Uw wifi-netwerk is kwetsbaar en beschermt tegen KRACK
Vandaag publiceerden veiligheidsonderzoekers een paper met een ernstige kwetsbaarheid in WPA2, het protocol dat de meeste moderne Wi-Fi-netwerken beveiligt, inclusief het protocol bij u thuis. Hier leest u hoe u uzelf kunt beschermen tegen aanvallers.
Wat is KRACK en Moet ik me zorgen maken?
KRACK is een afkorting voor een belangrijke herinstallatie-aanval. Wanneer u een nieuw apparaat op een Wi-Fi-netwerk aansluit en het wachtwoord invoert, vindt een handmatige 4-wegshake plaats die ervoor zorgt dat het juiste wachtwoord wordt gebruikt. Door een deel van deze handshake te manipuleren, kan een aanvaller echter veel van wat er op een wifi-netwerk gebeurt zien en decoderen, zelfs als de eigenaar het wachtwoord niet kent. (Als u technisch en beveiligingsbewust bent, kunt u het volledige papier lezen voor meer informatie.)
Zodra iemand op deze manier toegang heeft tot uw netwerk, kunnen zij veel van de gegevens die u verzendt, of zelfs hun eigen gegevensachtige ransomware en andere malware injecteren, op de websites die u bezoekt (tenminste die met HTTP-sites die HTTPS gebruiken zien) moet veiliger zijn tegen injectie).
Ten tijde van dit schrijven zijn bijna alle apparaten kwetsbaar voor KRACK, althans in een of andere vorm. Linux- en Android-apparaten zijn het meest kwetsbaar, vanwege de specifieke Wi-Fi-client die ze gebruiken. Het is triviaal om grote hoeveelheden gegevens te zien die door deze apparaten worden verzonden. Merk op dat KRACK je wifi-wachtwoord niet onthult aan de aanvaller, dus het veranderen ervan zal je niet beschermen. WPA2 is echter niet onomkeerbaar verbroken - het probleem kan worden opgelost met software-updates, waar we het zo meteen over zullen hebben.
Moet je je zorgen maken? Ja, althans enigszins. Als u in een eengezinswoning bent, is de kans dat u wordt aangevallen kleiner dan wanneer u zich in een druk appartementengebouw bevindt, maar als u kwetsbaar bent, moet u waakzaam zijn. Het is waarschijnlijk een goed idee om te stoppen met het gebruik van openbare wifi-netwerken, zelfs met wachtwoordbeveiliging, totdat patches zijn vrijgegeven.
Gelukkig zijn er een paar dingen die je kunt doen om jezelf te beschermen.
Hoe jezelf te beschermen tegen KRACK-aanvallen
Dit is een groot beveiligingsprobleem dat waarschijnlijk al geruime tijd voorkomt. Hier zijn echter de dingen die u nu moet doen.
Houd al uw apparaten up-to-date (serieus)
U weet hoe uw pc en telefoon u altijd lastig vallen met software-updates en u klikt gewoon op "Later installeren"? Stop daarmee! Serieus, deze updates repareren kwetsbaarheden als deze, die je beschermen tegen allerlei soorten vervelende dingen.
Gelukkig, zolang één apparaat in een paar is gepatcht - de router of de computer / telefoon / tablet die ermee verbonden is - moeten de gegevens die tussen hen worden uitgezonden veilig zijn.
Dat betekent dat als u uw routerfirmware bijwerkt, uw netwerk moet worden beschermd. Maar u wilt uw laptop, telefoon, tablet en elk ander apparaat dat u naar andere Wi-Fi-netwerken brengt, nog steeds bijwerken, voor het geval ze niet zijn gepatcht. Gelukkig informeren je computer, telefoon en tablet je over updates; hier is wat we weten nu gepatcht:
- Pc's draaien ramen 10, 8, 8.1 en 7 zijn gepatcht vanaf 10 oktober 2017, ervan uitgaande dat alle updates zijn geïnstalleerd.
- Macs zijn gepatcht vanaf 31 oktober 2017, aangenomen dat ze macOS High Sierra 10.13.1 hebben geïnstalleerd.
- iPhones en iPads zijn gepatcht vanaf 31 oktober 2017, ervan uitgaande dat iOS 11.1 is geïnstalleerd
- Android apparaten moeten worden gepatcht vanaf de beveiligingspatch van 6 november 2017, die zal worden uitgerold naar Nexus- en Pixel-apparaten. Andere Android-apparaten ontvangen updates als fabrikanten deze vrijgeven.
- ChromeOS apparaten moeten worden gepatcht vanaf 28 oktober 2017, ervan uitgaande dat ze Chrome OS 62 hebben geïnstalleerd.
- De meeste pc's zijn actief Linux moet worden gepatcht, ervan uitgaande dat ze worden bijgehouden met updates. Ubuntu 14.04 en later hebben Arch, Debian en Gentoo alle patches vrijgegeven.
