Er zijn maar weinig mensen die zich al te veel zorgen maken over Wi-Fi-beveiliging, die graag verbinding maken met openbare draadloze netwerken en weinig doen om zelfs maar hun eigen thuisnetwerk te beschermen. Zolang er een wachtwoord is, denken we dat we veilig zijn.
Inhoud
- Draken doden
- Jullie lijken zo op elkaar...
- Blijf veilig door veilig te zijn
Zoals gewoonlijk is jezelf veilig houden nooit zo eenvoudig als het lijkt. Wachtwoordbeveiliging maakt deel uit van een systeem genaamd Wi-Fi Protected Access, of WPA, dat op het punt staat veiliger te worden in de vorm van WPA3. Ondanks de verbeteringen die het met zich meebrengt, zal WPA nooit een wondermiddel zijn.
Aanbevolen video's
Er zitten enkele ernstige tekortkomingen in die al aanwezig zijn sinds de allereerste WPA werd gestart. Totdat we deze onder ogen zien, zullen onze draadloze netwerken altijd een gapend gat in hun beschermingsmuur hebben.
Verwant
- Wi-Fi 6 is eindelijk gelanceerd. Dit is wat dat voor u betekent
Draken doden
Wachtwoord- en encryptiebescherming waren een belangrijk punt bij de creatie en verspreiding van WPA2 en zijn dat ook geworden hebben ervoor gezorgd dat de meesten van ons veilig blijven wanneer we onze talloze moderne apparaten met Wi-Fi verbinden netwerken. Maar WPA2 heeft ernstige tekortkomingen waarvoor WPA3 is ontworpen om deze op te lossen.
Waar WPA2 gebruik maakt van een vooraf gedeelde sleuteluitwisseling en zwakkere codering, WPA3 upgradet naar 128-bit codering en gebruikt een systeem genaamd Simultaneous Authentication of Equals (SAE), in de volksmond bekend als een Dragonfly-handshake. Het dwingt netwerkinteractie af bij een potentiële login, waardoor het zo wordt dat hackers niet kunnen proberen een login te hacken het downloaden van de cryptografische hash en het uitvoeren van kraaksoftware om deze te breken, waardoor ze vervolgens andere tools kunnen gebruiken om op het netwerk te snuffelen activiteit.
Vertrouwd draadloos omgevingsframework
Maar Dragonfly en WPA3 zelf zijn ook kwetsbaar voor een aantal gevaarlijke tekortkomingen en enkele van de ergste zijn al sinds hun oprichting aanwezig in WPA-beveiligde netwerken. Deze exploits zijn verzameld onder de bannernaam Drakenbloed en als ze niet worden aangepakt, zouden ze kunnen betekenen dat WPA3 niet veel veiliger is dan WPA2, omdat de methoden die worden gebruikt om de beveiliging ervan te omzeilen niet echt zijn veranderd.
Er worden zes problemen benadrukt door Mathy Vanhoef in zijn Dragonblood-exposé, maar ze worden bijna allemaal mogelijk gemaakt door een eeuwenoude Wi-Fi-hacktechniek die een boze tweeling wordt genoemd.
Jullie lijken zo op elkaar...
“Het grootste probleem dat al twintig jaar in wifi bestaat, is dat jij, ik en mijn zus (die niet technisch is) allemaal een kwaadaardige tweelingaanval kunnen lanceren, gewoon door onze mobiele telefoons te gebruiken,” WatchGuard-technologieën’ directeur productmanagement, Ryan Orsi, vertelde Digital Trends. “[Laten we zeggen] je hebt een smartphone en haal hem uit je zak, loop je kantoor binnen en hij heeft een WPA3-wachtwoord beveiligd Wi-Fi-netwerk. Je kijkt naar de naam van dat wifi-netwerk […] als je de naam van je telefoon verandert in [dezelfde naam] en je hotspot inschakelt, heb je zojuist een kwaadaardige tweelingaanval gelanceerd. Je telefoon zendt exact hetzelfde wifi-netwerk uit.
