Beantwoord

Wat doet Ziggo tegen het vandaag gepubliceerde ernstig lek in wifibeveiliging wpa2?


  • Ontdekker
  • 3 reacties
Voor een Nederlandse bron omtrent dit ernstig lek: https://tweakers.net/nieuws/130755/belgische-onderzoekers-vinden-ernstig-lek-in-wifibeveiliging-wpa2.html

Het komt er dus op neer dat WPA2, wat bijna alle Ziggo modems gebruiken voor WiFi-beveiliging, gekraakt is en niet langer veilig wordt geacht. Mensen binnen bereik van je wifi-signaal die deze hack toepassen kunnen je onversleutelde internetverkeer over WiFi mee volgen.

Vele fabrikanten van routers zijn al enkele maanden (publicatie met details van het lek stond sinds augustus onder embargo en komt vandaag vrij voor de wereld) bezig aan patches voor hun routers en modems.

Welke stappen zal Ziggo ondernemen en op welke termijn?
icon

Best beantwoord door Ronald Ziggo 16 oktober 2017, 15:41

Hallo iedereen,
Om vanuit Ziggo ook te reageren.

We zijn op de hoogte. We onderzoeken op dit moment samen met de anderen in onze industrie deze situatie.

Gr,

Bekijk origineel

71 Reacties

Reputatie 4
Badge +5
En wat zou Ziggo hieraan moeten doen? Als het probleem in het WPA2 protocol zit dan kun je niet veel doen zonder het voor oudere (lees: meeste) hardware niet langer mogelijk te maken om te connecten.
Aanpassen van protocols en handshakes zal toch altijd aan 2 kanten moeten gebeuren.
Reputatie 4
Badge +7
Toch word in de showcase beschreven dat dit probleem (ook) aan de AP kant moet worden opgelost door een aanpassing (via firmwareupdate.)

Dat clients daarna ook moeten updaten zou kunnen, maar dit ligt buiten het verantwoordelijkheidsgebied van Ziggo.

Ziggo zou dus z.s.m. voor alle modems - en alle overige WIFI apparatuur updates moeten leveren.
Reputatie 2
Badge +1

Our main attack is against the 4-way handshake, and does not exploit access points, but instead targets clients. So it might be that your router does not require security updates. We strongly advise you to contact your vendor for more details. In general though, you can try to mitigate attacks against routers and access points by disabling client functionality (which is for example used in repeater modes) and disabling 802.11r (fast roaming). For ordinary home users, your priority should be updating clients such as laptops and smartphones.


https://www.krackattacks.com/
Reputatie 4
Badge +7
ArieKanarie schreef:

Our main attack is against the 4-way handshake, and does not exploit access points, but instead targets clients. So it might be that your router does not require security updates. We strongly advise you to contact your vendor for more details. In general though, you can try to mitigate attacks against routers and access points by disabling client functionality (which is for example used in repeater modes) and disabling 802.11r (fast roaming). For ordinary home users, your priority should be updating clients such as laptops and smartphones.


https://www.krackattacks.com/



Mee eens, clients moeten ook.. Maar het probleem zit aan beide kanten.

Maar hoe groot is de kans dat ze jou proberen te hacken? 😉
Maar dit soort kwetsbaarheden moeten opgelost worden.
Reputatie 4
Badge +7
Gusto schreef:

Maar hoe groot is de kans dat ze jou proberen te hacken? ;)



Geen idee, maar is ook vrij irrelevant voor de oplossing die Ziggo gewoon moet gaan leveren.
Gusto schreef:

Maar hoe groot is de kans dat ze jou proberen te hacken? ;)



Dit gaat niet slechts over mij als individu, maar over alle klanten van Ziggo die wifi gebruiken over routers beveiligd met wpa2. Een hele boel dus. Als je daar de toenemende rate aan break attempts tegenover zet, zijn er heel wat mensen die nu verhoogd risico lopen. Gezien een firmware update van de router/modem een oplossing zou kunnen bieden, wilde ik bij Ziggo peilen hoe zij dit zien.

"10 procent van de Nederlanders is in 2016 slachtoffer geweest van één of meerdere cybercrimedelicten"
bron (Ziggo): https://www.ziggo.nl/klantenservice/internet/veiligheid/quiz/

"Een op vijf bedrijven slachtoffer van cyberaanval"
bron (CBS): https://www.cbs.nl/nl-nl/nieuws/2017/39/een-op-vijf-bedrijven-slachtoffer-van-cyberaanval
Tja, dat zullen de modem/router-fabrikanten moeten doen.
Reputatie 4
Badge +5
level4 schreef:

Toch word in de showcase beschreven dat dit probleem (ook) aan de AP kant moet worden opgelost door een aanpassing (via firmwareupdate.)

Dat clients daarna ook moeten updaten zou kunnen, maar dit ligt buiten het verantwoordelijkheidsgebied van Ziggo.

Ziggo zou dus z.s.m. voor alle modems - en alle overige WIFI apparatuur updates moeten leveren.



