Logo UHasselt

menu

EDM


Actueel

EDM

Logo UHasselt Universiteit Hasselt - Knowledge in action

< OVERVIEW

Apple-implementatie van WPA2-Enterprise (Wi-Fi) beveiligingsprotocol houdt mogelijk veiligheidsrisico in voor bedrijfsnetwerken    Aug 27, 2014

Apple-implementatie van WPA2-Enterprise (Wi-Fi) beveiligingsprotocol houdt mogelijk veiligheidsrisico in voor bedrijfsnetwerken
Aug 27, 2014

Door misbruik te maken van de Apple-implementatie van dit protocol kunnen cybercriminelen de identificatiegegevens onderscheppen van werknemers die met een Apple-toestel op een bedrijfsnetwerk inloggen. Onderzoekers van iMinds en het Expertisecentrum voor Digitale Media (EDM) van de Universiteit Hasselt die de masterstudent begeleidden, hebben Apple eerder dit jaar van hun bevindingen op de hoogte gebracht. Met de lancering van het nieuwe besturingssysteem iOS8, eind 2014, zou het probleem opgelost moeten zijn. Dit veiligheidsrisico geeft nogmaals aan dat het essentieel is om voor de afscherming van bedrijfsgegevens niet enkel te vertrouwen op de beveiliging van het draadloze netwerk.

Bedrijfsnetwerken bevatten alle info die cruciaal is voor het goed functioneren van een onderneming – gaande van (toekomstige) productinformatie tot gedetailleerde marketingplannen, klantenbestanden en financiële data. Het is dan ook erg belangrijk om die gegevens op een degelijke manier af te schermen, vooral wanneer ze via draadloze netwerken door werknemers worden geraadpleegd. Onder meer om die reden ontwikkelde de internationale standaardisatieorganisatie IEEE het Wi-Fi Protected Access II (WPA2)-Enterprise protocol – momenteel het meest vertrouwde beveiligings-mechanisme voor draadloze bedrijfsnetwerken.

Deur open voor cyberaanvallen
Helaas kunnen beveiligingsmechanismen omzeild worden, zeker wanneer standaarden de mogelijkheid laten aan fabrikanten om implementatiedetails zelf in te vullen. Een dergelijk probleem werd aan het licht gebracht in de thesis van Pieter Robyns, masterstudent informatica aan de Universiteit Hasselt, onder leiding van onderzoekers van onder meer iMinds. Robyns ontdekte dat een problematische implementatie van het WPA2-Enterprise protocol cybercriminelen in staat stelt om toegang te krijgen tot het bedrijfsnetwerk – en dus mogelijk ook tot de informatie die er wordt opgeslagen. Het is in het bijzonder de Apple-implementatie van WPA2-Enterprise die de deur openzet voor cyberaanvallen.

“Aanvallers kunnen toegang krijgen tot het bedrijfsnetwerk zonder in het bezit te zijn van een geldige gebruikersnaam en wachtwoord”, zegt Pieter Robyns. “Door de specifieke implementatie van Apple kan een cybercrimineel immers de identificatiegegevens, die draadloos verstuurd worden wanneer een werknemer met zijn Apple-toestel (iPhone/iPad en Mac OS X) met het Wi-Fi bedrijfsnetwerk probeert te verbinden, onderscheppen en gebruiken. Op die manier worden de identiteit van die werknemer en al zijn toegangsrechten overgenomen, zonder dat de gebruiker daar zelf iets van merkt.”

Geen probleem voor thuisnetwerken
“De ontdekking van Pieter heeft een potentieel belangrijke impact”, aldus Bram Bonné, van iMinds-EDM-Universiteit Hasselt. “WPA2-Enterprise is wereldwijd de meest vertrouwde beveiligingsstandaard voor bedrijfsnetwerken, omdat IT-verantwoordelijken overtuigd zijn van de degelijkheid ervan. En normaal gezien zorgt WPA2-Enterprise inderdaad voor een perfecte versleuteling van de inloggegevens die via Wi-Fi verstuurd worden. Alleen loopt er nu iets fout met de specifieke Apple-implementatie ervan. Gezien het grote aantal Apple-toestellen in omloop houdt dat uiteraard een bepaald veiligheidsrisico in. Eens de deur tot het bedrijfsnetwerk openstaat, kan er immers een meer complexe aanval worden opgezet waarbij eveneens gebruik wordt gemaakt van de identiteit van de eigen werknemers.”

Gelukkig hoeven consumenten alvast niet wakker te liggen van dit probleem. Bram Bonné: “Voor correct beveiligde thuisnetwerken is er niets aan de hand – die versleutelen data immers aan de hand van een ander protocol (WPA2-PSK) dat, voor zover bekend, wél correct werd geïmplementeerd op de belangrijkste platformen.”

“We hebben onze bevindingen aan Apple overgemaakt, en alles wijst erop dat met de introductie van iOS8 later dit jaar het probleem wordt opgelost”, besluit Pieter Robyns. “Maar ondertussen raden we beheerders van bedrijfsnetwerken wel aan om vertrouwelijke gegevens te bewaren op servers die afgeschermd zijn met aparte toegangsrechten, in plaats van enkel te vertrouwen op de beveiliging van het draadloze netwerk.”

De masterthesis van Pieter Robyns werd gerealiseerd in de opleiding informatica aan de Universiteit Hasselt, met als promotoren prof. dr. Peter Quax en prof. dr. Wim Lamotte, onder begeleiding van ir. Bram Bonné. Pieter zal vanaf september 2014 werken als doctoraatsstudent, verbonden aan iMinds-EDM-UHasselt.