Hoewel gebruikers die verbinding maken met uw vervalste, kwaadaardige tweelingnetwerk veel van hun informatie weggeven door deze te gebruiken, verzwakken ze mogelijk hun veiligheid nog meer. Deze aanval zou kunnen worden uitgevoerd met een smartphone die alleen WPA2 ondersteunt. Zelfs als het potentiële slachtoffer WPA3 op zijn apparaat kan ondersteunen, heb je hem effectief gedowngraded naar WPA2 dankzij de achterwaartse compatibiliteit van WPA3.
Het staat bekend als WPA3-Transition Mode en zorgt ervoor dat een netwerk WPA3- en WPA2-beveiligingen met hetzelfde wachtwoord kan uitvoeren. Dat is geweldig om de acceptatie van WPA3 aan te moedigen zonder mensen te dwingen dit onmiddellijk te doen, en is geschikt voor oudere clientapparaten, maar het is een zwak punt in de nieuwe beveiligingsstandaard die iedereen overlaat kwetsbaar.
‘Je hebt nu het begin van een Drakenbloedaanval gelanceerd,’ vervolgde Orsi. “Je brengt een kwaadaardig dubbel toegangspunt binnen dat een WPA2-versie van het Wi-Fi-netwerk uitzendt en de apparaten van de slachtoffers weten het verschil niet. Het is dezelfde naam. Wat is de legitieme en welke is de kwaadaardige tweeling? Het is moeilijk voor een apparaat of mens om dat te vertellen.”
Maar de overgangsmodus van WPA3 is niet het enige zwakke punt voor potentiële downgrade-aanvallen. Dragonblood dekt ook een downgrade-aanval van een beveiligingsgroep, waardoor degenen die een kwaadaardige dubbele aanval gebruiken, initiële verzoeken om WPA3-beveiligingsbescherming kunnen weigeren. Het clientapparaat probeert vervolgens opnieuw verbinding te maken met een andere beveiligingsgroep. Het nepnetwerk kan eenvoudigweg wachten tot er een verbindingspoging wordt gedaan met onvoldoende beveiliging en deze accepteren, waardoor de draadloze bescherming van het slachtoffer aanzienlijk wordt verzwakt.
Zoals Orsi benadrukte, zijn kwaadaardige tweelingaanvallen al ruim tien jaar een probleem met wifi-netwerken. vooral openbare waar gebruikers zich mogelijk niet bewust zijn van de naam van het netwerk waarmee ze verbinding willen maken van tevoren. WPA3 biedt weinig bescherming hiertegen, omdat het probleem technisch gezien niet bij de technologie zelf ligt, maar bij het vermogen van de gebruiker om onderscheid te maken tussen legitieme netwerken en valse netwerken. Er is niets in de Wi-Fi-menu's van apparaten dat aangeeft met welke netwerken veilig verbinding kan worden gemaakt en welke niet.
'Er zou moeten staan: dit is degene die je kunt vertrouwen. Boek uw hotel met een creditcard via deze wifi, want dit is de juiste.”
Volgens Drakenbloedauteur, Mathy VanhoefHet kan slechts 125 dollar aan Amazon AWS-computerkracht kosten – het draaien van een stukje software voor het kraken van wachtwoorden – om decodeer wachtwoorden van acht tekens in kleine letters, en er zijn tal van services die zelfs competitiever kunnen zijn dan Dat. Als een hacker vervolgens creditcard- of bankgegevens kan stelen, is die investering snel terugverdiend.
“Als de boze tweeling daar is en een slachtoffer zich ermee verbindt, verschijnt de splashpagina. De splashpagina over een kwaadaardige tweelingbroer komt eigenlijk van de laptop van de aanvaller”, vertelde Orsi aan Digital Trends. “Die splash-pagina kan kwaadaardig Javascript of een knop bevatten en ‘klik hier om akkoord te gaan, download deze software om verbinding te maken met deze hotspot.’”
