Alla wifi-enheter är sårbara - så gör du för att skydda ditt nätverk

2017-10-20 11:30  
Andreas di Zazzos tipsar – så kan du skydda ditt nätverk. Foto: Åserud, Lise

Om du inte uppdaterat ditt privata nätverk kan hackare komma åt din information. Här är tre åtgärder alla kan vidta för att vara på den säkra sidan.

Kreditkortsnummer, e-post, lösenord och foton. Den typen av känslig information ska finnas i säkert förvar. Både privatpersoner och företag använder i regel WPA2, en global krypteringsstandard för trådlösa nätverk, som lås och bom. Alla vägar till det privata nätverket - routrar, mobiltelefoner, spelkonsoler, iot-prylar - ska för obehöriga vara avspärrade av den sortens kryptering.

Nu har Mathy Vanhoef, en belgisk säkerhetsexpert, upptäckt sårbarheter i WPA2-protokollet. Metoden har fått namnet Krack, en förkortning av "key reinstallation attacks".

Sårbarheterna är inte begränsad till WPA2 utan omfattar också dess äldre syskon WPA, samt krypteringssviter somWPA-TKIP, AES-CCMP och GCMP. Eller som Vanhoef konstaterar:

- Alla enheter som använder wifi är sannolikt sårbar.

Andreas di Zazzo på nätverkskonsulten Conscia Netsafe är expert på trådlösa nätverk och autentiseringslösningar. Han berättar att det finns två typer av scenarion under vilka hackaren kan komma åt information.

- I det första scenariot kan hackaren utge sig för att vara en av våra egna accesspunkter i syfte att lura till sig klienten. Detta är synligt och företagslösningar kan i regel rapportera in när detta sker och reagera på det för att motverka attacken.

- I det andra kan hackaren injicera paket i existerande anslutningar. Detta motverkas med hjälp av uppdaterad, härdad kod i accesspunkten vilket stoppar så kallade null keys attacks och IV reuse-attacker. Dessa attacker är svåra att upptäcka idag. Men tillverkarna av trådlösa lösningar arbetar med att lösa det.

Vad har hänt sedan hoten offentliggjordes?

- Forskaren som upptäckte sårbarheterna spred denna kunskap till tillverkarna före allmän publicering. Stora tillverkare av accesspunkter och trådlös infrastruktur har kommit ut med (eller är på väg att släppa) mjukvaruuppdateringar som kraftigt minimerar riskerna för klienterna. Även på klientsidan arbetas det med problemet och Microsoft släppte fixad kod 20 oktober. Apple har i skrivande stund släppt betakod som löser problemen.

Måste alla företags- och hemmanätverk aktivt åtgärda detta för att inte vara i farozonen?

- Ja, i princip alla trådlösa nätverk är hotade, och man bör uppdatera sin mjukvara. Är du på ett företagsnätverk med accesspunkter med nyligen uppdaterad mjukvara från en större leverantör och uppdaterade klienter från Microsoft eller Apple bör du vara skyddad. Det är andra nätverk och scenarier som kan vara problem. Ny mjukvara i accesspunkten kan förhindra attacken, men det löser inte grundproblemet med att en icke uppdaterad klient fortsatt är i fara när den är på andra trådlösa nätverk.

Är några klienter särskilt utsatta?

- Klienter som sällan uppdateras, exempelvis iot-enheter eller Android. Den senare rör sig ofta mellan nätverk vilket gör den till en speciell risk. I sällsynta fall kan en attack även ske klient-till-klient där patchad trådlös infrastruktur inte skyddar. Android och Linux är speciellt sårbara.

- Det finns några förmildrande omständigheter. Dels måste hackaren vara i ditt trådlösa nät, gärna närmare dig än din accesspunkt. Dels så går en stor del av trafiken krypterad via SSL/https:// idag, som ett andra skydd. För riktigt kritiska miljöer rekommenderar vi att man aktiverar VPN även på det interna nätverket.

Vad gör jag om det inte finns mjukvaruuppdateringar för min router?

- Huvudattacken går mot klienter, inte mot accesspunkter så din router kanske inte behöver uppdateras. Vi rekommenderar att du kontaktar din leverantör för att få mer information. Generellt kan du motverka attacker mot routrar och accesspunkter genom att stänga av klientfunktionalitet , som exempelvis repeaterläge , och 802.11r (snabb roaming). För vanliga hemmaanvändare är det viktiga att uppdatera klienter som laptops och telefoner.

Så vad händer härnäst - behöver vi WPA3 nu?

- Nej, lyckligtvis kan implementationer patchas på ett bakåtkompatibelt sätt. Det innebär att en patchad klient fortfarande kan kommunicera med en opatchad accesspunkt och vice versa. De sänder samma handslag men uppdateringarna ser till att bara en nyckel bara installeras en gång, vilket stoppar en attack. Så uppdatera alla enheter när det blir möjligt och kom ihåg att både klienten och accesspunkten måste vara patchade för att skydda mot alla attacker.

Andreas di Zazzos 3 steg för att säkra det privata nätverket

- Uppdatera mjukvaran hos infrastruktur och/eller klient.

- Slå på funktionen rogue detection med auto contain för SSID. Detta bör göras i kombination med att man scannar samtliga kanaler off-channel. Detta gäller för företag, inte hemnätverk.

- För kritiska miljöer: använd vpn även internt över det krypterade trådlösa nätverket.

Peter Ottsjö

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

  Kommentarer

Aktuellt inom

Debatt