Onderzoeker kraakt WPS-pincode wifi-netwerk in 1 seconde
Een Zwitserse onderzoeker heeft de aanval op WiFi Protected Setup (WPS) verder verfijnd, waardoor het nu mogelijk is om de WPS-pincode binnen 1 seconde te kraken. WPS is een manier waardoor gebruikers zonder veel kennis over netwerkbeveiliging toch WPA of WPA2 als encryptie kunnen instellen.
Hiervoor moet de gebruiker een pincode invoeren, die zich op de router of het access point bevindt. Een ontwerpfout in de WPS-specificatie voor de PIN-authenticatie zorgt ervoor dat de tijd om de pincode via een brute force-aanval te achterhalen drastisch wordt verminderd en in enkele uren is uit te voeren. Deze aanval werd eind 2011 door Stefan Viehbock ontdekt.
Berekening
De Zwitser Dominique Bongard heeft de aanval verder verfijnd, zodat de pincode niet meer via brute force wordt gekraakt, maar berekend wordt. Daardoor kan de code in een seconde worden achterhaald en is het niet meer nodig om een aantal uren te wachten voor het uitvoeren van een brute force-aanval, Het probleem is aanwezig in de implementaties van twee chipsetfabrikanten.
Het gaat om Broadcom en nog een andere fabrikant die Bongard pas zal noemen als het probleem is opgelost, laat de onderzoeker tegenover Ars Technica weten. Hij adviseert consumenten en organisaties in de tussentijd om WPS meteen uit te schakelen. Bongard demonstreerde de nieuwe aanval tijdens PasswordsCon in Las Vegas. Een video-opname is via YouTube te bekijken.
Meen overigens ook dat WPS bij bepaalde gebruikers aanstaat in de default instelling op het door hun uitgeleverde modem. Los nog even dat uitzetten soms niet inhoudt dat het ook daadwerkelijk uitstaat... Zorgelijk...
Ik heb WPS altijd uitgehad, maar bij mijn weten is het alleen nodig om de WPA2 instellingen door te geven. Na configuratie van het netwerk kun je WPS weer uit zetten.
De meeste routers hebben tegenwoordig een limiet op het aantal pogingen zodat er niets te bruut-forcen is. Als deze methode het echt kan uitrekenen, dan vraag ik me af of de huidige beveiliging wel werkt.
Heel zorgelijk. Ik kwam er dit weekend achter dat bij de Ziggo Ubee routers de UPnP optie altijd weer aan gaat na een stroomonderbreking, terwijl de settings aangeven dat het nog steeds uit staat. Als je het uit wilt houden moet je er dus aan denken dat je UPnP na elke stroomstoring even weer aan&uit zet. En nu maar hopen dat WPS niet een vergelijkbare bug heeft.
De echte cracker laat de scan gewoon uitvoeren als hij gaat pitten.
Bij opstaan genoeg accespoints om zijn ding mee te doen.
En als de router niet veilig is, dan is het wel iets anders.
Als je alles zo leest is gewoon alles super lek.
De ene patch na de andere, en dan komt er weer een nieuwe aan.
En zo is het met browsers hetzelfde verhaal.
Neem bijv. Firefox, dan gaat ook maar een kleine maand mee, en dan moet je weer updaten.
Ik vraag me zo langzaam af, welke O.S. en browser klein, stabiel en veilig is zonder constant te moeten updaten?
En dan liefs ook wat gebruiksvriendelijk.
Wil je Windows op de PC dan betaal je dus gewoon voor een super lek systeem.
Met auto's zouden we dat allemaal niet pikken want dan mochten ze niet eens de weg op.
Met computers en andere hardware is het gewoon schering en inslag.
Word de hoogste tijd dat men eens wat minder code gaat gebruiken i.p.v. duizenden regels die niet meer zijn te overzien.
Op vandaag moet het allemaal mooier, sneller, en met opties die de meeste mensen niet eens gebruiken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