De AP updaten heeft eigenlijk weinig effect omdat je dan alleen die specifieke verbinding beveiligt en niet alle andere verbindingen die je met je cliënt gebruikt onderweg. Nog afgezien van het groeiende aantal gebruikers wat eigen routers aangesloten heeft.

Overigens zou dit ook een leuk puntje zijn in de discussie omtrent gebruik van eigen modems, waarbij je in dit geval dus zelf verantwoordelijk en afhankelijk bent voor een patch (via de leverancier van je apparatuur)
Reputatie 2
Badge +1
Nick999 schreef:

Overigens zou dit ook een leuk puntje zijn in de discussie omtrent gebruik van eigen modems, waarbij je in dit geval dus zelf verantwoordelijk en afhankelijk bent voor een patch (via de leverancier van je apparatuur)



Dat zou consumenten in ieder geval de optie geven te kiezen voor fabrikanten met een betere reputatie als het gaat om updates en beveiliging. En niet zoals nu afhankelijk zijn van Ziggo en Compal (in geval van ConnectBox), die er nu al meer dan een jaar over doen om de Puma 6 problemen te verhelpen.
Reputatie 4
Badge +7
Nick999 schreef:

level4 schreef:



Ziggo zou dus z.s.m. voor alle modems - en alle overige WIFI apparatuur updates moeten leveren.



De AP updaten heeft eigenlijk weinig effect omdat je dan alleen die specifieke verbinding beveiligt en niet alle andere verbindingen die je met je cliënt gebruikt onderweg. Nog afgezien van het groeiende aantal gebruikers wat eigen routers aangesloten heeft.



Dat statement gaat uit van het totale risico wat een eindgebruiker loopt. In dat kader is het updaten van eigen clients inderdaad het meest primaire. Maar dat neemt natuurlijk niet weg, dat ook de leveranciers van accesspoints dringend actie moeten ondernemen. Volgens mij doet het één daarom niets af aan het andere, en blijft de urgentie tot het leveren van een update gelijk. (?)

Of zeg je van, clients updaten is genoeg. Want dan zijn we het gewoon niet eens 😉
Gusto schreef:

Tja, dat zullen de modem/router-fabrikanten moeten doen.



Basically. Maar Cisco stuurt me geen maandelijkse factuur. Ziggo wel. En Ziggo is eigenaar van de modem. Als Ziggo met modemfabrikanten in gesprek is en samen werkt aan een oplossing voor de AP-kant (vandaar dit topic, ik wil gewoon duidelijkheid) dan zorg ik wel dat ik mijn clients zsm update.
Succes met je eigen router/accesspoint. 😉
Reputatie 4
Badge +5
level4 schreef:

Nick999 schreef:

level4 schreef:



Ziggo zou dus z.s.m. voor alle modems - en alle overige WIFI apparatuur updates moeten leveren.



De AP updaten heeft eigenlijk weinig effect omdat je dan alleen die specifieke verbinding beveiligt en niet alle andere verbindingen die je met je cliënt gebruikt onderweg. Nog afgezien van het groeiende aantal gebruikers wat eigen routers aangesloten heeft.



Dat statement gaat uit van het totale risico wat een eindgebruiker loopt. In dat kader is het updaten van eigen clients inderdaad het meest primaire. Maar dat neemt natuurlijk niet weg, dat ook de leveranciers van accesspoints dringend actie moeten ondernemen. Volgens mij doet het één daarom niets af aan het andere, en blijft de urgentie tot het leveren van een update gelijk. (?)

Of zeg je van, clients updaten is genoeg. Want dan zijn we het gewoon niet eens ;)



Dat niet 🙂 Ben het wel met je eens, maar besef ook dat Ziggo zelf geen modemfabrikant is en dus ook afhankelijk is van de fabrikant van de modems (net als met de brakke Intel chip).
Verder denk ik niet dat veel leveranciers van oude/goedkope routers echt werk gaan maken van een patch dus zou de snelste oplossing zijn om de clients te updaten. Er bestaan minder soorten clients dan modems/AP's en routers. Al betwijfel ik of bv Apple en Android snel met een patch komen.
En, liggen er al Amerikaanse, Engelse, Chinese,Rusissche of Iraanse agenten in je voortuin?
Gusto schreef:

En, liggen er al Amerikaanse, Engelse, Chinese,Rusissche of Iraanse agenten in je voortuin?



Er ligt wel een onnodig sarcastische user in mijn topic. 😉 Ernstig lek gevonden in beveiliging die de modem gebruikt, ik wil gewoon duidelijkheid van mijn provider.
Of, alleen de AIVD. 🤔
Voor zover ik het lees moet de aanvaller een eigen AP opzetten met een SSID clone waar jou client verbinding mee moet leggen, door je client voor de gek te houden word de authenticatie als t ware geclonded in dat process.

Dus ook al zal Ziggo een firmware update uitbrengen voor de modems, dan nog blijf je vatbaar omdat je client bepaalde handshake stappen niet meer moet accepteren van welk willekeurig AP dan ook.

