Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Opmerkelijke WPA3 perikelen

03-03-2019, 13:47 door Anoniem, 4 reacties
Vorig jaar (2018) kondigde men de nieuwe, beter beveiligde WiFi-standaard WPA3 aan.
https://www.security.nl/posting/545287/WPA3-protocol+moet+meer+security+en+privacy+gaan+bieden.
Een quote/highlight regel uit dit security.nl -artikel:
Deze nieuwe versie van het wifi-protocol die dit jaar zal verschijnen beschikt over vier nieuwe features voor wifi-netwerken.

Het gaat hier om een aangekondigd certificatieprogramma van de "Wi-Fi Alliance".
Als een WiFi-ondersteunend produkt voldoet aan de gestelde eisen voor WPA3 mag er een stempel op:
Wi-Fi CERTIFIED WPA3. Hiermee worden consumenten geïnformeerd dat het apparaat Wi-Fi gebruikt met deze nieuwe en veiligere WPA3-technologie.

Daarnet was ik even nieuwsgierig hoe het er nu eigenlijk mee staat.
Op Tweakers.net kan ik in ieder geval nog niet speciaal filteren op routers met "WPA3" o.i.d.
Toch zijn er wel al WPA3-routers te koop, bijv. van Synology en Netgear.
Wel is er onlangs een standaard bijgekomen genaamd IEEE 802.11ax.
Verder wordt dit jaar ook IEEE 802.11ay verwacht.
Eind dit jaar zal er waarschijnlijk al wel een grote uitrol aan deze produkten zijn geweest.
Toch zijn deze standaarden niet per sé identiek aan WPA3!
De omschrijving van deze standarden is "High Efficiency Wireless". Het gaat dus om snellere WiFi, en duidt niet noodzakelijk meteen ook op het veiligere WPA3-protocol!
Mogelijk volgt er later nog een WPA3-firmware update, maar als dit niet duidelijk van tevoren door de fabrikant is aangegeven bestaat hierover helemaal geen zekerheid.

En nu komt het:
Wi-Fi Certified WPA3 is hoogst waarschijnlijk slechts de implementatie van de zgn. Dragonfly handshake!

Huh, wat? Wat krijgen we nou??? Met WPA3 zouden we toch 4 betere Wi-Fi beveiligingen krijgen?
Neeheee mensen, dat is kennelijk verkeerd begrepen of achteraf te simpel bevonden.
Als we tenminste afgaan op het artikel van de welbekende Mathy van Hoef
https://www.mathyvanhoef.com/2018/06/wpa3-missed-opportunity.html.

Uw "Wi-Fi Certified WPA3"-router gaat dus naar alle waarschijnlijkheid alleen maar profiteren van een beter beveiligde handshake! (hoewel dit is overigens denk ik wel het meest kwetsbare punt van WPA2 momenteel, waardoor deze uitgezonden keys gemakkelijk kunnen worden gekopieerd en vervolgens met razendsnelle woordenboekaanvallen uw WiFi-wachtwoord kan worden bepaald.


En de andere drie verbeteringen dan?

Die zijn blijkbaar in andere certificatieprogramma's ondergebracht onder de volgende labels:
1. Wi-Fi Certified Easy Connect Program (= gemakkelijk en veilig apparaten aan het netwerk toevoegen, d.w.z. dit is in wezen de vervanging van het onveilige WPS ("WiFi-Protected Setup").

2. Wi-Fi Certified Enhanced Open program (= verbeterde security voor open hotspots)

en ten slotte 3:
Dit betreft een (deels optionele) beveiligingsverbetering d.m.v. een langere versleuteling (langere keys).
Want het is alleen vereist in geval van WPA3-Enterprise configuraties,
(waarbij men dus inlogt met een usernaam/wachtwoord op een Radius server).

Betere beveiliging door verlenging van keys is dus niet van toepassing op de zgn. "preshared key" zoals op gebruikelijke thuisnetwerken.

(en zo moet men dus altijd weer goed blijven opletten en nadenken)

cluc-cluc
Reacties (4)
04-03-2019, 09:14 door Anoniem
Wat is nu concreet je vraag?
04-03-2019, 09:58 door Anoniem
Door Anoniem: Wat is nu concreet je vraag?
Ik heb werkelijk geen idee. Is ook een lastig te lezen stukje. Zonder vraag, conclusie of mogelijke discussie?

Lijkt er meer op dat iemand het ergens niet mee eens is, en zijn mening even ergens kwijt wilt, en daarvoor security heeft gekozen....
04-03-2019, 13:14 door Anoniem
Door Anoniem: Wat is nu concreet je vraag?
Het artikel is voornamelijk informatief, en mogelijk om van te leren.
Wat vind jij ervan dat nieuwe thuisrouters met WPA3 niet de eerder beloofde 4 nieuwe beveiligingen zullen hebben,
maar misschien maar één of twee?

Het punt is:
De huidige WiFi-standaard, WPA2, bevat steeds meer kwetsbaarheden waarmee tamelijk eenvoudig kan worden ingebroken op je thuisWiFi. Bijvoorbeeld om daar informatie te stelen, je te bespioneren, je te besmetten, je systeem onklaar te maken of data te currumperen. Dat mag weliswaar niet (behalve onder bepaalde voorwaarden door de overheid), en ik zie zelf geen reden om het te doen. (computervredebreuk)
Maar toch: wie ziet of controleert of een bepaalde persoon dit uitspookt?

De meest in het oog springende kwetsbaarheid van WPA2 vind ik wel die van het afvangen van een stukje openbare WiFi-communicatie (de zgn. handshake) waaruit men dankzij de zeer snelle hardware van tegenwoordig je WiFi-wachtwoord kan afleiden. Er bestaan zelfs diensten waarbij je tegen betaling van een luttel bedrag dit kan laten doen als je zelf de handshake-informatie afvangt en aandraagt. Hoe? Staat allemaal op het web, kind kan de was doen.

Er is al eens uitvoerig over gediscussieerd en geschreven in https://www.security.nl/posting/458926/Is+WPA2+en+AES+nu+wel+veilig%2C+of+niet%3F.
Wel zijn de inschattingen van poster "Goeroehoedjes" in https://www.security.nl/posting/460653 (= 3 jaar geleden) wel weer achterhaald: door nieuwe hardware en nieuw technologisch ontwerp is men in staat het WiFi-wachtwoord nu vele malen sneller te bepalen. Daarbij zijn er sindsdien nieuwe kwetsbaarheden bijgekomen. https://www.security.nl/search?keywords=WPA2&c%5B%5D=1&c%5B%5D=3

Wat je dan niet graag hoort, is dat WPA3 geen 4 nieuwe WiFi-beveiligingen zal toevoegen aan je thuisrouter,
maar vermoedellijk slechts eentje. Weliswaar een belangrijke beveiliging, maar er had wel wat meer mogen gebeuren.
04-03-2019, 15:48 door Anoniem
Door Anoniem: Wat is nu concreet je vraag?

Niet alle forum posts hoeven vragen te bevatten. Ik vind het een informatief stuk. Als je al wat weet van wireless security, dan is het prima te lezen. Ik heb in ieder geval weer wat bijgeleerd, waar ik de poster bij deze voor bedank.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.