"Gastnetwerk op wifi-routers biedt onvoldoende bescherming"
Verschillende wifi-routers bieden de mogelijkheid om een gastnetwerk op te zetten dat gasten of bepaalde apparaten mogen gebruiken, maar via dit netwerk kan een aanvaller gevoelige data van het hostnetwerk stelen. Dat melden onderzoekers van de Ben-Gurion University op basis van eigen onderzoek.
Voor het onderzoek werden routers van verschillende fabrikanten en prijsniveaus onderzocht en in alle gevallen was het mogelijk om de scheiding tussen het gastnetwerk en het hostnetwerk te overbruggen. De onderzoekers maakten hiervoor gebruik van "covert channels" die door het versturen van speciaal geprepareerd netwerkverkeer zijn uit te buiten.
Het gaat om twee soorten covert channels, namelijk directe en timing channels. In het geval van een direct covert channel wordt uitgewisselde data onbedoeld doorgestuurd tussen het host- en gastnetwerk. Bij de timing-aanvallen wordt er misbruik gemaakt van de gedeelde resources op de router, zoals cpu-tijd, netwerk en IPC-buffers. Informatie van het hostnetwerk kan zo bereikbaar zijn vanaf het gastnetwerk. Via het versturen van bepaalde DHCP-, ICMP- of ARP-pakketten kan een aanvaller proberen de data te bemachtigen.
De onderzoekers vonden in totaal negen beveiligingslekken in routers van TP-Link, D-Link, Edimax en Linksys die de covert channels mogelijk maken. De fabrikanten werden vervolgens in mei gewaarschuwd. Linksys liet echter weten dat het de kwetsbaarheden niet zal verhelpen en de andere fabrikanten gaven helemaal geen reactie. De onderzoekers stellen dan ook dat een hardwarematige oplossing die enige manier lijkt om gast- en hostnetwerken echt van elkaar te scheiden (pdf).
een daadwerkelijk probleem aan de kaak te stellen. "covert channels" hahaha. Dan zeggen ze er even niet bij dat er
op beide systemen al software voor moet zijn geinstalleerd. Dat heeft hetzelfde bullshitgehalte als communicatie via
geluidssignalen.
"lekken in routers" zijn alleen echte lekken als je gewoon een connectie kunt maken van het ene naar het andere
netwerk, bijvoorbeeld een http connectie.
Laten we ons vooral eerst focussen op echte problemen. Daar kunnen we ons veel beter iets aan doen.
Wel leuk gevonden, maar de gemiddelde gebruiker zal hier niet echt direct last van hebben.
Wat ik me afvraag is of dit lek ook betrekking heeft op gedeeld WiFi zoals FON en Ziggo WiFi Hotspots aanbieden.
En de verdere technische details, dat wachten we gewoon geduldig af.
Laten we ons vooral eerst focussen op echte problemen. Daar kunnen we ons veel beter iets aan doen.
Wel leuk gevonden, maar de gemiddelde gebruiker zal hier niet echt direct last van hebben.
Het aantonen van een mogelijkheid is voor een aantal slimmere hackers genoeg. Het komt regelmatig voor dat als de zwakheid op een laag niveau kan worden geregeld er binnen 2 maanden ook een stukje malware/virus voor is.
Als je dit schrijft dan heb je het ECHT niet begrepen! En daar sturen die zogenaamde onderzoekers ook op aan, de
mensen suggereren dat er een probleem is en dat "malafide hackers" daar wat mee kunnen.
Volkomen terecht dat Linksys zich daar niet door op de kast laat jagen! Het is gewoon niet hun taak om iets tegen dit
probleem te doen, iedereen moet gewoon zelf zijn PC vrij houden van malware.
Wat ik me afvraag is of dit lek ook betrekking heeft op gedeeld WiFi zoals FON en Ziggo WiFi Hotspots aanbieden.
En de verdere technische details, dat wachten we gewoon geduldig af.
