de updates(vooral voor het publiek dat zich daar niks van aantrekt), het nadeel is dat je niks weet over wanneer en of die gebeuren...
i will live forever.... or die trying!
Gebruikersavatar
MClaeys
Elite Poster
Elite Poster
Berichten: 6044
Lid geworden op: 16 feb 2011, 22:43
Uitgedeelde bedankjes: 376 keer
Bedankt: 346 keer

Je bent zelf niet verantwoordelijk voor de updates, dat klopt, maar je moet maar hopen dat ze het updaten want transparant zijn ze meestal niet over die zaken.
En als Fritzbox gebruiker op het Proximus netwerk ben je nog meer genaaid, alhoewel, misschien valt dan wat sneller een whitelisted update te approven :-) .
Ik ben benieuwd naar men Android toestel of het een update zal krijgen, Google kan dan wel een update uitbrengen, het is nog maar de vraag hoeveel fabrikanten het naar hun toestellen pushen.
TRiSS
Plus Member
Plus Member
Berichten: 112
Lid geworden op: 30 jan 2005, 14:59
Uitgedeelde bedankjes: 8 keer
Bedankt: 4 keer

Ik heb een mail naar Telenet gestuurd, maar eerlijk gezegd verwacht ik daar geen concreet en bruikbaar antwoord op :-)

Ik heb een NExus 6P, dus vermoedelijk gaat die snel de update krijgen, eens die bestaat :?
i will live forever.... or die trying!
mipa
Plus Member
Plus Member
Berichten: 173
Lid geworden op: 04 jul 2011, 20:56
Uitgedeelde bedankjes: 1 keer
Bedankt: 7 keer

Toch wel straf dat mijn morsdode Phone al gefixt is:

https://www.windowslatest.com/2017/10/1 ... y-patched/
johcla
Elite Poster
Elite Poster
Berichten: 2417
Lid geworden op: 23 maa 2009, 21:08
Uitgedeelde bedankjes: 675 keer
Bedankt: 154 keer

MClaeys schreef: En als Fritzbox gebruiker op het Proximus netwerk ben je nog meer genaaid, alhoewel, misschien valt dan wat sneller een whitelisted update te approven :-) .
Om exact die reden staat mijn Fritzbox achter een BBox, zodat ik voor de (security) updates van mijn FB niet afhankelijk ben van die whitelisting heisa.
Al schat ik het risico van deze hack voor mijn eigen wifi in als onbestaande. Wifi buitenhuis wantrouw ik sowieso; met Tasker wordt automatisch een VPN-connectie opgezet als ik met een ander wifi-netwerk verbind.
Gebruikersavatar
Ken
Elite Poster
Elite Poster
Berichten: 4276
Lid geworden op: 04 apr 2005, 23:18
Locatie: België
Uitgedeelde bedankjes: 49 keer
Bedankt: 97 keer

Van Cisco Meraki kreeg ik een keurige e-mail, heb de links bijgezet.

Beste #,

Op 16 october is er wereldwijde melding gemaakt van 10 mogelijke risico's in de beveiliging van WPA(1/2)-PSK en WPA(1/2)-enterprise die betrekking heeft tot honderden hardware producenten.

Van de 10 risico's is er slechts 1 van toepassing op de Meraki access points (AP): CVE:2017-13082.

Onze ingenieurs hebben reeds een oplossing ontwikkeld welke onderdeel is van onze laatste firmware update. (Firmware versie MR21-11 en MR25-7)

Voor een overzicht hoe Cisco Meraki zijn klanten helpt kan je terecht op onze blog.

