Ernstig lek in ‘moderne’ WiFi WPA2 waarmee ongeveer alle bedrijven werken. Wat nu? - Strict

Gisteren, 16 oktober 2017, werd in het nieuws bekend gemaakt dat WiFi met WPA2 beveiliging kwetsbaarheden bevat, waardoor deze veilig gewaande WiFi verbindingen kunnen worden gehackt door onbevoegden. De meeste bedrijven en vele particulieren werken met deze WiFi beveiliging. Daarom vroegen we de experts binnen Strict wat de gevolgen en de impact zijn van dit nieuws.

Aan het woord Markwin Romijn en Eildert van Dijken:

Waarom is WiFi WPA2 niet meer veilig?

Het WiFi WPA2 security protocol is de meest toegepaste beveiligingsmethode van WiFi connecties, het wordt gebruikt door Access Points en andere apparatuur die gebruik maakt van Operating Systems zoals Windows, Linux, OpenBSD, MacOS, Android, etc ..

WPA2 wordt als gevolg van het ontdekken van meerdere ernstige kwetsbaarheden als ‘onveilig’ beschouwd, dit n.a.v. de ontdekking dat het mogelijk is om informatie ‘af te luisteren’ die tussen een Access Point en bijv. een laptop of smartphone wordt verzonden.

Nu gebleken is dat het voor een ‘hacker’ mogelijk is om zonder dat iemand het merkt jouw informatie te onderscheppen, zijn extra voorzorgsmaatregelen noodzakelijk om te zorgen dat je informatie niet in verkeerde hand komt.

Wat is de impact hiervan? Welke concrete risico’s loop ik?

De impact van de kwetsbaarheden in het WPA2 protocol is ‘ernstig’ te noemen, de informatie die je verstuurt/ontvangt kan zonder dat je het weet worden ‘afgeluisterd’ en dus in verkeerde handen terecht komen. Denk hierbij aan het versturen van informatie zoals credit card nummers, passwords, chat berichten, e-mails, foto’s, maar zeker ook gevoelige bedrijfsinformatie, wanneer deze niet-versleuteld worden verstuurd over een WiFi verbinding.

Voor de goede orde moet wel worden opgemerkt dat dit ‘meeluisteren’ alleen kan plaatsvinden als de kwaadwillende (of zijn apparatuur) zich binnen het WiFi bereik bevindt.

Is er reden voor paniek en waarom dan?

Er is géén directe reden voor paniek, maar je moet je sterk bewust zijn welke informatie je via WiFi verzendt en ontvangt. Zorg ervoor dat je zoveel mogelijk gebruik maakt van zogenaamde ‘encrypted’ protocollen, voorbeeld hiervan is HTTPS (webbrowser sessie mét slotje) in plaats van HTTP. Dit is niet DÉ oplossing, maar het is beter dan helemaal geen bescherming van de data die je verstuurt en ontvangt. In sommige situaties kan de HTTPS beveiliging helaas ook omzeild worden. Daarom is het belangrijk ‘WPA2 met echte beveiligingscertificaten’ te gebruiken. Helaas wordt dat lang niet overal binnen het bedrijfsleven toegepast

Het feit dat WPA2 dus niet zonder meer veilig is, is niet goed, maar op zich minder belangrijk als je gebruik maakt van versleutelde verkeersstromen, immers de data die je verstuurt en ontvangt is dan encrypted (en dus onleesbaar) ook al verstuur je deze over een WiFi connectie.

Windows and iOS gebaseerde apparaten lijken op dit moment minder kwetsbaar te zijn. Linux en Android gebaseerde systemen lijken kwetsbaarder te zijn.

Wat kan en moet ik nu doen?

• Wanneer mogelijk, maak totdat er een oplossing beschikbaar is voor de WPA2 kwetsbaarheden zoveel mogelijk gebruik van een ‘bekabelde’ LAN aansluiting i.p.v. een draadloze WiFi verbinding
• Wanneer er alleen WiFi beschikbaar is, maak dan zoveel mogelijk gebruik van encypted protocollen zoals HTTPS, STARTTLS  voor het encrypten van web- en emailverkeer
• Wanneer beschikbaar maak gebruik van een remote VPN connectie server voor het versleutelen van alle dataverkeer
• Wees je sterk bewust van de informatie die je verstuurt/ontvangt, dit in relatie tot vertrouwelijkheid en integriteit van de informatie
• Controleer of jouw WiFi Access Point gebruik maakt van het WPA2 en een geldig professioneel certificaatserver heeft.
• Controleer of de leverancier van je WiFi Access Point een software update beschikbaar heeft, upgrade naar de laatst beschikbare softwareversie
• Controleer of de leverancier van je Operating System (Windows/ Linux/ MacOS/ OpenBSD/ Android) een update beschikbaar heeft om het probleem op te lossen
• Overigens geldt in het algemeen, we kunnen het niet vaak genoeg zeggen, dat 4G een veel hogere mate van veiligheid heeft en nog steeds een betere keuze is op publieke locaties.
• Alle iOS gebaseerde systemen moeten worden geüpgraded naar iOS-11 en de Android naar 2017-09-05 om het beveiligingslek op te lossen.

Wat adviseert Strict in het algemeen?

We zien vaak dat in de snelheid van innovatie en implementatie van oplossingen security een sluitpost is bij technische oplossingen. Ook binnen IoT, netwerkimplementaties en andere oplossingen is de snelheid waarmee men iets moois wil neerzetten een belangrijke reden dat security net niet doordacht genoeg is. Ons advies is dan ook om beveiliging van informatie integraal mee te nemen in iedere oplossing en standaard te zorgen voor goede encryptie van data. Daarnaast is het belangrijk om in het ontwerp en in de uitvoering maatregelen te nemen die het onderscheppen van data onmogelijk maakt. Hier zouden veel bedrijven meer aandacht aan moeten besteden. Strict helpt graag om binnen zulke projecten te zorgen voor een gedegen securitybeleid en uitvoering.

Wie kan ik vragen stellen als ik hulp nodig heb?

Bij vragen neem contact op met de beheerder van je lokale IT-afdeling of IT Service leverancier. Uiteraard mag u ons ook altijd benaderen voor vragen rondom securitybeleid, draadloze, mobiele en bedrade connectiviteit en het beschermen van uw binnenkomende en uitgaande data.