Zoals u ongetwijfeld al had vernomen, is er door onderzoekers een mogelijke kwetsbaarheid ontdekt in de aanmeldprocedure (4-way handshake) op wifi-netwerken met WPA2 beveiliging. Dit beveiligingsprobleem heeft geen effect op de infrastructuur van de govroam-dienst, maar wel op de wifi-netwerken van alle deelnemende organisaties.
Waar gaat het om?
Access Points die fast-roaming (IEEE 802.11r) geactiveerd hebben, kunnen getroffen worden door key reinstallation attacks (KRACKs). Dit is een nieuw type aanvalstechniek die tot nu toe veilig vercijferde informatie toch leesbaar maakt. De aanvaller kan deze techniek toepassen om eventueel gevoelige informatie te stelen. Deze aanvalstechniek werkt in alle wifi-netwerken.
Wat te doen?
Zowel de clients als de accespoints moeten worden voorzien van een update om de risico’s volledig te mitigeren. Enkel het patchen van het wifi-netwerk is niet afdoende; alle ongepatchte clients en accesspoints zijn in principe kwetsbaar.
Devices gebaseerd op Android 6.0 en configuraties die gebruik maken van wpa_supplicant 2.4 en 2.5 zijn extra kwetsbaar. Android is inmiddels bij versie 8 aanbeland; het is niet duidelijk of alle fabrikanten consequent updates gaan aanbieden voor versie 6.0.
Daarnaast zijn er kwetsbaarheden in de gebruikersapparatuur (clients), waarbij verkeer tussen client en wifi-netwerk kan worden onderschept. Naar het zich laat aanzien zijn voornamelijk de clients op basis van Android 6 en hoger hier gevoelig voor (dat zijn wel vaak de clients waar nog updates voor uitkomen).
Advies
Govroam beveelt dringend aan het gebruik van 802.11r uit te schakelen totdat leveranciers van wifi-netwerken en accesspoints een update hebben geleverd om het lek te dichten. Er zijn al aanbieders die maatregelen tegen KRACKs hebben ontwikkeld; informeer bij uw leverancier of en wanneer deze upgrades voor uw producten beschikbaar zijn.
Meer informatie
Het Nationaal Cyber Security Centrum (NCSC) heeft meer informatie over security issues voor de Nederlandse overheid. Hun adviezen kunt u vinden op:
https://www.ncsc.nl/actueel/nieuwsberichten/krack-aanvalstechniek-kwetsbaarheid-in-wifi-netwerken.html
https://www.ncsc.nl/dienstverlening/response-op-dreigingen-en-incidenten/beveiligingsadviezen/NCSC-2017-0883+1.03+Meerdere+kwetsbaarheden+gevonden+in+WPA2-handshake.html
Details over de KRACK techniek en tegenmaatregelen zijn onder meer te vinden op:
https://www.krackattacks.com/