Voor bijkomende informatie kan je terecht op onderstaande FAQ pagina's:

Cisco Meraki documentation: 802.11r vulnerability

https://documentation.meraki.com/zGener ... 13082)_FAQ

Cisco Meraki blog: Critical 802.11R vulnerability disclosed for wireless networks

https://meraki.cisco.com/blog/2017/10/c ... -networks/

Officiele Cisco Security Advisory: Multiple vulnerabilities in Wi-Fi protected access

https://tools.cisco.com/security/center ... 171016-wpa

Voor vragen kan u steeds bij mij terecht,

Kind regards / Vriendelijke groet,

#
# # — Belgium
Cloud Networking Group .:|:.:|:.
#@cisco.com
https://meraki.cisco.com
http://www.youtube.com/user/milesmeraki
#


10 Finsbury Square, London EC2A 1AF, United Kingdom

Attend a Webinar and receive a Free AP: https://meraki.cisco.com/freeap
Test all types of Cisco Meraki devices for free: https://meraki.cisco.com/form/trial

Would you like to opt out?
Internet = Proximus Fiber 1000/500 & back-up Telenet 300/30 / Fixed & mobile phone = Dstny SmartMobile + Samsung S23 & OVH VoIP Entreprise TV = FTA IPTV + Netflix / Network = 100% MikroTik powered / / I'm using Atera RMM to run my IT business, Atera offers a 30-day free trial, learn more here.
ubremoved_2964
Elite Poster
Elite Poster
Berichten: 5295
Lid geworden op: 12 jan 2006, 14:25
Uitgedeelde bedankjes: 65 keer
Bedankt: 387 keer

TRiSS schreef:Iemand enig idee hoe vulnerable de Telenet HGW's zijn? En of er enige communicatie van telenet is over wanneer ze dit denken op te lossen? Het voordeel van die dingen is dat je zelf niet verantwoordelijk bent voor de updates(vooral voor het publiek dat zich daar niks van aantrekt), het nadeel is dat je niks weet over wanneer en of die gebeuren...
Daarom wik ik geen opgedrongen wifi router van telenet. Wanneer de exploit uitkomt, zou je de HGW kunnen testen. Deze wifi flaw is minstens even erg als heartbleed, ik vermoed dat er testing tools gaan uitkomen.
CCatalyst
Elite Poster
Elite Poster
Berichten: 8248
Lid geworden op: 20 jun 2016, 18:36
Uitgedeelde bedankjes: 19 keer
Bedankt: 522 keer
Recent bedankt: 12 keer

Ik snap niet waarom jullie een "oplossing" verwachten van TN of Proximus. Gebruiken hun toestellen dan repeater mode of 802.11r?
For ordinary home users, your priority should be updating clients such as laptops and smartphones.
:!:

Ik zie het alweer gebeuren dat men oplossingen "eist" van TN maar wel zelf nog met allerhande unpatched toestellen verbindt :cry:
ub4b schreef:Deze wifi flaw is minstens even erg als heartbleed
Het is verschillende gradaties minder erg. Zolang je TLS gebruikt is er niets dat men kan lezen.
johcla
Elite Poster
Elite Poster
Berichten: 2417
Lid geworden op: 23 maa 2009, 21:08
Uitgedeelde bedankjes: 675 keer
Bedankt: 154 keer

Hier is een overzicht van alle patches:

http://www.zdnet.com/article/here-is-ev ... right-now/

Op een patch voor Fritzbox moeten we voorlopig niet hopen.
Gebruikersavatar
mailracer
Elite Poster
Elite Poster
Berichten: 3872
Lid geworden op: 23 feb 2010, 21:03
Uitgedeelde bedankjes: 217 keer
Bedankt: 315 keer

synology heeft een update klaar voor zijn routers.
Version: 1.1.5-6542-3
(2017-10-17)
Fixed multiple security vulnerabilities regarding WPA/WPA2 protocols for wireless connections (CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081, CVE-2017-13082, CVE-2017-13084, CVE-2017-13086, CVE-2017-13087, CVE-2017-13088).
Fixed multiple security vulnerabilities regarding Broadcom Wi-Fi chip (CVE-2017-11120, CVE-2017-11121).
Fixed an issue where the channel 140 could not be selected in 20MHz on RT1900ac.
Fixed an issue where the password might not be masked properly upon login failure.
TRiSS
Plus Member
Plus Member
Berichten: 112
Lid geworden op: 30 jan 2005, 14:59
Uitgedeelde bedankjes: 8 keer
Bedankt: 4 keer