Wat is gevonden is dat als op beide netwerken een computer met speciale software staat, er via het guest netwerk op dezelfde router data naar het "beschermde" netwerk kan worden verstuurd en omgekeerd. Dit is een kwetsbaarheid die door "een hacker" niet zonder meer misbruikt kan worden, maar hooguit voor data-exfiltratie/infiltratie kan worden gebriukt. Bedrijven die een SOHO routertje gebruiken maar wel een capabele DLP aan de andere kant van dat routertje hebben staan lijken me niet echt veel voor te komen. Vandaar, nogal een theoretisch risico dat vooral wordt veroorzaakt doordat er gebruik wordt gemaakt van dezelfde switch, DHCP server en router. Hierdoor worden ARP tabellen gedeeld en zijn ICMP pakketten te versturen van het ene netwerk naar het andere. De laatste, DHCP kan je misbruiken door een IP adres aan te vragen en het dan weer vrij te geven. Als je dan van de andere kant hetzelfde IP adres opvraagt, kan je zien of het vrij is of niet en daardoor informatie (1 bit per keer) uitwisselen.
In de praktijk zal er aan de internet kant van het routertje geen enkele check op data-exfiltratie plaatsvinden en kan de kwaadwillende zijn gegevens gewoon via dropbox, google drive enzovoorts uitwisselen.
Wat ik me afvraag is of dit lek ook betrekking heeft op gedeeld WiFi zoals FON en Ziggo WiFi Hotspots aanbieden.
En de verdere technische details, dat wachten we gewoon geduldig af.
Bij FON of Ziggo zou dit niet direct uitmaken, zoals ik het zie. De "router" of "Firewall" is daar dedicated in het DataCenter en dat is nu precies de oplossing die noodzakelijk is.
Het is ook mooi dat het gevonden is, zodat men andere producten hierop kan testen en eventueel fixes uitbrengen..
maar momenteel is het nog een erg theoretische.
Laten we ons vooral eerst focussen op echte problemen. Daar kunnen we ons veel beter iets aan doen.
Wel leuk gevonden, maar de gemiddelde gebruiker zal hier niet echt direct last van hebben.
Het aantonen van een mogelijkheid is voor een aantal slimmere hackers genoeg. Het komt regelmatig voor dat als de zwakheid op een laag niveau kan worden geregeld er binnen 2 maanden ook een stukje malware/virus voor is.
Maar de Intel processor security issues. Ik ben daar nog geen directe exploits van tegengekomen of iets over gelezen. Maar bijna iedereen heeft er last van.
Dat wil niet zeggen dat ze er niet zijn. Maar de normale consument heeft momenteel geen problemen en gewoon netjes gaan slapen.
een daadwerkelijk probleem aan de kaak te stellen. "covert channels" hahaha. Dan zeggen ze er even niet bij dat er
op beide systemen al software voor moet zijn geinstalleerd. Dat heeft hetzelfde bullshitgehalte als communicatie via
geluidssignalen.
"lekken in routers" zijn alleen echte lekken als je gewoon een connectie kunt maken van het ene naar het andere
netwerk, bijvoorbeeld een http connectie.
Verder wordt er gebruik gemaakt van hele normale commando's om de werking van het systeem te beïnvloeden. Door deze beïnvloeding kan men misbruik maken van het systeem.
Geen bulls**t en wel degelijk een probleem.
Als je dit schrijft dan heb je het ECHT niet begrepen! En daar sturen die zogenaamde onderzoekers ook op aan, de
mensen suggereren dat er een probleem is en dat "malafide hackers" daar wat mee kunnen.
Volkomen terecht dat Linksys zich daar niet door op de kast laat jagen! Het is gewoon niet hun taak om iets tegen dit
probleem te doen, iedereen moet gewoon zelf zijn PC vrij houden van malware.
En het is wel degelijk een probleem van de fabrikanten. Dat zij hier niets in zien om dit op te lossen, is een ander verhaal (centjes namelijk).
Dan ben ik benieuwd hoe zo'n hardwarematige oplossing er uit ziet. Extra WIFI-router op een DMZ-adres van de hoofd-router voor de gasten en de IoT-apparaten?
https://www.troyhunt.com/no-you-cant-join-my-wifi-network/:
Of course you could always just defer to your wireless access point’s guest network (if you have that capability — and many do not), that’s what it’s designed for, right? The basic premise is that a guest network is a logically isolated network for exactly what the name suggests – giving guests access. This keeps them separated from your primary network which is a good thing, except the implementation can be kind of sucky.
Toch maar veiliger een extra guest-router erbij dan maar.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
