Beheer

Security
Dragonblood logo

WPA3: beter beveiligd maar niet veilig?

Wi-Fi security zet 2 stappen vooruit, maar door implementatiefouten eerst nog 1 terug.

26 april 2019

Wi-Fi security zet 2 stappen vooruit, maar door implementatiefouten eerst nog 1 terug.

Verbeterde versleuteling voor draadloze netwerken is geen overbodige luxe. Het oude WPA2 is eind 2017 kraakbaar bevonden door een fundamentele kwetsbaarheid in het protocol. Patches zijn gevolgd, maar niet voor alles en iedereen. WPA3 belooft betere beveiliging, maar blijkt dat in eerste instantie niet voor elke opstelling waar te maken. Implementatiefouten in de ene WPA3-variant maken wachtwoordonderschepping mogelijk.

De beveiliging van draadloos netwerkverkeer is al zo’n beetje sinds de opkomst van Wi-Fi een punt van zorg. De ene na de andere kraak heeft versleuteling van achtereenvolgende standaarden geraakt. Jaren terug bleek WEP (Wired Equivalent Privacy) al niet bepaald equivalent te zijn aan de beveiliging die bedraad netwerkverkeer biedt. Vervolgens kwam WPA (Wi-Fi Protected Access), om ook voor de bijl te gaan. Opvolger WPA2 is (eind 2017) hetzelfde lot ondergaan.

Theorie ontmoet praktijk

Nieuwkomer WPA3 moet de beveiliging van Wi-Fi naar een hoger plan tillen. Bij het ontwerp van WPA3 is rekening gehouden met aanvalsmethodes om wachtwoorden voor de versleuteling te kraken. De next-gen encryptiestandaard voor Wi-Fi moest bestand zijn tegen de meeste manieren om wachtwoorden te stelen, om dan draadloos verkeer af te tappen of te manipuleren. Tot zover de theorie.

Vanaf juni vorig jaar is officiële certificering begonnen van apparatuur die conformeert aan de WPA3-standaard. De verantwoordelijke Wi-Fi Alliance is echter ná het ontwikkelen en uitbrengen van de verbeterde beveiliging geconfronteerd met de beperkingen van gesloten ontwikkeling. Pas nadat WPA3 ‘op de markt’ is gebracht, konden externe experts er een keurende blik op werpen. Om te zien of de beloofde beveiliging wel voldoet.

Drakenbloed

En wat blijkt? In de praktijk valt er toch wat af te dingen op de veiligheid van WPA3. Tenminste, in bepaalde opstellingen. Wachtwoorden zijn wel degelijk te kraken, waarbij verschillende aanvalsscenario’s mogelijk zijn. Security-onderzoekers van de KU Leuven en Tel Aviv University (Eyal Ronen), plus de New York University Abu Dhabi (Mathy Vanhoef) hebben dit ontdekt.

De gevonden gaten in WPA3 zijn gevoegd onder de klinkende naam Dragonblood. Die naam voor de meerdere ontdekte kwetsbaarheden is afgeleid van de kwetsbaar bevonden sleuteluitwisseling SAE (Simultaneous Authentication of Equals) die ook wel Dragonfly wordt genoemd. SAE is bij WPA3 de vervangver van PSK-protocol (Pre-Shared Key) bij WPA2.

Verantwoorde melding

“De Wi-Fi Alliance heeft recent WPA3 aangekondigd als de veiligere opvolger van WPA2”, schrijven de wetenschappers in de uitgebreide whitepaper die ze in april dit jaar hebben gepubliceerd. Hun gebruik van het woord ‘recent’ voor het vorig jaar verschenen WPA3 komt wat vreemd over, maar valt te verklaren uit het feit dat er sprake is van enige ‘vertraging’.

De bevindingen van onveiligheid zijn namelijk enige tijd terug al gemeld, zodat er wat aan gedaan kan worden. Concreet: dat de beveiliging van WPA3 kan worden gefixt. “We hebben samengewerkt met de Wi-Fi Alliance en CERT/CC [het CERT Coordination Center van het nonprofit Software Engineering Institute - red.] om alle geraakte leveranciers te informeren op een gecoördineerde wijze”, legt de whitepaper uit over deze responsible disclosure van de kwetsbaarheden in WPA3.

Hierbij is niet slechts bij informeren over gaten gebleven. De onderzoekers hebben ook geholpen om terugwaarts compatibele tegenmaatregelen te ontwikkelen en implementeren. De Wi-Fi Alliance wist in april, bij de openbaarmaking van de whitepaper, te melden dat betrokken leveranciers van Wi-Fi apparatuur “al zijn begonnen met het uitrollen van patches” om de ontdekte kwetsbaarheden te fixen.

Voordat het te groot is

“We hopen dat ons werk de uitrol van WPA3 beïnvloedt voordat het wijdverbreid wordt en moeilijk om te patchen”, verklaren de ontdekkers. Terwijl de Wi-Fi Alliance in zijn persbericht van april spreekt van een “klein aantal device manufacturers” biedt CERT/CC duiding voor de omvang van het WPA3-probleem.

De lijst van 224 leveranciers van WPA3-apparatuur bevat 3 stuks die geraakt zijn door de ontdekte kwetsbaarheden. Dit zijn Broadcom, FreeRADIUS en Synology. Daarnaast zijn 29 leveranciers niet geraakt. Maar van de overige ICT-bedrijven is nog onbekend of Dragonblood impact heeft. In totaal zijn er zes verschillende kwetsbaarheden aan de orde, die elk een bijbehorende CVE-code hebben gekregen.