CCatalyst schreef:Ik snap niet waarom jullie een "oplossing" verwachten van TN of Proximus. Gebruiken hun toestellen dan repeater mode of 802.11r?
For ordinary home users, your priority should be updating clients such as laptops and smartphones.
:!:

Ik zie het alweer gebeuren dat men oplossingen "eist" van TN maar wel zelf nog met allerhande unpatched toestellen verbindt :cry:
ub4b schreef:Deze wifi flaw is minstens even erg als heartbleed
Het is verschillende gradaties minder erg. Zolang je TLS gebruikt is er niets dat men kan lezen.
1) Voor zover ik weet is elk toestel dat WPA2 gebruikt in principe vatbaar (tenzij het die enkele zijn wiens implementatie van wpa2 toevallig immuun is) - dus wat heeft repeater mode of 11r ermee te maken?
2) De fout zit zowel in de clients als in de accesspoints - pas als beide immuun zijn ben je gedekt
3) Https etc beschermt je enkel als de implementatie daarvan op de SERVER volledig ok is - iets waar je als gebruiker geen invloed op hebt! Vele websites kan je bijvoorbeeld "forceren" om naar een onveilige verbinding over te gaan als hacker.
i will live forever.... or die trying!
jackho
Elite Poster
Elite Poster
Berichten: 4315
Lid geworden op: 05 jun 2011, 21:00
Uitgedeelde bedankjes: 104 keer
Bedankt: 278 keer

Dit is o.a. een antwoord van een Proximus medewerker:
We zijn op de hoogte van het probleem en op dit moment wordt alles onderzocht. Wij kunnen niet zeggen wanneer er een patch of update zal zijn. Indien je ongerust ben kan je via 4G of kabel een connectie maken.

Je vind meer info terug op https://www.krackattacks.com/ Hier wordt ook aangeraden om te zorgen dat je clients en update ontvangen daar de de exploit zich vooral richt op deze toestellen.

What if there are no security updates for my router?

Our main attack is against the 4-way handshake, and does not exploit access points, but instead targets clients. So it might be that your router does not require security updates. We strongly advise you to contact your vendor for more details. In general though, you can try to mitigate attacks against routers and access points by disabling client functionality (which is for example used in repeater modes) and disabling 802.11r (fast roaming). For ordinary home users, your priority should be updating clients such as laptops and smartphones.
TRiSS
Plus Member
Plus Member
Berichten: 112
Lid geworden op: 30 jan 2005, 14:59
Uitgedeelde bedankjes: 8 keer
Bedankt: 4 keer

Overzichtje van Datanews, met oa een reactie van Telenet:
http://datanews.knack.be/ict/nieuws/bed ... 7448022833
Telenet zegt momenteel samen met haar hardwareleverancier (Compal) te bekijken wat de nodige stappen zijn. Het telecombedrijf verwacht dat een patch nodig zal zijn maar kan nog niet zeggen wanneer die er zal zijn. "Uiteraard zullen we zo snel mogelijk handelen", klinkt het bij woordvoerster Isabelle Geeraerts. Telenet was voor alle duidelijkheid niet op voorhand op de hoogte gebracht van het probleem.
i will live forever.... or die trying!
CCatalyst
Elite Poster
Elite Poster
Berichten: 8248
Lid geworden op: 20 jun 2016, 18:36
Uitgedeelde bedankjes: 19 keer
Bedankt: 522 keer
Recent bedankt: 12 keer

