ArtikelfilterWPA gekraakt
Twee beveiligingsonderzoekers zeggen een manier gevonden te hebben om de wpa encryptiestandaard voor wifi te omzeilen. Onderzoeker Eric Tews zal volgende week met een demonstratie te komen, al blijft het directe gevaar voorlopig beperkt.
Dat is bekend gemaakt door de organisatie van PacSec, de Aziatische zusterconferentie van EUSecWest, die volgende week in Tokio plaatsvindt. Over de methode van hackers Erik Tews en Martin Beck is aangekondigd dat ze de TKIP (Temporal Key Integrity Protocol) in twaalf tot vijftien minuten kunnen omzeilen. Voorheen werd TKIP alleen gekraakt met uitgebreide dictionary-aanvallen, waarvoor veel tijd en middelen nodig is.
Met de hack kunnen gegevens van router naar systeem worden onderschept, en valse gegevens naar de router worden verstuurd. Tews en Beck zullen de methode gebruiken om de router een berg aan gegevens terug te sturen, wat een daadwerkelijke hack zou moeten vereenvoudigen. Daarnaast gebruiken de twee een 'wiskundige truc' om verdere kraakpogingen sneller uit te voeren.
Een voorproefje is al beschikbaar in de vorm van het testgereedschapje Aircrack-ng, ontwikkeld door Martin Beck. Op het moment van schrijven is dit nog niet in de changelog opgenomen.
Het directe gevaar wordt voorlopig afgewend omdat de twee de versleuteling van de data van systeem naar router niet gekraakt hebben. wpa2, de modernere editie van wpa, is niet vatbaar voor de aanval. Daarmee zijn alleen oudere netwerkkaarten, of kaarten ingesteld met wpa, eventueel kwetsbaar. Ondersteuning voor WPA2 is sinds 2006 verplicht voor 'wifi certified-' apparatuur.
Toch kan de hack grote consequenties hebben, zo beweert PacSec organisator Dragos Ruiu tegenover de nieuwsdienst van Techworld-uitgever IDG. “Dit is nog maar het begin”, stelt Ruiu dramatisch. “Erik en Martin hebben zojuist een nieuwe speeltuin voor hackers geopend.”
WPA is de vervanger van WEP, Wired Equivalent Privacy, dat door zijn lekken als 'deprecated' (verouderd) wordt beschouwd. Tews heeft het met een onderzoeksgroep in 2007 al eens klaargespeeld om WEP in drie seconden te kraken.
Buitenlands nieuws
- 03 september 15:00 – The state of the scripting universe
- 11 juni 17:04 – Mobile operators claim falling data roaming prices in Europe
- 10 juni 23:56 – Microsoft hires anti-phishing crusader
- 09 juni 11:18 – Samsung launches iPhone-like Omnia handset
- 06 juni 11:56 – Do geeks make good jurors in tech cases? Not always
