De Digitale Media van 23 oktober 2017

Onderwerpen:

  • Snelgroeiend botnet richt zich op kwetsbare internet-of-things-apparaten
  • Krack-aanval treft alle moderne wifinetwerken door lek in wpa2-standaard

Snelgroeiend botnet richt zich op kwetsbare internet-of-things-apparaten

Bron: Tweakers Twee beveiligingsbedrijven waarschuwen voor een snelgroeiend botnet dat bestaat uit kwetsbare internet-of-things-apparaten, bijvoorbeeld ip-camera’s. Volgens een van de bedrijven gebruikt de betreffende malware delen van de Mirai-broncode.

Het Chinese Qihoo 360 schrijft dat de malware echter niet zoals Mirai zwakke wachtwoorden misbruikt om apparaten te infecteren, maar alleen gebruikmaakt van verschillende kwetsbaarheden. Zo richt het zich op iot-apparaten van onder meer D-Link, Netgear en Linksys. Beveiligingsbedrijf Check Point noemt deze merken ook, maar benoemt verder bijvoorbeeld Synology, MikroTik en TP-Link. Het bedrijf schrijft alleen dat het botnet snel groeit, terwijl het andere bedrijf preciezere cijfers claimt te hebben.

Mirai (Japanese for “the future”) is malware that turns networked devices running Linux into remotely controlled “bots” that can be used as part of a botnet in large-scale network attacks. It primarily targets online consumer devices such as IP cameras and home routers. The Mirai botnet was first found in August 2016 by MalwareMustDie, a whitehat malware research group, and has been used in some of the largest and most disruptive distributed denial of service (DDoS) attacks, including an attack on 20 September 2016 on computer security journalist Brian Krebs’s web site, an attack on French web host OVH, and the October 2016 Dyn cyberattack.

Zo zijn er dagelijks meer dan 10.000 bots online die beheerd worden door één c2-server, terwijl er verschillende van dat soort servers zijn. Verder zouden er twee miljoen kwetsbare apparaten bij die server in de queue staan om geïnfecteerd te worden. Of dat ook bij alle apparaten lukt, meldt het bedrijf niet. Het botnet zou zich nog in een vroeg stadium bevinden en de maker zou maatregelen nemen om niet te agressief het internet te scannen om detectie te vermijden.

Ook past hij de code van de malware actief aan en voegt hij exploits voor nieuwe kwetsbaarheden toe. Momenteel zou de malware negen kwetsbaarheden gebruiken om zich verder te verspreiden. Qihoo 360 heeft het botnet de naam IoT_reaper gegeven. Het zou tot nu toe nog geen ddos-aanvallen hebben uitgevoerd, maar dat behoort wel tot de mogelijkheden. Het Mirai-botnet, dat eveneens uit kwetsbare iot-apparaten bestaat, voerde ongeveer een jaar geleden een grote ddos-aanval uit op dns-provider Dyn.

Krack-aanval treft alle moderne wifinetwerken door lek in wpa2-standaard

Bron: Tweakers – Onderzoekers hebben maandag de details van de Krack-aanval gepubliceerd. Uit het onderzoek blijkt dat de aanval een risico vormt voor alle moderne wifinetwerken en dat Android- en Linux-apparaten het zwaarst zijn getroffen.

De onderzoeker die verantwoordelijk is voor de ontdekking van het lek, Mathy Vanhoef van de KU Leuven, heeft zijn bevindingen beschreven in een paper en op een speciale site gezet. Daar meldt hij dat het gaat om een kwetsbaarheid in wpa2, waarbij de Krack-aanval zich richt op de zogenaamde 4-way handshake, die wordt uitgevoerd als iemand verbinding met een wifinetwerk wil maken. Deze stelt een aanvaller in staat om gevoelige informatie te onderscheppen, zoals wachtwoorden en e-mailberichten. Dat is voornamelijk een risico bij onversleutelde http-verbindingen, al zijn er volgens Vanhoef ook risico’s voor https omdat in het verleden is gebleken dat ook deze techniek te omzeilen is. De onderzoeker demonstreert echter geen aanval op https. Het achterhalen van het wifiwachtwoord is niet mogelijk.

