Vlaams student onthult lek in Apple’s implementatie van WPA2-Enterprise

Op een congres in Oxford heeft UHasselt-informaticastudent Pieter Robyns belangrijk veiligheidsrisico blootgelegd bij Apple's implementatie van het WPA2-Enterprise protocol. Apple bevestigt.

Trefwoorden: #apple, #cert, #cyberaanval, #cybersecurity, #ict, #robyns, #smartphone, #uhasselt, #wpa2

Lees verder

Techniek

( Foto: UHasselt )

ENGINEERINGNET - Bedrijfsnetwerken bevatten alle info die cruciaal is voor het goed functioneren van een onderneming – gaande van (toekomstige) productinformatie tot gedetailleerde marketingplannen, klantenbestanden en financiële data.

Het is dan ook erg belangrijk om die gegevens op een degelijke manier af te schermen, vooral wanneer ze via draadloze netwerken door werknemers worden geraadpleegd.

Onder meer om die reden ontwikkelde de internationale standaardisatieorganisatie IEEE het Wi-Fi Protected Access II (WPA2)-Enterprise protocol – momenteel het meest vertrouwde beveiligingsmechanisme voor draadloze bedrijfsnetwerken.

Helaas kunnen beveiligingsmechanismen omzeild worden, zeker wanneer standaarden de mogelijkheid laten aan fabrikanten om implementatiedetails zelf in te vullen.

Een dergelijk probleem werd aan het licht gebracht in de thesis van Pieter Robyns, masterstudent informatica aan de Universiteit Hasselt, onder leiding van onderzoekers van onder meer iMinds.

Robyns ontdekte dat een problematische implementatie van het WPA2-Enterprise protocol cybercriminelen in staat stelt om toegang te krijgen tot het bedrijfsnetwerk – en dus mogelijk ook tot de informatie die er wordt opgeslagen. Het is in het bijzonder de Apple-implementatie van WPA2-Enterprise die de deur openzet voor cyberaanvallen.

“Aanvallers kunnen toegang krijgen tot het bedrijfsnetwerk zonder in het bezit te zijn van een geldige gebruikersnaam en wachtwoord”, zegt Pieter Robyns.

“Door de specifieke implementatie van Apple kan een cybercrimineel immers de identificatiegegevens - die draadloos verstuurd worden wanneer een werknemer met zijn Apple-toestel (iPhone/iPad en Mac OS X) met het Wi-Fi bedrijfsnetwerk probeert te verbinden - onderscheppen en gebruiken. Op die manier worden de identiteit van die werknemer en al zijn toegangsrechten overgenomen, zonder dat de gebruiker daar zelf iets van merkt.”

Geen probleem voor thuisnetwerken
“De ontdekking van Pieter heeft een potentieel belangrijke impact”, aldus Bram Bonné (iMinds-EDM-Universiteit Hasselt). “WPA2-Enterprise is wereldwijd de meest vertrouwde beveiligingsstandaard voor bedrijfsnetwerken, omdat IT-verantwoordelijken overtuigd zijn van de degelijkheid ervan. En normaal gezien zorgt WPA2-Enterprise inderdaad voor een perfecte versleuteling van de inloggegevens die via Wi-Fi verstuurd worden, alleen loopt er nu iets fout met de specifieke Apple-implementatie ervan."

"Gezien het grote aantal Apple-toestellen in omloop houdt dat uiteraard een bepaald veiligheidsrisico in. Eens de deur tot het bedrijfsnetwerk openstaat, kan er immers een meer complexe aanval worden opgezet waarbij eveneens gebruik wordt gemaakt van de identiteit van de eigen werknemers.”

Gelukkig hoeven consumenten alvast niet wakker te liggen van dit probleem. Bram Bonné: “Voor correct beveiligde thuisnetwerken is er niets aan de hand – die versleutelen data immers aan de hand van een ander protocol (WPA2-PSK) dat, voor zover bekend, wél correct werd geïmplementeerd op de belangrijkste platformen.”

“We hebben onze bevindingen aan Apple overgemaakt, en alles wijst erop dat met de introductie van iOS8 later dit jaar het probleem wordt opgelost”, besluit Pieter Robyns. “Maar ondertussen raden we beheerders van bedrijfsnetwerken wél aan om vertrouwelijke gegevens te bewaren op servers die afgeschermd zijn met aparte toegangsrechten, in plaats van enkel te vertrouwen op de beveiliging van het draadloze netwerk.”

De masterthesis van Pieter Robyns werd gerealiseerd in de opleiding informatica aan de Universiteit Hasselt, met als promotoren prof. dr. Peter Quax en prof. dr. Wim Lamotte, onder begeleiding van ir. Bram Bonné. Pieter zal vanaf september 2014 werken als doctoraatsstudent, verbonden aan iMinds-EDM-UHasselt.