Overigens op dit niveau gesproken, als iemand je WPA wachtwoord weet (of van je wifi netwerk in je snackbar/restaurant/whatever) kan die het zelfde doen (eigen AP opzetten met die naam en je verkeer afvangen) en uitlezen, dus compleet verontwaardigd gaan lopen doen heeft weinig nut, Wifi is per definitie behoorlijk onveilig hoe je het went of keert.
Reputatie 3
Badge +5
Gusto schreef:

En, liggen er al Amerikaanse, Engelse, Chinese,Rusissche of Iraanse agenten in je voortuin?



Nee wel Polen 😂 🤣
Reputatie 3
Badge +7
http://nu.nl/internet/4965695/ernstig-beveiligingslek-in-veelgebruikte-wifi-beveiliging-gevonden.html

Ziggo (en KPN) hebben dit in onderzoek en Google heeft een update gepland op 6 november. Er lijkt dus wel vaart in te zitten 🙂
Reputatie 2
Badge +1
Powermage schreef:

Voor zover ik het lees moet de aanvaller een eigen AP opzetten met een SSID clone waar jou client verbinding mee moet leggen, door je client voor de gek te houden word de authenticatie als t ware geclonded in dat process.

Dus ook al zal Ziggo een firmware update uitbrengen voor de modems, dan nog blijf je vatbaar omdat je client bepaalde handshake stappen niet meer moet accepteren van welk willekeurig AP dan ook.



Een gepatcht AP laat zich niet meer uitbuiten door een man-in-the-middle, dus een update voor alle Ziggo routers/modems is zeker wel noodzakelijk en nuttig, omdat je dan veilig bent op je eigen wifi netwerk.
En schat eens in, hoe vaak dit fout zal gaan?
De voorwaarden zijn dermate lastig, dus het zal niet vaak voorkomen. 😉
Maar op termijn zal het wel opgelost worden. 😉
ArieKanarie schreef:

Powermage schreef:

Voor zover ik het lees moet de aanvaller een eigen AP opzetten met een SSID clone waar jou client verbinding mee moet leggen, door je client voor de gek te houden word de authenticatie als t ware geclonded in dat process.

Dus ook al zal Ziggo een firmware update uitbrengen voor de modems, dan nog blijf je vatbaar omdat je client bepaalde handshake stappen niet meer moet accepteren van welk willekeurig AP dan ook.



Een gepatcht AP laat zich niet meer uitbuiten door een man-in-the-middle, dus een update voor alle Ziggo routers/modems is zeker wel noodzakelijk en nuttig, omdat je dan veilig bent op je eigen wifi netwerk.



Wat ik nu lees (maar de info is wat beperkt die ik zo snel vind) is dat om dit werkend te krijgen de aanvaller een eigen AP omzet om jou SSID te faken en daarmee vervolgens eea reset, het is onduidelijk of een gepatcht orgineel AP vervolgens die aanval compleet blocked.
Gezien de onderzoeker nogal hamert op dat vooral clients updaten het belangrijkste is heb ik mijn twijfel of je het probleem weet te ondervangen door je eigen AP te updaten.
Uitgelicht
Reputatie 4
Hallo iedereen,
Om vanuit Ziggo ook te reageren.

We zijn op de hoogte. We onderzoeken op dit moment samen met de anderen in onze industrie deze situatie.

Gr,
Reputatie 2
Badge +1
Powermage schreef:


Wat ik nu lees (maar de info is wat beperkt die ik zo snel vind) is dat om dit werkend te krijgen de aanvaller een eigen AP omzet om jou SSID te faken en daarmee vervolgens eea reset, het is onduidelijk of een gepatcht orgineel AP vervolgens die aanval compleet blocked.
Gezien de onderzoeker nogal hamert op dat vooral clients updaten het belangrijkste is heb ik mijn twijfel of je het probleem weet te ondervangen door je eigen AP te updaten.



Als het AP de replay van de handshake juist ondervangt werkt de aanval niet. Onder het kopje "6.5 Countermeasures" staat een beknopte en vrij technische uitleg, die ik niet goed genoeg begrijp om hem simpeler uit te leggen dan daar beschreven: https://papers.mathyvanhoef.com/ccs2017.pdf


De oplossing moet dus aan 2 kanten uitgevoerd worden:
1. Je patcht de client apparaten zodat deze niet meer kwetsbaar zijn op welk AP dan ook.
2. Je patcht het AP zodat client apparaten die verbinden met dit AP niet kwetsbaar zijn

2 is vooral van belang als je apparaten hebt waar het onwaarschijnlijk van is dat dit lek gedicht gaat worden. Wifi thermostaat/broodrooster/deurbel/koelkast/printer en andere wifi-connected troep, tablets en telefoons buiten het update window van de fabrikant, etc...

Reageer

    Inloggen
    Niet gevonden wat je zocht? Vind meer topics