Belgische informaticus hackt 'onhackbaar' netwerk
De beveiliging van onze wifinetwerken is niet zo ongenaakbaar als we denken. Een informaticus van de KU Leuven ontdekte een lek in het WPA2-protocol en dat legt een wereldwijde kwetsbaarheid bloot bij de beveiliging van miljoenen toestellen.
"Als je toestel wifi ondersteunt, dan is het naar alle waarschijnlijkheid kwetsbaar." De boodschap die informaticus Mathy Vanhoef (KU Leuven) gisterochtend lanceerde is niet meteen geruststellend. Hij ontdekte een aanval die de WPA2-beveiliging van wifinetwerken kan omzeilen en zo toegang krijgt tot persoonlijke gegevens. E-mails, paswoorden of bankgegevens zouden in vele gevallen te grabbel liggen.
De hele techwereld stond even op zijn kop, want het WPA2-protocol geldt sinds de lancering in 2004 als de waterdichte standaard en ondersteunt bijna alle wifiapparatuur: routers, smartphones en computers. Enkel wie het wachtwoord kon raden of ontfutselen, kon de beveiliging doorprikken.
Die waterdichtheid betwist Vanhoef nu. Zijn aanval, die hij omdoopte tot 'KRACK attack', grijpt in op de werking van het WPA2-protocol zelf. Daardoor is de kwetsbaarheid in feite in elk toestel aanwezig. Simpel gesteld zorgt dat WPA2-protocol in vier stappen voor een versleuteling van de uitgewisselde gegevens binnen een netwerk. Bij de derde stap wist Vanhoef echter het systeem te misleiden door het authentieke netwerk te imiteren en zo de beveiliging te omzeilen. Of dat effectief al is gedaan door hackers, is niet geweten.
Het lek is bovendien zeer afhankelijk van het toestel dat je gebruikt. Volgens Vanhoef is Android 6.0 en hoger het kwetsbaarst voor de aanval. Bij 41 procent van alle Android-telefoons is niet enkel het wifiverkeer te lezen, maar kan de aanvaller ook ransomware of andere digitale valstrikken leggen op websites die geen extra beveiliging hebben. In een demonstratievideo toont Vanhoef aan hoe dat geldt voor een "significant deel van alle websites". Windows- en iOS-gebruikers zouden dan weer in mindere mate zijn blootgesteld.
Updaten is prioritair
Aangezien het om een ethische hack gaat, bracht Vanhoef begin juli al verschillende grote fabrikanten op de hoogte. Een update zou namelijk voldoende zijn om het probleem van de baan te helpen, maar dan moet die wel voorhanden zijn. Voor bijvoorbeeld Windows-, Android-, iOS- en MacOS-gebruikers is dat nog niet het geval. Google zegt dat het "op de hoogte is van het probleem en een patch zal uitbrengen in de komende weken".
Het Centrum voor Cybersecurity België (CCB) was gisteren pas op de hoogte van het lek. Het stuurde meteen een waarschuwing uit. "Enerzijds naar de grote serviceproviders zoals Telenet en Proximus, die ongeveer 97 procent van de bevolking van wifi voorzien, anderzijds naar bedrijven, die vaak een eigen netwerk bezitten", zegt Miguel De Bruycker, directeur van het CCB.
Telenet meldt volop bezig te zijn met "het gat weer te dichten", maar benadrukt dat het ook aan de klanten zal zijn om hun toestel van een update te voorzien. Dat is ook de boodschap van Vanhoef, die uitlegt dat "de prioriteit het updaten van laptops en smartphones moet zijn, aangezien die het doelwit zijn".
Doembeeld temperen
De Bruycker toont zich wel ontstemd dat deze info het CCB niet eerder bereikte. "Dan hadden we sneller kunnen reageren. Nu riskeren we dat de hackers wakker worden." Anderzijds tempert hij het doembeeld dat velen uiten bij het nieuws. "De hack is technisch mogelijk, maar alleen als iemand zich binnen de grenzen van het wifinetwerk begeeft. Bovendien moet die over de nodige kennis en apparatuur beschikken. Niet je alledaagse inbreker, dus."