Bij de aanval gaat het om een key reinstallation attack. Zodra een client, bijvoorbeeld een smartphone, verbinding wil maken met een wpa2-netwerk, krijgt hij een encryptiesleutel nadat de derde stap van de 4-way handshake is afgerond. Deze sleutel gebruikt de client om informatie te versleutelen. Als het accesspoint, bijvoorbeeld een router, geen bevestiging ontvangt dat de client de sleutel heeft gekregen, stuurt hij hem opnieuw. Elke keer dat de client een dergelijk bericht ontvangt, installeert hij dezelfde sleutel opnieuw. Daarbij worden een pakketnummer of ‘nonce’ en de receive replay counter steeds opnieuw ingesteld. Volgens Vanhoef is de versleuteling van de verbinding aan te vallen door het derde bericht van de 4-way handshake te onderscheppen en opnieuw te verzenden. Hierdoor kan een aanvaller het hergebruik van een nonce afdwingen. Daarvoor is wel een man-in-the-middle-positie vereist, waarbij de aanvaller een kopie van een accesspoint op een ander kanaal opzet die hetzelfde mac-adres heeft.

In een interview, 3 dagen na de publicatie van het lek, interviewde Datanews de ontdekker van het lek, Mathy Vanhoef. Uit de antwoorden valt op te maken dat de meesten thuis weinig te vrezen hebben. Vanhoef: “De belangrijkste fouten zitten in de clients: je smartphone en laptop. Als je zorgt dat die apparaten up-to-date zijn dan ben je normaal al veilig. Maar als je smartphone of laptop geen updates krijgt, blijven deze kwetsbaar aan de aanval en dat is wel problematisch. Ook al heb je een oude router die niet meteen updates krijgt, dan nog verwacht ik niet meteen een risico.”

Daardoor is het bijvoorbeeld mogelijk om pakketten opnieuw te verzenden of te ontsleutelen als aes-ccmp-encryptie wordt toegepast. Verder zijn tcp-syn-pakketten te ontsleutelen, waardoor een tcp-verbinding over te nemen is. Dit betekent dat bij gebruik van aes-ccmp uiteindelijk kwaadaardige code geïnjecteerd kan worden. Bij gebruik van wpa-tkip of gcmp is het ook mogelijk om pakketten te injecteren en te vervalsen.

De aanval zou ook grote gevolgen hebben voor Linux- en Android-apparaten. Die zouden in veel gevallen gebruikmaken van de wificlient wpa_supplicant, die vanaf versie 2.4 kwetsbaar is voor de aanval. Door de aanval kunnen clients gedwongen worden een encryptiesleutel te gebruiken die alleen uit nullen bestaat, aldus Vanhoef. Daardoor is draadloos netwerkverkeer eenvoudig te onderscheppen en te wijzigen. Alle Android-toestellen met versie 6.0 of hoger van het mobiele besturingssysteem zouden kwetsbaar zijn. Windows en iOS zijn niet kwetsbaar via een aanval op de 4-way handshake, maar wel via de group key handshake, waardoor een aanvaller bepaalde frames kan herhalen.

Vanhoef legt uit dat de aanval zich voornamelijk op clients richt in plaats van op accesspoints. Niet alleen wpa en wpa2 zijn kwetsbaar, maar onder meer ook PeerKey en tdls. Het uitvoeren van patches zou op een backwards compatible manier mogelijk zijn, waardoor het niet nodig is om wpa2 in zijn geheel te vervangen. Zo zou een gepatchte client bijvoorbeeld nog wel met een ongepatcht accesspoint kunnen communiceren, illustreert Vanhoef. Het overstappen naar wep in afwachting van patches is een slecht idee, omdat die techniek al geruime tijd niet meer veilig is. De onderzoekers stelden fabrikanten rond 14 juli op de hoogte van hun bevindingen. Daardoor zouden patches al redelijk snel uit moeten kunnen komen. Voor thuisgebruikers zou de nadruk moeten liggen op het patchen van clients en niet van routers.

Advertenties

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s