Blijf veilig door veilig te zijn
“Problemen met [WPA-beveiliging] zullen pas worden opgelost als de algemene consument het op zijn apparaat kan zien in plaats van een beetje hangslot betekent dat het met een wachtwoord is beveiligd, er is een ander symbool of visuele indicator die aangeeft dat dit geen boze tweeling is, 'Orsi gezegd. “[We moeten] mensen een visueel symbool aanbieden dat sterke technische wortels heeft, maar ze hoeven het niet te begrijpen. Het zou moeten zeggen: dit is degene die u kunt vertrouwen. Boek uw hotel met een creditcard via deze wifi, want dit is de juiste.”
Categorie Wi-Fi-dreiging: 'Evil Twin'-toegangspunt
Voor een dergelijk systeem zou het IEEE (Institute of Electrical and Electronics Engineers) het moeten ratificeren als onderdeel van een nieuwe Wi-Fi-standaard. De Wi-Fi Alliance, die het auteursrecht voor ‘Wi-Fi’ bezit, zou dan moeten beslissen over een embleem en de update naar fabrikanten en softwareleveranciers moeten sturen om er gebruik van te maken. Het doorvoeren van een dergelijke verandering in Wi-Fi zoals we die kennen, zou een enorme onderneming van veel bedrijven en organisaties vergen. Dat is waarom Orsi en WatchGuard wil mensen aanmelden om hun steun te betuigen aan het idee van een nieuw, vertrouwd draadloos systeem dat een duidelijke visuele indicator geeft om mensen te helpen veilig te blijven op Wi-Fi-netwerken.
Totdat zoiets gebeurt, zijn er nog steeds enkele stappen die u kunt nemen om uzelf te beschermen. Het eerste advies dat Orsi ons gaf was om alles te updaten en te patchen, vooral als het WPA3-beveiliging toevoegt. Hoe gebrekkig het ook is, het is nog steeds veel beter dan WPA2. Daarom zijn zoveel Dragonblood-aanvallen gericht op het waar mogelijk verlagen van de beveiliging.
Veel van de tactieken die Dragonblood gebruikt, zijn nutteloos als je wachtwoord ingewikkeld, lang en uniek is.
Dat vertelde Jean-Philippe Taggart van Malwarebytes ook aan Digital Trends. Hoe gebrekkig WPA3 ook mag zijn, het is nog steeds een upgrade. Het is enorm belangrijk om ervoor te zorgen dat alle WPA3-apparaten die u gebruikt ook de nieuwste firmware gebruiken. Dat zou kunnen helpen bij het verzachten van enkele zijkanaalaanvallen die aanwezig waren in vroege WPA3-releases.
Als u een regelmatige gebruiker bent van openbare Wi-Fi-netwerken (of zelfs als u dat niet bent), raadt Orsi u ook aan stappen te ondernemen om een VPN, of virtueel particulier netwerk (Hier leest u hoe u er een kunt instellen). Deze voegen een extra coderingslaag en verduistering toe aan uw verbinding door deze via een server van derden te routeren. Dat kan het voor lokale aanvallers veel moeilijker maken om te zien wat u online doet, zelfs als ze erin slagen toegang te krijgen tot uw netwerk. Het verbergt ook uw verkeer voor externe aanvallers en mogelijk voor drieletterbureaus die mogelijk meekijken.
Als het gaat om het beveiligen van uw wifi thuis, raden we ook een sterk netwerkwachtwoord aan. De woordenboekaanvallen en brute force-hacks die mogelijk worden gemaakt door veel van de Dragonblood-exploits zijn nutteloos als uw wachtwoord ingewikkeld, lang en uniek is. Bewaar het in een wachtwoordbeheerder als u niet zeker weet of u het zult onthouden (dit zijn de beste). Verander het ook niet vaak. Je weet nooit of je vrienden en familie net zo veilig zijn geweest met je wifi-wachtwoord als jij.
Aanbevelingen van de redactie
- Door dit wifi-beveiligingslek kunnen drones apparaten door muren heen volgen
