WPA2, zo blijkt, is kraakbaar. Met de Key Reinstallation Attack of kortweg Krack kan een hacker oude encryptiesleutels herbruiken of laten bestaan uit nullen. Eens dat lukt, valt al het internetverkeer tussen toestel en router te onderscheppen.
...

WPA2, zo blijkt, is kraakbaar. Met de Key Reinstallation Attack of kortweg Krack kan een hacker oude encryptiesleutels herbruiken of laten bestaan uit nullen. Eens dat lukt, valt al het internetverkeer tussen toestel en router te onderscheppen. MATHY VANHOEF: Maandag en dinsdag waren ongelooflijk druk. Nadien werd het wat rustiger, maar ik moet nog wel wat slaap inhalen. Het was plots enorm lastig om de telefoontjes en mails nog bij te houden. MATHY VANHOEF: De ontdekking zelf dateert van maart. Nadien hebben we het uitgewerkt tot een paper die we hebben opgestuurd naar een academische conferentie. In de zomer hebben we het nog verder uitgewerkt en hebben we de eerste bedrijven verwittigd zodat ze updates konden voorbereiden. MATHY VANHOEF: Hij of zij moet alleen in het bereik zitten. Je moet het wachtwoord niet kennen om het lek te misbruiken. MATHY VANHOEF: De belangrijkste fouten zitten in de clients: je smartphone en laptop. Als je zorgt dat die apparaten up-to-date zijn, dan ben je normaal al veilig. Maar als je smartphone of laptop geen updates krijgt, blijft hij kwetsbaar voor de aanval en dat is wel problematisch. Ook al heb je een oude router die niet meteen updates krijgt, dan nog verwacht ik niet meteen een risico. Professionele access points en routers zijn wel kwetsbaar, maar dan spreek ik vooral van grote netwerken die worden gebruikt in luchthavens, universiteiten of hotels, waar meerdere access points zitten. Consumenteapparatuur ondersteunt de functionaliteit niet waarin de zwakheid zit. MATHY VANHOEF: Ik was voor mijn doctoraat al bezig met onderzoek naar de beveiliging van draadloze netwerken. Toen ik mijn vorig onderzoek afrondde, had ik al het vermoeden dat er iets fout was met WPA2. Het vinden van de fout ligt dus wel in het verlengde van mijn onderzoek naar netwerken en security. MATHY VANHOEF: Op korte termijn niet. Ik begin nu aan een FWO-beurs (Fonds Wetenschappelijk Onderzoek, nvdr.) van drie jaar. Maar op lange termijn versterkt zoiets wel je carrière. Mocht ik ergens solliciteren, dan staat die WPA2-ontdekking wel heel mooi op je CV. MATHY VANHOEF: We hebben in de eerste plaats bedrijven gecontacteerd waarvan we de producten zelf hebben getest, waaronder Microsoft, Google en Apple. In totaal hebben we een honderdtal mails met informatie uitgestuurd en reacties beantwoord. Maar we merkten al snel dat het onhaalbaar was om alle kwetsbare fabrikanten te contacteren. Daarom zijn we op advies van andere experts bij het CERT in de VS gaan aankloppen en zij hebben voor ons de belangrijkste bedrijven gecontacteerd. Gelukkig maar, want dat hadden we zelf niet allemaal kunnen doen. PIETERJAN VAN LEEMPUTTEN