Onlangs is er een kwetsbaarheid in de wifi-standaard gevonden. Het probleem is onderdeel van de standaard in de basis van (draadloze) pakkettransmissie, namelijk de IEEE 802.11 suite van standaarden.
Wat specifieker: het gaat het om de mogelijkheid om datapakketjes te ‘kapen’ die door een wifi-accesspoint bewaard werden in een buffer bestemd voor een draadloos apparaat in slaapstand. Een hacker kan zich voordoen als het slapende apparaat en zo vragen om de pakketjes in de buffer naar zijn malafide apparaat te sturen.
Van een aantal (grote) fabrikanten is al bekend dat hun apparatuur gevoelig is voor deze kwetsbaarheid.
Minimaal risico
Het blijkt alleen mogelijk om de kwetsbaarheid te misbruiken in uitsluitend zeer gunstige omstandigheden. Ten eerste moet de hacker zich binnen bereik van het wifi-netwerk bevinden. Vervolgens kunnen alleen pakketjes opgevangen worden die naar het slapende apparaat gestuurd zouden worden. Dat zullen er hooguit een paar tegelijkertijd zijn. Ze zijn echter zichtbaar zonder de gebruikelijke wifi-versleuteling.
Timing is dus van zeer groot belang, en de hacker kan zich niet zelf voordoen als het slapende apparaat. De pakketjes die opgevangen worden, kunnen alleen misbruikt worden als de data niet versleuteld is. govroam is groot voorstander van het principe om ‘end to end’-verkeer tussen gebruikers en de netwerk/internetapplicaties altijd te versleutelen. In dat geval kan een hacker niets met de ontfutselde data. Wel wijzen de onderzoekers erop dat tussen de gekaapte pakketjes ook DNS-verzoeken te zien zouden kunnen zijn, en daarmee informatie over de interesse van de internettende gebruiker zichtbaar kan zijn.
De kans op misbruik wordt verder geminimaliseerd wanneer bepaalde wifi-instellingen actief zijn. Ook is het gebruik van VLANs veilig, de kwetsbaarheid speelt zich alleen binnen een enkel VLAN af, maar niet tussen VLANs. Ondanks het feit dat de genoemde kwetsbaarheid dus uiterst lastig te exploiteren is, moeten netwerkbeheerders zich wel van het probleem bewust zijn.
Elk netwerk volgens standaard
De onderzoekers benadrukken dat dit probleem zowel bij WPA2 als WPA3 kan voorkomen, ook in enterprise-netwerken. eduroam en govroam worden zelfs expliciet genoemd, maar het gaat dus feitelijk om elk netwerk dat ingericht is volgens de standaarden die zijn voorgeschreven door Forum Standaardisatie. Juist door govroam in te zetten voor roamende gasten en ze in een ander VLAN te plaatsen dan eigen medewerkers, kan de scheiding tussen intern gebruik en gastgebruik veilig en intact blijven. Het beste is om wifi niet te gebruiken voor rechtstreekse toegang tot belangrijke gegevens binnen de organisatie, maar het altijd als ‘vuil internet’ te beschouwen waaroverheen met versleuteling data (extra) beschermd wordt.
Supportteam govroam
govroam is nauw verweven is met eduroam en ons supportteam heeft intensief contact met internationaal erkende experts. De beschreven problemen worden op de voet gevolgd. Maar ook ontwikkelingen om wifi beter, sneller en veiliger te maken houden we scherp in de gaten. Zo is onze expert Paul Dekkers nauw betrokken bij nieuwe standaarden met nog betere versleuteling van RADIUS. We houden u op de hoogte!
Erik Dobbelsteijn, Technisch coördinator
