WPA2, zo blijkt, is kraakbaar. Met de Key Reinstallation Attack of kortweg Krack kan een hacker oude encryptiesleutels herbruiken of laten bestaan uit nullen. Eens dat lukt, valt al het internetverkeer tussen toestel en router te onderscheppen.

Plots keek iedereen die bezig is met security en netwerken naar jou. Hoe heb je dat zelf ervaren?

MATHY VANHOEF: Maandag en dinsdag waren ongelooflijk druk. Nadien werd het wat rustiger, maar ik moet nog wel wat slaap inhalen. Het was plots enorm lastig om de telefoontjes en mails nog bij te houden.

Op 16 oktober heb je het lek publiek gemaakt, wanneer had je het zelf ontdekt?

MATHY VANHOEF: De ontdekking zelf dateert van maart. Nadien hebben we het uitgewerkt tot een paper die we hebben opgestuurd naar een academische conferentie. In de zomer hebben we het nog verder uitgewerkt en hebben we de eerste bedrijven verwittigd zodat ze updates konden voorbereiden.

Moet een aanvaller effectief op het netwerk zitten, of volstaat om enkel in de buurt te zijn?

MATHY VANHOEF: Hij of zij moet alleen in het bereik zitten. Je moet het wachtwoord niet kennen om het lek te misbruiken.

Hoe bezorgd moeten we zijn om oudere toestellen die geen updates meer krijgen?

MATHY VANHOEF: De belangrijkste fouten zitten in de clients: je smartphone en laptop. Als je zorgt dat die apparaten up-to-date zijn, dan ben je normaal al veilig. Maar als je smartphone of laptop geen updates krijgt, blijft hij kwetsbaar voor de aanval en dat is wel problematisch. Ook al heb je een oude router die niet meteen updates krijgt, dan nog verwacht ik niet meteen een risico.

Professionele access points en routers zijn wel kwetsbaar, maar dan spreek ik vooral van grote netwerken die worden gebruikt in luchthavens, universiteiten of hotels, waar meerdere access points zitten. Consumenteapparatuur ondersteunt de functionaliteit niet waarin de zwakheid zit.

Je werkt als postdoctoraat onderzoeker aan de KU Leuven, was het lek onderdeel van je onderzoek?

MATHY VANHOEF: Ik was voor mijn doctoraat al bezig met onderzoek naar de beveiliging van draadloze netwerken. Toen ik mijn vorig onderzoek afrondde, had ik al het vermoeden dat er iets fout was met WPA2. Het vinden van de fout ligt dus wel in het verlengde van mijn onderzoek naar netwerken en security.

Heeft een fout van deze omvang ontdekken veel impact op je carrière?

MATHY VANHOEF: Op korte termijn niet. Ik begin nu aan een FWO-beurs (Fonds Wetenschappelijk Onderzoek, nvdr.) van drie jaar. Maar op lange termijn versterkt zoiets wel je carrière. Mocht ik ergens solliciteren, dan staat die WPA2-ontdekking wel heel mooi op je CV.

Heb je na je ontdekking veel partijen moeten contacteren?

MATHY VANHOEF: We hebben in de eerste plaats bedrijven gecontacteerd waarvan we de producten zelf hebben getest, waaronder Microsoft, Google en Apple. In totaal hebben we een honderdtal mails met informatie uitgestuurd en reacties beantwoord. Maar we merkten al snel dat het onhaalbaar was om alle kwetsbare fabrikanten te contacteren.

Daarom zijn we op advies van andere experts bij het CERT in de VS gaan aankloppen en zij hebben voor ons de belangrijkste bedrijven gecontacteerd. Gelukkig maar, want dat hadden we zelf niet allemaal kunnen doen.

PIETERJAN VAN LEEMPUTTEN