Dit is goed om te weten, maar u moet ook regelmatig de website van uw routerfabrikant controleren op firmware-updates voor de router. Als u een oudere router hebt, wordt deze mogelijk niet bijgewerkt, maar veel nieuwere moeten dat hopelijk wel. (Als de uwe geen update ontvangt, is het misschien een goed moment om die router te upgraden - zorg er alleen voor dat uw nieuwe is gepatcht voor KRACK voordat u koopt.)
In de tussentijd, als uw router dat is niet gepatcht, het is uitermate belangrijk dat elk apparaat in uw thuisnetwerk doet. Helaas zullen sommigen ze misschien nooit krijgen. Android-apparaten worden bijvoorbeeld niet altijd tijdig bijgewerkt en sommigen ontvangen er misschien nooit een voor KRACK. Smarthome-apparaten kunnen ook problematisch zijn, omdat ze nog steeds malware kunnen krijgen waardoor ze deel uitmaken van een botnet. Houd Firmware-updates in de gaten voor andere Wi-Fi-apparaten die u gebruikt en e-mail de fabrikanten van die apparaten om te zien of ze een patch hebben uitgegeven of van plan zijn om een patch uit te geven. Hopelijk, aangezien deze kwetsbaarheid al grote golven maakt, zullen apparaatfabrikanten feitelijk worden gestimuleerd om patches vrij te geven.
Hier is een overzicht van apparaten die zijn gepatcht, of die binnenkort patches zullen ontvangen.
Gebruik HTTPS op sites die dit ondersteunen (u waarschijnlijk al doet)
Terwijl u wacht totdat uw apparaten patches ontvangen, zorgt u ervoor dat u voor uw persoonlijke gegevens zorgt. Als u iets gevoelig doet via internet, e-mail, bankieren of een site waarvoor een wachtwoord vereist is, zorg er dan voor dat u dit via HTTPS doet. HTTPS is niet perfect en sommige sites hebben het niet goed geïmplementeerd (zoals Match.com, zoals de onderzoekers laten zien), maar het moet je in veel situaties nog steeds beschermen.
Gelukkig gebruiken steeds meer sites HTTPS standaard tegenwoordig. U hoeft dus niet veel te doen - zorg ervoor dat u dat kleine vergrendelingspictogram ziet wanneer u verbinding maakt met een site waarvoor een wachtwoord of creditcardinformatie vereist is. En zorg ervoor dat het vergrendelingspictogram daar blijft terwijl u de site gebruikt, omdat een aanvaller op elk gewenst moment de HTTPS-beveiliging kan proberen te verwijderen.
Wijzig de standaardinstellingen op uw router en andere apparaten
Zelfs als je router wordt gepatcht, betekent dit nog niet dat het veilig is voor andere aanvallen. Iemand kan een van uw apparaten met een KRACK-aanval in gevaar brengen en vervolgens malware installeren die uw netwerk op andere manieren aanvalt, zoals inloggen op uw router met behulp van het wachtwoord dat bij de router hoort. Controleer of u het standaardwachtwoord op geen enkel apparaat in uw huis gebruikt, zorg ervoor dat uw router WPA2 met AES-codering gebruikt en onveilige routerfuncties zoals WPS en UPnP uitschakelt. Dit zijn allemaal elementaire dingen die iedereen zou moeten doen, maar nu is het een goed moment om te controleren.
Voer Antivirus en Anti-Malware uit op uw pc
Dit zou vanzelf moeten gaan, want je zou het al moeten doen, maar zorg ervoor dat je fatsoenlijke antivirus- en antimalwaresoftware op je pc hebt staan. KRACK-aanvallen kunnen worden gebruikt om malware in de door u bezochte sites te injecteren en "gewoon met gezond verstand" zal u niet beschermen. We raden u aan Windows Defender, dat ingebouwd is in Windows 8 en 10, voor uw antivirus te gebruiken, samen met Malwarebytes Anti-Malware om uzelf te beschermen tegen misbruik van browsers en andere soorten aanvallen. Zelfs als al je apparaten volledig zijn gepatcht tegen KRACK, zou je deze programma's moeten gebruiken.
Kortom, deze kwetsbaarheid is groot en de enige manier om jezelf echt te beschermen is om ervoor te zorgen dat je router en al je op wifi aangesloten apparaten up-to-date zijn. Maar terwijl we op die updates wachten, kan elementaire computerbeveiliging een lange weg afleggen: gebruik overal waar mogelijk HTTPS, gebruik niet de standaardwachtwoorden op uw apparaten, voer geen antivirus en anti-malware uit en werk uw software bij zodra u deze ontvangt die kennisgeving. Je wilt niet alleen worden aangevallen om te realiseren dat vijf minuten updates je gegevens veilig hadden kunnen houden.