In tegenstelling tot wat sommige van de in april gepubliceerde nieuwsberichten hebben gesteld, gaat het niet om fundamentele onveiligheid van WPA3 zelf. Het gaat weliswaar om essentiële uitwisseling van te gebruiken encryptiesleutels voor Wi-Fi wachtwoorden, maar de duivel zit in de details. Zoals wel vaker bij security.

Persoonlijk, niet zakelijk

De kwetsbaarheden komen voort uit fouten in de eerste implementaties van de nieuwe beveiligingsstandaard voor draadloze netwerken. En dan betreft het niet eens WPA3 over de hele linie. Dragonblood is van toepassing op de Personal-variant van de nieuwe beveiligingsstandaard, en niet op de beter beveiligde Enterprise-variant.

De Wi-Fi Alliance spreekt van “vroege implementaties”, waarbij kwetsbare apparaten “bepaalde cryptografische bewerkingen niet goed implementeren, of ongeschikte cryptografische elementen gebruiken”.

De belanghebbende organisatie, met leveranciers wereldwijd als leden, stelt gerust met de mededeling dat de uitrol van WPA3-Personal zich nog in de beginfases bevindt. Er zijn dus nog niet zoveel apparaten op de markt, laat staan in gebruik, waar Dragonblood vanaf druipt. “Deze issues zijn allemaal te mitigeren door software-updates”, verzekert de Wi-Fi Alliance nog.

Daarbij wordt ook de belofte gedaan dat de benodigde fixes, in de vorm van firmware-updates, geen impact hebben op de mogelijkheid van verschillende apparaten om samen te werken. Merk A en merk B, Dragonblood-bestendig en Dragonblood-gefixed, alle apparatuur met WPA3 is en blijft compatibel, aldus de alliantie van fabrikanten.

Praktisch uitvoerbaar

Ook uit de industriegroep de an sich correcte, maar tijdsgebonden geruststelling dat er geen bewijs is dat deze kwetsbaarheden zijn misbruikt. Dat is op het moment van schrijven, begin april 2019, zeer waarschijnlijk waar. Maar misbruik is een kwestie van tijd, en gelegenheid. Wat laatstgenoemde betreft, wordt het gevaar wat vergroot doordat de wetenschappers geen theoretische fouten hebben gevonden, die mogelijk zijn te misbruiken.

Software-updates zijn aan de orde, want de onderzoekers die WPA3 aan de tand hebben gevoeld, zijn grondig geweest. Ze hebben hun bevindingen uitgewerkt om te komen tot praktische aanvalsmethodes, en bieden daarvoor een viertal tools (Dragonslayer, Dragondrain, Dragontime en Dragonforce).

Een WPA3-wachtwoord van acht tekens in kleine letters valt met een brute-force aanval te kraken, voor zo’n 125 dollar aan cloud-rekenvermogen bij AWS EC2. Geen goede vertoning voor een beveiligingsprotocol dat specifiek is ontworpen om zogeheten dictionary-aanvallen te weerstaan.

Fixbaar

Gelukkig staat er tegenover dit slechte nieuws ook goed nieuws. Een wijziging in het SAE-algoritme kan deze specifieke fout corrigeren. “Noemenswaardig is dat bijna al onze aanvallen zijn gericht op SAE’s methode voor wachtwoordcodering”, schrijven de ‘WPA3-krakers’ in hun whitepaper. Zij stellen dat een eenvoudige verandering in dat algoritme de meeste Dragonblood-aanvallen kan voorkomen.

Hierbij geven de ontdekkers ook concrete tips, zoals het uitsluiten van MAC-adressen voor het SAE-algoritme. Dit levert diverse voordelen op ten gunste van de beveiliging, zoals het beperken van informatielekkage over het versleutelde wachtwoord. Daarnaast ontneemt deze kleine maatregel aanvallers de mogelijkheid om wachtwoordversleuteling af te dwingen - met als doel dat dan te kraken.

Mitsen en maren

Toch is er nog een puntje slecht nieuws: security heeft een prijs, bij encryptie veelal betaald in rekenkracht. De onderzoekers uiten de onderbouwde inschatting dat apparaten met beperkt vermogen mogelijk niet alle tegenmaatregelen voor Dragonblood zullen implementeren. Deze zouden namelijk te veel zijn voor lichtgewicht processoren in zogeheten resource-constrained devices.

Een andere minpunt is het feit dat correcte implementatie van sommige tegenmaatregelen niet zo makkelijk zijn uit te voeren, aldus de auteurs van de Dragonblood-whitepaper. De harde eindconclusie van de whitepaper is dan ook dat WPA3 niet de lat haalt van een modern securityprotocol. Terwijl dat wel had gekund.

De ontdekte kwetsbaarheden in - en daardoor mogelijke aanvallen op - sommige van de eerste WPA3-implementaties waren vermijdbaar. Als de ontwikkeling van WPA3 (en de certificering daarvoor) minder gesloten was uitgevoerd door de Wi-Fi Alliance, oordelen de security-onderzoekers.

KRACK

Saillant detail nog is dat deze wetenschappers dezelfde experts zijn die eerder WPA2 onderuit hebben gehaald; met hun KRACK. Securityresultaten uit het verleden kunnen wat zeggen over de toekomst. Toch gloort er hoop: “Hoewel WPA3 zijn fouten heeft, beschouwen we het nog altijd als een verbetering ten opzichte van WPA2.” De nieuwe beveiliging voor Wi-Fi is beter dan zijn voorganger.

Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.