Impact Wi-Fi Krack voor Magento shops

Geschreven door Mats van de Seijp.

impact wi-fi krack on Magento webshopWi-Fi Krack, wat is er gebeurd?

Afgelopen maandag kwam het bericht naar buiten dat er een kwetsbaarheid was gevonden in onder meer WPA en WPA2. Mathy Vanhoef, en andere onderzoekers van de KU Leuven, kwamen met dit onderzoek naar buiten. De kwetsbaarheid draagt de naam “Krack”, wat staat voor “ Key Reinstallation Attack”. De aanval is voornamelijk gericht op draadloze clients en vormt een risico voor alle moderne wifinetwerken.

WEP, WPA, WP2? Hoe zat dat ook alweer?

De Wi-Fi Alliance is een non-profit organisatie die zich bezig houdt met Wi-Fi technologie en het certificeren van Wi-Fi producten. Deze organisatie heeft WPA in het leven geroepen nadat gebleken is dat zijn voorganger WEP (Wired Equivalent Privacy) niet meer geschikt was om netwerken te beveiligen. WPA (Wi-Fi Protected Accesss) werd in 2003 geïntroduceerd maar werd in 2006 al vervangen voor de vernieuwede versie WPA 2. Wi-Fi Alliance stelde WPA2 verplicht voor hun gecertificeerde producten en WPA2 maakte hierdoor een grote opmars. Dit resulteert dat vandaag de dag 68,02% van de Wi-Fi hotspots WPA2 gebruikt, 7,37% WPA, 2,66% WEP en 21,96% open is.

Wat is het probleem precies?

WPA2 maakt gebruikt van een zogenaamde "4-way handshake". Deze handdruk zorgt ervoor dat de cliënt (jij) en access point (Wi-Fi punt), onderlinge authenticatie uitvoeren en een sessiesleutel overeenkomen. Hiermee wordt, mits alle correct verloopt, een beveiligde en versleutelde verbinding tot stand gebracht. Voor uitleg over de 4-way handshake, en wat de kwetsbaarheid is, wordt je doodgegooid met termen als Pairwise Master Key, Pairwise Temporal Key, Anonce en Snonce. Dit maakt de boel echter niet veel helderder. Het belangrijkste om te weten is dat het proces 4 stappen heeft en dat het probleem bij stap 3 plaatsvindt. Hieronder een hopelijk verhelderende uitleg.

Jij wilt verbinding maken met een draadloos netwerk maar dit moet natuurlijk een beveiligde verbinding zijn waarbij beide partijen (bijvoorbeeld jou laptop en Wi-Fi punt) moeten weten dat ze daadwerkelijk met elkaar communiceren.

  • 1. Het access point (Wi-Fi punt) stuurt de cliënt, bijvoorbeeld jouw laptop, informatie toe waarmee een tijdelijke sleutel (PTK, pairwise temporal key) gegenereerd kan worden.
  • 2. De cliënt stuurt vervolgens de gegenereerde PTK, plus andere authenticaties, terug naar het accespoint. Er heeft authenticatie plaatsgevonden en is een sleutel gegenereerd.
  • 3. Het accespoint stuurt vervolgens een sessiesleutel naar de cliënt. Deze sessiesleutel versleuteld de informatie die verstuurd wordt tussen de cliënt en het access point.
  • 4. De cliënt confirmeert vervolgens aan het accespoint dat de sleutel geïnstalleerd is en een beveiligde verbinding is tot stand gekomen.

Indien de cliënt niet confirmeert dat de sleutel sessiesleutel ontvangen is, wordt stap drie herhaald en stuurt het access point de sessiesleutel opnieuw. Vanhoef maakt hier gebruik van door het derde bericht op te onderscheppen en deze steeds opnieuw te verzenden. De cliënt installeert hierdoor steeds de nieuwe sleutel en gebruikt telkens hetzelfde pakketnummer, welke informatie bezit. Dit geeft een aanvaller de mogelijkheid deze informatie te ontcijferen of zelfs te manipuleren.

Wat is de impact op mijn Magento shop?

In principe kan een kwaadwillende dus bij jou of jouw klant zijn/haar gegevens wanneer gebruik wordt gemaakt van Wi-Fi. Dit is echter deels waar. De impact voor u en uw klanten is afhankelijk van de gebruikte encryptie op uw Magento shop. Verstuurt een gebruiker bijvoorbeeld wachtwoorden, cookies, creditcardgegevens of andere gevoelige gegevens via http, wat onbeveiligd is, heeft de aanvaller in een mum van tijd deze gegevens. Gebruikt jouw Magento shop echter https (HTTP over SSL), dan is het netwerkverkeer alsnog versleuteld en (bijna) onmogelijk in te zien voor de aanvaller. Dit geldt overigens ook wanneer VPN wordt gebruikt.

Nu heeft jouw Magento shop wellicht al een SSL certificaat en https maar dit volstaat helaas niet. Om te zorgen dat al het netwerkverkeer altijd versleuteld is dient jou SSLHardened” te zijn. Dit vergt enige configuraties in de SSL, met name de opzet van HSTS.
HSTS (HTTP Strict Transport Security) is een set aan beveiligingsmechanismes die ervoor zorgen dat webservers eisen dat een webbrowser alleen maar werkt via een HTTPS connectie. Dit voorkomt mogelijke “protocol downgrade attacks” die alsnog data, nu mogelijk te ontcijferen, via http kunnen versturen.

Wat moet ik doen om mijn Magento shop veilig te maken?

SupportDesk raad haar klanten goed te kijken of hun SSL op orde is en HSTS aan te zetten. Dit zorgt ervoor dat klantgegevens op uw Magento shop versleuteld zijn en niet gejat kunnen worden, ook al is de gebruikte Wi-Fi verbinding gehackt. Wij raden nogmaals dringend aan om dit advies op te volgen.

Op dit moment is SupportDesk voor meerdere klanten bezig een security check te doen, SSL certificaten na te lopen en HSTS op te zetten. Mocht u problemen ondervinden met het opzetten van de bovenstaande beveiligingsadviezen, wij helpen u graag.

meer info   of   

Bel nu! 020 337 5961

Mats van de SeijpDit artikel is geschreven door Mats van de Seijp, onze spin in het web als Support, Ticket Manager, Business Intelligence analyst en Blogger.

LinkedIn

Are u ready 4 Magento 2?

Are u ready 4 Magento 2?

Are you currenty using Magento 1, and looking forward to continue your business using the latest functionality in ecommerce, than Magento 2 is ready for you.

Magento 2 is a brand new platform and ready to serve your ecommerce needs now and in the future.

more info

Stel je vraag

Stel je vraag

Stap 1. Impact analyse

Stap 1. Impact analyse

Stap 2. Pre-paid ticket

Stap 2. Pre-paid ticket

Stap 3. Uitvoeren

Stap3: Uitvoeren

Bel nu! 020 337 5961

SupportDesk B.V.
Hogehilweg 19
1101 CB Amsterdam

E-mail: support @ supportdesk.nu

meer gegevens