Alla wifi-enheter är sårbara - så gör du för att skydda ditt nätverk

Kreditkortsnummer, e-post, lösenord och foton. Den typen av känslig information ska finnas i säkert förvar. Både privatpersoner och företag använder i regel WPA2, en global krypteringsstandard för trådlösa nätverk, som lås och bom. Alla vägar till det privata nätverket - routrar, mobiltelefoner, spelkonsoler, iot-prylar - ska för obehöriga vara avspärrade av den sortens kryptering.

Nu har Mathy Vanhoef, en belgisk säkerhetsexpert, upptäckt sårbarheter i WPA2-protokollet. Metoden har fått namnet Krack, en förkortning av "key reinstallation attacks".

Sårbarheterna är inte begränsad till WPA2 utan omfattar också dess äldre syskon WPA, samt krypteringssviter somWPA-TKIP, AES-CCMP och GCMP. Eller som Vanhoef konstaterar:

- Alla enheter som använder wifi är sannolikt sårbar.

Andreas di Zazzo på nätverkskonsulten Conscia Netsafe är expert på trådlösa nätverk och autentiseringslösningar. Han berättar att det finns två typer av scenarion under vilka hackaren kan komma åt information.

- I det första scenariot kan hackaren utge sig för att vara en av våra egna accesspunkter i syfte att lura till sig klienten. Detta är synligt och företagslösningar kan i regel rapportera in när detta sker och reagera på det för att motverka attacken.

- I det andra kan hackaren injicera paket i existerande anslutningar. Detta motverkas med hjälp av uppdaterad, härdad kod i accesspunkten vilket stoppar så kallade null keys attacks och IV reuse-attacker. Dessa attacker är svåra att upptäcka idag. Men tillverkarna av trådlösa lösningar arbetar med att lösa det.

Vad har hänt sedan hoten offentliggjordes?

- Forskaren som upptäckte sårbarheterna spred denna kunskap till tillverkarna före allmän publicering. Stora tillverkare av accesspunkter och trådlös infrastruktur har kommit ut med (eller är på väg att släppa) mjukvaruuppdateringar som kraftigt minimerar riskerna för klienterna. Även på klientsidan arbetas det med problemet och Microsoft släppte fixad kod 20 oktober. Apple har i skrivande stund släppt betakod som löser problemen.

Måste alla företags- och hemmanätverk aktivt åtgärda detta för att inte vara i farozonen?

- Ja, i princip alla trådlösa nätverk är hotade, och man bör uppdatera sin mjukvara. Är du på ett företagsnätverk med accesspunkter med nyligen uppdaterad mjukvara från en större leverantör och uppdaterade klienter från Microsoft eller Apple bör du vara skyddad. Det är andra nätverk och scenarier som kan vara problem. Ny mjukvara i accesspunkten kan förhindra attacken, men det löser inte grundproblemet med att en icke uppdaterad klient fortsatt är i fara när den är på andra trådlösa nätverk.

Är några klienter särskilt utsatta?

- Klienter som sällan uppdateras, exempelvis iot-enheter eller Android. Den senare rör sig ofta mellan nätverk vilket gör den till en speciell risk. I sällsynta fall kan en attack även ske klient-till-klient där patchad trådlös infrastruktur inte skyddar. Android och Linux är speciellt sårbara.

- Det finns några förmildrande omständigheter. Dels måste hackaren vara i ditt trådlösa nät, gärna närmare dig än din accesspunkt. Dels så går en stor del av trafiken krypterad via SSL/https:// idag, som ett andra skydd. För riktigt kritiska miljöer rekommenderar vi att man aktiverar VPN även på det interna nätverket.

Vad gör jag om det inte finns mjukvaruuppdateringar för min router?

- Huvudattacken går mot klienter, inte mot accesspunkter så din router kanske inte behöver uppdateras. Vi rekommenderar att du kontaktar din leverantör för att få mer information. Generellt kan du motverka attacker mot routrar och accesspunkter genom att stänga av klientfunktionalitet , som exempelvis repeaterläge , och 802.11r (snabb roaming). För vanliga hemmaanvändare är det viktiga att uppdatera klienter som laptops och telefoner.

Så vad händer härnäst - behöver vi WPA3 nu?

- Nej, lyckligtvis kan implementationer patchas på ett bakåtkompatibelt sätt. Det innebär att en patchad klient fortfarande kan kommunicera med en opatchad accesspunkt och vice versa. De sänder samma handslag men uppdateringarna ser till att bara en nyckel bara installeras en gång, vilket stoppar en attack. Så uppdatera alla enheter när det blir möjligt och kom ihåg att både klienten och accesspunkten måste vara patchade för att skydda mot alla attacker.