TRiSS schreef: 1) Voor zover ik weet is elk toestel dat WPA2 gebruikt in principe vatbaar (tenzij het die enkele zijn wiens implementatie van wpa2 toevallig immuun is) - dus wat heeft repeater mode of 11r ermee te maken?
Omdat de aanval zich specifiek richt op de client functionaliteit, in access points ga je dit bv vinden in repeater mode.
TRiSS schreef: 2) De fout zit zowel in de clients als in de accesspoints - pas als beide immuun zijn ben je gedekt
Zie hierboven.
TRiSS schreef: 3) Https etc beschermt je enkel als de implementatie daarvan op de SERVER volledig ok is - iets waar je als gebruiker geen invloed op hebt! Vele websites kan je bijvoorbeeld "forceren" om naar een onveilige verbinding over te gaan als hacker.
Maar dat staat hier volledig los van. Iedereen upstream kan dan ook al je verkeer lezen. Net als iedereen die je WPA2-paswoord gekraakt heeft (wat hier ook volledig los van staat). Ik weet wel dat dat op zich niets goed praat, maar wees consequent en richt je pijlen dan ook daarop ipv een vals gevoel van veiligheid te verstrekken door de indruk te geven dat er geen probleem meer is als je je router patcht.

Om nogmaals de onderzoeker te quoten:

For ordinary home users, your priority should be updating clients such as laptops and smartphones.

Ik vrees dat men het totaal verkeerd begrijpt hier door zich te focusen op AP's. Met het risico dat men kwetsbaar blijft.
TRiSS
Plus Member
Plus Member
Berichten: 112
Lid geworden op: 30 jan 2005, 14:59
Uitgedeelde bedankjes: 8 keer
Bedankt: 4 keer

Prioriteit is clients updaten, ok, maar dat wil niet zeggen negeer de rest. En aangezien bijvoorbeeld Telenet hun draadloze apparatuur bijna door je strot ramt bij momenten, vind ik dat ze dan ook hun verantwoordelijkheid in deze moeten nemen. Voor mijn clients (en ja, deze worden geupdate in mijn geval zo snel als kan) kan ik zelf de update doorvoeren, bij telenet apparatuur kan ik dit niet.
Als de AP niet toelaat dat de keys hergebruikt worden door een client, kan die verbinding toch ook al niet meer misbruikt worden? Of zie ik dat verkeerd, en dan is uitleg daarover welkom ;-)

En ja, in het geval van een slecht ingestelde ssl verbinding ben je ook "upstream" kwetsbaar, en ja, dat moet aangepakt worden (al zie ik niet in hoe je dat kan als gebruiker), maar dit wil imho ook weer niet zeggen dat je "gaten" op andere vlakken niet moet dichten waar mogelijk... Hoe moeilijker aan trafiek te komen hoe beter, en bij wifi is het nu eenmaal zo dat het signaal erg makkelijk op te pikken is...

UPDATE:
ok, na wat dieper in de technische details gedoken te zijn zie ik hoe in de meeste gevallen de AP er weinig mee te maken heeft: het herzenden van de key zorgt dat bepaalde velden telkens ge-herinitialiseerd worden wat ervoor zorgt dat bepaalde informatie "voorspelbaar" wordt, en het dus makkelijker wordt om paketten te decrypten. Maar kan een update van de AP er bijvoorbeeld niet voor zorgen dat
-de android/linux "all zero key" bug niet langer werkt door deze niet te aanvaarden?
-de verbinding bijvoorbeeld verbroken wordt na de her-initalisatie van die velden, waardoor de aanval niet meer of niet meer zo makkelijk bruikbaar wordt?

In sommige gevallen is ook de driver/firmware van de wifi adapter kwetsbaar, aangezien die driver meestal met windows meekomt in moderne versies, heeft er iemand een idee of deze dan ook door windows update zullen geupdate worden? Daar heb ik nog niet zoveel over gevonden...
Laatst gewijzigd door TRiSS 17 okt 2017, 15:36, in totaal 1 gewijzigd.
i will live forever.... or die trying!
Plaats reactie

Terug naar “Netwerken en Security”