WPA2 Krack

Deze week was iedereen in de ban van WPA2 Krack, de (Belgische) hack in het WPA2-protocol. Er was de nodige paniek en vendors maakten overuren om toch maar snel patches te hebben voor dit lek. Nochtans is er een oplossing die een deel van het probleem kan oplossen: je HTTPS-verbinding correct instellen.

Wat is WPA2 Krack?

Voor wie nog niet zou weten waar WPA2 Krack over gaat, vatten het het héél kort samen. WPA2 is een protocol dat je Wifi-netwerk beveiligt. Het is gebaseerd op het principe van publieke en private sleutels met een viervoudige handshake om een beveiligde verbinding op te zetten. Net in die handshake heeft de Leuvense onderzoeker Mathy Vanhoef van imec-DistriNet een lek ontdekt dat toelaat om in te breken op je Wifi en mee te volgen welke data – ook inloggegevens en wachtwoorden dus – je over je netwerk verstuurt en ontvangt.

HTTPS als remedie tegen WPA2 Krack

Goede veiligheid bestaat altijd uit meer dan één slot en één deur. Wij gaan altijd uit van het principe dat ieder slot wel eens kan gekraakt worden. De kans dat meerdere sloten tegelijk gekraakt kunnen worden, is echter een pak kleiner. Daar is de WPA2 Krack niet anders in.

SSL kan een oplossing bieden. HTTPS zorgt er voor dat de verzending en ontvangst van data tussen jou en de uiteindelijke webserver versleuteld is. We gebruiken HTTPS om ons punt te maken, maar onze oplossing geldt evenzeer voor protocollen als SMTP, FTP, POP3, enz.

Mathy Vanhoef gebruikte een Man In The Middle (MITM)-aanval met SSLStrip. Dat is een tool die aan de webserver en je browser de opdracht geeft om niet versleuteld te werken, maar naar het niet beveiligde http-protocol over te schakelen. Vervolgens kan de MITM alle data mee capteren.

Als hostingexpert willen we erop wijzen dat er een methode bestaat om te verplichten dat de verbinding toch versleuteld blijft. In het geval van webverkeer is dat HTTP Strict Transport Security (HSTS). HSTS is net een beveiligingsmechanisme om HTTPS-websites te beschermen tegen dit soort downgrade attacks. Het zorgt ervoor dat webservers altijd eisen dat webbrowsers enkel beveiligde HTTPS-verbindingen gebruiken, en nooit het onveilige HTTP-protocol.

Toch niet zo simpel?

We raden je wel aan om even een aantal dingen te checken voor je naar de config van je webserver surft om HSTS in te schakelen. HSTS verplicht elke browser immers om gedurende een bepaalde periode enkel nog HTTPS te aanvaarden. Maar als je website slecht geconfigureerd of ontworpen is en niet 100% lekker draait op HTTPS, heeft de aanpassing meteen een enorme impact. De browser van je bezoeker heeft immers de opdracht gekregen enkel nog HTTPS te aanvaarden, ook al zet jij intussen HSTS terug uit.

Daarom is ons belangrijkste advies: praat hierover met ons. We kunnen samen met jou onderzoeken wat de exacte gevolgen zijn. Als het een haalbare kaart is, krijg je van ons meteen groen licht. Maar we willen er graag voor zorgen dat zo’n aanpassing geen impact heeft voor je bezoekers en je uptime.

Gerelateerde berichten
Nucleus - Laravel

Wat is de beste manier om Laravel te hosten?

Wat is de beste manier om Laravel te hosten? Door Laravel, Forge en gebruiksvriendelijke deployments te combineren met managed hosting. Lees hier waarom!

Lees meer

Spectre en Meltdown

Spectre en Meltdown: wat was de échte impact ?

Spectre en Meltdown – en meer bepaald het patchen van de lekken – hebben zowat elke system administrator bezig gehouden de afgelopen dagen. Nu […]

Lees meer

Spectre en Meltdown

Important information regarding Meltdown & Spectre CPU vulnerabilities

By exception, this blogpost will be in English to inform all our clients. News has come out about highly critical vulnerabilities in all Intel […]

Lees meer