TECHNISCH
Welke procedure werd gevolgd voor het rapporteren van de bug?
* Eind januari 2014 werd de bug gevonden, en gerapporteerd aan CERT.be (het federale Cyber Emergency Team dat als neutrale specialist in internet- en netwerkveiligheid bedrijven en organisaties onder meer helpt met het coördineren van cyberbeveiligingsincidenten). CERT fungeerde als tussenpersoon naar Apple.
* 20 februari: bevestiging van Apple.
* 18 maart: paper WiSec 2014 ingediend.
* 17 april: bug nogmaals gerapporteerd; ditmaal via CERT.org.
* 9 mei: paper WiSec 2014 geaccepteerd.
* 25 juli: paper gepresenteerd op WiSec 2014 – een internationale conferentie rond veiligheid en privacy bij het gebruik van draadloze netwerken.

Hoe worden de identificatiegegevens van werknemers die met een Apple-toestel op een WPA2-Enterprise bedrijfsnetwerk inloggen, concreet onderschept?
Bij het begin van de aanval zet de hacker een nep-netwerk op met dezelfde naam als het echte netwerk. Computers en smartphones in de omgeving zullen dan automatisch met dit netwerk connecteren, bijvoorbeeld omwille van betere signaalsterkte. Indien een gebruiker van een Apple-toestel met dat valse netwerk verbindt, kan de hacker de identiteit van deze gebruiker overnemen en hiemee inloggen op het echte netwerk in diens plaats. Daardoor krijgt de hacker toegang tot het internet en/of andere computers die zich op het interne netwerk bevinden – zonder zelf in het bezit te zijn van een geldige gebruikersnaam en wachtwoord.

Welke toestellen werden getest? En hoe kwetsbaar werden ze bevonden?
Kwetsbare toestellen:
* iPod Touch (iOS 6.1.6)
* iPhone 4 (iOS 7.1)
* iPhone 4S (iOS 7.1)
* Mac OS X 10.8.2 (Mountain Lion)
Bug fix is voorzien in iOS8 (nog niet publiek beschikbaar, wel in beta fase)

Niet-kwetsbare toestellen:
* Samsung GT-S5570 (Android 2.3.4)
* Google Nexus 7 (Android 4.4.2)
* Samsung GT-I8750 (Windows Phone 8.0)
* Windows 7 Desktop

Over welke veiligheidsrisico’s hebben we het precies?
Het voornaamste risico is dat een hacker toegang kan krijgen tot het met WPA2-Enterprise beveiligde netwerk. Dat betekent dat hij computers die met het bedrijfsnetwerk verbonden zijn, kan benaderen. Dat effent dan weer het pad voor nieuwe aanvalsmogelijkheden: publiek gedeelde bestanden downloaden, toegang verkrijgen tot printers, kijken welke poorten open staan op andere verbonden computers, etc. Tot slot kan de hacker op deze manier ook toegang krijgen tot het internet via het bedrijfsnetwerk.

Lopen thuisnetwerken ook gevaar?
Neen. Voor correct beveiligde thuisnetwerken is er niets aan de hand: die versleutelen data immers aan de hand van een ander protocol (WPA2-PSK) dat, voor zover bekend, wél correct werd geïmplementeerd op de belangrijkste platformen.

Op welke oplossingen kunnen beheerders van bedrijfsnetwerken nu al een beroep doen – in afwachting van de beschikbaarheid van iOS8 (later dit jaar)?
* Client-certificaten: dit vereist dat er een certificaat, geassocieerd met elk individueel toestel, geïnstalleerd wordt op de authenticatieserver. De implementatie van client-certificaten lost het probleem op, maar is niet praktisch in een Bring-Your-Own-Device (BYOD) omgeving.
* Configuration profiles: staan toe dat een gebruiker zwakke authenticatiemethodes van Apple-toestellen uitschakelt, maar als één gebruiker het profiel verwijdert of vergeet te installeren, is het hele netwerk kwetsbaar.
* Intrusion detection systems: kunnen de aanval wel detecteren, maar niet tegenhouden.

De onderzoekers benadrukken, nogmaals, het belang van opslag van vertrouwelijke gegevens op servers die afgeschermd zijn met aparte toegangsrechten, in plaats van enkel te vertrouwen op de beveiliging van het draadloze netwerk.

Is overschakelen op WPA2-PSK een oplossing voor bedrijven?
Hoewel WPA2-PSK volgens onze testen wel correct werd geïmplementeerd op de belangrijkste platformen (zie vraag 5), voorziet het protocol niet in een aantal zaken die voor bedrijfsnetwerken belangrijk zijn. Zo biedt WPA2-PSK geen ondersteuning voor verschillende gebruikersaccounts, waardoor elke werknemer met hetzelfde wachtwoord zal moeten inloggen op het netwerk. Dit heeft enkele belangrijke nadelen ten opzichte van WPA2-Enterprise:

Het wordt voor de netwerkbeheerder zeer moeilijk om te weten welke gebruiker vanop welk apparaat op het netwerk is aangemeld. Dit maakt accounting veel moeilijker, en zorgt ervoor dat er geen speciale restricties kunnen worden opgelegd aan bepaalde types gebruikers (bijvoorbeeld gasten op het netwerk).

Wanneer iemand achteraf de toegang tot het netwerk ontzegd moet worden (zoals wanneer een werknemer het bedrijf verlaat), zal er een nieuw wachtwoord gegenereerd moeten worden dat opnieuw naar alle werknemers gecommuniceerd moet worden.