Interview: Mathy Vanhoef, de man achter het WPA2-lek
Het was een turbulente week voor netwerkbeheerders nadat een onderzoeker van de KU Leuven ontdekte dat de populaire wifi-beveiliging WPA2 te kraken is. Mathy Vanhoef vertelt aan Data News hoe dat verliep, en in welke mate uw netwerk gevaar loopt.
We spreken Vanhoef drie dagen nadat hij publiek communiceerde over zijn Key Reinstallation Attack of kortweg Krack. Met die kwetsbaarheid kan een hacker er voor zorgen dat oude encryptiesleutels worden gebruikt, of bestaan uit nullen. Eens dat lukt, valt al het internetverkeer tussen toestel en router te onderscheppen.
Plots keek iedereen die bezig is met security en netwerken naar jou. Hoe heb je dat zelf ervaren?
“Maandag en dinsdag waren ongelooflijk druk. Intussen is het wat rustiger maar ik moet nog wel wat slaap inhalen. Het was plots enorm lastig om de telefoontjes en mails nog bij te houden.”
Maandag heb je het lek publiek gemaakt, maar wanneer had je het zelf ontdekt?
“De ontdekking zelf dateert van maart. Nadien hebben we het verder uitgewerkt tot een paper die we hebben opgestuurd naar een academische conferentie. In de zomer hebben we het nog verder uitgewerkt en hebben we de eerste bedrijven verwittigd zodat ze updates konden voorbereiden.”
Moet een aanvaller effectief op je netwerk zitten, of volstaat om enkel in de buurt te zijn?
“Hij of zij moet alleen in het bereik zitten. Je moet het wachtwoord niet kennen om het lek te misbruiken. Eigenlijk moet de aanvaller zelfs niet heel dichtbij zijn. Andere onderzoekers hebben in het verleden al aangetoond dat je met speciale antennes tot op twee kilometer van een netwerk verbinding kan maken.”
Toen ik mijn vorig onderzoek afrondde, had ik al het vermoeden dat er iets fout was met WPA2
Apple en Microsoft hebben al laten weten dat hun toestellen gepatcht zijn. Google zou werken aan een update en ook de grote netwerkfabrikanten zijn ermee bezig. Maar hoe bezorgd moeten we zijn om oudere toestellen die geen updates meer krijgen?
“De belangrijkste fouten zitten in de clients: je smartphone en laptop. Als je zorgt dat die apparaten up-to-date zijn dan ben je normaal al veilig. Maar als je smartphone of laptop geen updates krijgt, blijven deze kwetsbaar aan de aanval en dat is wel problematisch. Ook al heb je een oude router die niet meteen updates krijgt, dan nog verwacht ik niet meteen een risico.”
“Sommige access points en routers zijn wel kwetsbaar, maar dan spreek ik vooral van grote netwerken die worden gebruikt in luchthavens, universiteiten of hotels waar meerdere access points zitten.”
“Je router of access point thuis ondersteunt de functionaliteit niet waarin de zwakheid zit. Als je thuisrouter geen updates meer krijgt, is dat niet meteen het grootste probleem zo lang je je Windows, Android en iOS-toestellen patcht.”
Je werkt als postdoctoraat onderzoeker aan de KU Leuven, was het lek onderdeel van je onderzoek?
“Ik was voor mijn doctoraat al bezig met onderzoek naar de beveiliging van draadloze netwerken. Toen ik mijn vorig onderzoek afrondde had ik al het vermoeden dat er iets fout was met WPA2. Het vinden van de fout ligt dus wel in het verlengde van mijn onderzoek naar netwerken en security.”
Heeft een fout van deze omvang ontdekken veel impact op je carrière?
“Op korte termijn niet. Ik begin nu aan een FWO-beurs (Fonds Wetenschappelijk Onderzoek, nvdr) van drie jaar. Maar op lange termijn versterkt zoiets wel je carrière. Mocht ik ergens solliciteren dan staat die WPA2-ontdekking wel heel mooi op je CV.”
We merkten al snel dat het onhaalbaar was om alle kwetsbare fabrikanten te contacteren. Daarom zijn we bij het CERT in de VS gaan aankloppen en zij hebben voor ons de belangrijkste bedrijven gecontacteerd.
Ligt je onderzoek via het FWO in het verlengde hiervan?
“Die focust op de beveiliging van netwerkprotocollen in het algemeen. Dus niet enkel over draadloze verbindingen, maar wel over het internet heen en waar toestellen met elkaar communiceren.”
Heb je na je ontdekking veel partijen moeten contacteren?
“We hebben in de eerste plaats bedrijven gecontacteerd waarvan we de producten zelf hebben getest, waaronder Microsoft, Google en Apple. In totaal hebben we een honderdtal mails met informatie uitgestuurd en reacties beantwoord. Maar we merkten al snel dat het onhaalbaar was om alle kwetsbare fabrikanten te contacteren.”
“Daarom zijn we op advies van andere experts bij het CERT in de VS gaan aankloppen en zij hebben voor ons de belangrijkste bedrijven gecontacteerd. Gelukkig maar want dat hadden we zelf niet allemaal kunnen doen.”
Wie meer wil weten over het lek kan het werk van Vanhoef zelf nalezen op Krackattacks.com. In dit artikel leggen we zelf uit hoe de aanval werkt en we vroegen ook aan enkele technologiespelers, waaronder Proximus en Telenet, wat de gevolgen zijn voor hun modems.
Fout opgemerkt of meer nieuws? Meld het hier