Ett allvarligt säkerhetshål som berör trådlösa nätverk (WiFi) publicerades i måndags 16/10. Mer specifikt handlar det om flera brister i säkerhetsprotokollet WPA2 som i dagsläget används för nästintill all trådlös nätverkstrafik.
Omfattning
Sveriges nationella Computer Security Incident Response Team, CERT-SE, publicerade under måndagen en artikel om sårbarheten och kategoriserar den som allvarlig:
En angripare som befinner sig inom räckhåll för det trådlösa nätverket kan utnyttja sårbarheterna [för att] läsa information som borde ha varit krypterad. I vissa fall kan det också vara möjligt att förändra eller lägga till data, exempelvis skadlig kod, över förbindelsen.
Alla enheter som använder den aktuella tekniken kan drabbas.
Detta kan göras för att förhindra eller mildra en attack
AV ANVÄNDARE
- Uppdatera programvara
Både klienter såsom bärbara datorer, mobiltelefoner och surfplattor såväl som trådlösa accesspunkter och servrar behöver uppdateras. Flera leverantörer såsom Microsoft, Cisco med flera har redan påbörjat arbetet med att ta fram och publicera säkerhetsuppdateringar. Det är mycket viktigt att dessa uppdateringar installeras på respektive enhet. Håll utkik efter uppdateringar som aviseras på respektive enhet och installera dem skyndsamt när möjligheten ges.
- Inaktivera WiFi
Det effektivaste sättet att motverka en attack är att inaktivera WiFi och istället använda en kabelanslutning såsom en nätverkskabel från din dator till ett nätverksuttag. Androidtelefoner är särskilt utsatta och du bör därför inaktivera WiFi till dess att leverantören meddelat att en uppdatering har installerats.
- Använd VPN
I väntan på en säkerhetsuppdatering kan man begränsa omfattningen av en attack genom att använda en VPN-anslutning.
- Använd HTTPS
Säker internettrafik, så kallad HTTPS, ger ytterligare en nivå av säkerhet utöver den som WPA2 ger. Genom att begränsa ditt surfande till webbplatser som stödjer HTTPS kan du minska omfattningen av en an attack. I vissa fall kan det vara nödvändigt att manuellt mata in https:// istället för http:// i adressfältet.
- Var uppmärksam och bortse inte från varningar
Du ska alltid, men i synnerhet i väntan på en säkerhetsuppdatering, vara uppmärksam på vilken webbplats som du landar på. Var särskilt uppmärksam på:
-Att det finns ett hänglås i adressfältet eller att det står https://
-Att adressen i adressfältet stämmer överens med vad som förväntas
-Att inga röda kryss, varningsrutor eller andra typer av varningar dyker upp. Klicka dig aldrig förbi en varningsruta!
- Använd mobildata istället för WiFi
Internettrafik som går via mobilnätet (3G/4G) påverkas inte av säkerhetshålet. Du kan alltså stänga av WiFi på din mobiltelefon, surfplatta och i vissa fall din dator och istället använda enhetens mobila anslutning. Du ska INTE skapa en trådlös accesspunkt eller ”personal hotspot” från din mobila enhet till andra enheter eftersom det introducerar hotet på nytt. Du kan däremot använda en USB-sladd eller Bluetooth för att ansluta exempelvis din bärbara dator.
- Säkerställ korrekt konfiguration av accesspunkter
Kontrollera att alla accesspunkter använder WPA2 med CCMP-AES-kryptering. Andra alternativ som TKIP och GCMP drabbas hårdare vid en potentiell attack. Med andra ord, fortsätt använda WPA2 med CCMP-AES. Undvik svagare alternativ som ett öppet nätverk eller WEP.
AV SYSTEMÄGARE
Utöver de åtgärder som beskrivits i föregående avsnitt bör följande åtgärder övervägas:
- Följ organisationens incidenthanteringsprocess
Ta hjälp av den befintliga incidenthanteringsprocessen. Om drabbat system har en etablerad kontinuitetsplan bör denna följas, i synnerhet avseende begränsande, mitigerande och alternativa åtgärder.
- Prioritera inbyggda system, Android- och Linuxenheter
Sannolikheten att automatiska uppdateringar når inbyggda system är låg. Därför bör begränsande, mitigerande och alternativa åtgärder övervägas tidigt. Android- och Linuxenheter är särskilt utsatta av sårbarheten och bör därför hanteras på samma sätt.
- Håll dig uppdaterad om tekniska detaljer
Den mest uppdaterade och kompletta informationen finns på webbplatsen som tillägnats säkerhetshålet, https://www.krackattacks.com/. Utöver en video-demonstration och vanliga frågor och svar (Q&A) finns även en forskningsrapport som i detalj beskriver hur angreppen går till. Vid arbetet med att införa rättningar bör du stämma av mot de ”common vulnerabilities and exposures” (CVE) som listats på någon av ovan nämnda adresser. US-CERT har skapat en sida tillägnat attacken mot WPA2 som fått rubriceringen VU#228519. Innehållet, som är mer omfattande än vad som publicerats av CERT-SE, finns på https://www.kb.cert.org/vuls/id/228519. På sidan finns också länkar till tillkännagivanden och information om säkerhetsuppdateringar från flera leverantörer.
- Använd kryptering på transportlagret
Genom att använda kryptering på transportlagret, det vill säga protokoll med ett extra lager av kryptering såsom HTTPS, SSH och andra protokoll som använder implementationer av SSL/TLS, kan du minska omfattningen av en potentiell attack. Överväg om den ökade säkerheten överväger riskerna med minskad insyn och kontroll av IDS- och/eller IPS-system.
- Inaktivera repeaterfunktionalitet (WDS) och Fast Roaming (802.11r) i accesspunkter
Kontrollera om infrastrukturen använder repeater- eller Fast Roamingfunktionalitet och överväg att inaktivera dessa om så är fallet.
Råd framtagna av
Thomas Edoff
Säkerhetskonsult på Knowit