WPA2 Krack

Deze week was iedereen in de ban van WPA2 Krack, de (Belgische) hack in het WPA2-protocol. Er was de nodige paniek en vendors maakten overuren om toch maar snel patches te hebben voor dit lek. Nochtans is er een oplossing die een deel van het probleem kan oplossen: je HTTPS-verbinding correct instellen.

Wat is WPA2 Krack?

Voor wie nog niet zou weten waar WPA2 Krack over gaat, vatten het het héél kort samen. WPA2 is een protocol dat je Wifi-netwerk beveiligt. Het is gebaseerd op het principe van publieke en private sleutels met een viervoudige handshake om een beveiligde verbinding op te zetten. Net in die handshake heeft de Leuvense onderzoeker Mathy Vanhoef van imec-DistriNet een lek ontdekt dat toelaat om in te breken op je Wifi en mee te volgen welke data – ook inloggegevens en wachtwoorden dus – je over je netwerk verstuurt en ontvangt.

HTTPS als remedie tegen WPA2 Krack

Goede veiligheid bestaat altijd uit meer dan één slot en één deur. Wij gaan altijd uit van het principe dat ieder slot wel eens kan gekraakt worden. De kans dat meerdere sloten tegelijk gekraakt kunnen worden, is echter een pak kleiner. Daar is de WPA2 Krack niet anders in.

SSL kan een oplossing bieden. HTTPS zorgt er voor dat de verzending en ontvangst van data tussen jou en de uiteindelijke webserver versleuteld is. We gebruiken HTTPS om ons punt te maken, maar onze oplossing geldt evenzeer voor protocollen als SMTP, FTP, POP3, enz.

Mathy Vanhoef gebruikte een Man In The Middle (MITM)-aanval met SSLStrip. Dat is een tool die aan de webserver en je browser de opdracht geeft om niet versleuteld te werken, maar naar het niet beveiligde http-protocol over te schakelen. Vervolgens kan de MITM alle data mee capteren.

Als hostingexpert willen we erop wijzen dat er een methode bestaat om te verplichten dat de verbinding toch versleuteld blijft. In het geval van webverkeer is dat HTTP Strict Transport Security (HSTS). HSTS is net een beveiligingsmechanisme om HTTPS-websites te beschermen tegen dit soort downgrade attacks. Het zorgt ervoor dat webservers altijd eisen dat webbrowsers enkel beveiligde HTTPS-verbindingen gebruiken, en nooit het onveilige HTTP-protocol.

Toch niet zo simpel?

We raden je wel aan om even een aantal dingen te checken voor je naar de config van je webserver surft om HSTS in te schakelen. HSTS verplicht elke browser immers om gedurende een bepaalde periode enkel nog HTTPS te aanvaarden. Maar als je website slecht geconfigureerd of ontworpen is en niet 100% lekker draait op HTTPS, heeft de aanpassing meteen een enorme impact. De browser van je bezoeker heeft immers de opdracht gekregen enkel nog HTTPS te aanvaarden, ook al zet jij intussen HSTS terug uit.

Daarom is ons belangrijkste advies: praat hierover met ons. We kunnen samen met jou onderzoeken wat de exacte gevolgen zijn. Als het een haalbare kaart is, krijg je van ons meteen groen licht. Maar we willen er graag voor zorgen dat zo’n aanpassing geen impact heeft voor je bezoekers en je uptime.

Gerelateerde berichten
Uptime - Security

Waarom IT security nog steeds onbelangrijk is…

Ondernemers hebben vaak te weinig aandacht voor IT security. Beperkte budgetten, beperkte kennis, rekenen op derde partijen… de excuses zijn legio als het misgaat […]

Lees meer

Uptime GDPR

6 onverwacht positieve gevolgen van GDPR

GDPR is het buzzword van het moment. Iedereen is momenteel druk bezig om GDPR compliant te worden tegen mei 2018. Of wordt bang gemaakt […]

Lees meer

HTTPS

Chrome en Firefox worden strenger voor websites zonder HTTPS: zorg nu dat je website niet gestraft wordt

Vanaf deze maand tonen de webbrowsers Google Chrome en Mozilla Firefox een nog duidelijkere waarschuwing wanneer gebruikers een website bezoeken die niet via het https-protocol beveiligd is. Omdat beide partijen op termijn nog strenger zullen worden, is het nu het moment om je website beter te beveiligen met HTTPS.

Lees meer