Syskon i soffan med surfplatta och bärbar dator

Så skyddar du dig mot säkerhetsbristen i trådlösa nätverk

Vi har nu levt i två veckor med säkerhetsbristen ”Krack” som drabbar trådlösa nätverk. Jag får fortfarande frågor om säkerhetsbristen och sammanfattar därför situationen i denna artikel med fokus på konsumentnätverk. För alla som använder företagsprodukter finns även en tilläggsartikel.

Vad är problemet?

Idag skyddar vi våra trådlösa nätverk med protokollet som kallas WPA2. På grund av ett utbrett misstag i hur WPA2-protokollet används, kan en attackerare som i närheten av wifi-nätet avlyssna trafiken som går till utvalda datorer, surfplattor, mobiler och så vidare. Dessa produkter är de vi kallar klienter i resten av denna artikel.

Lyckligtvis går säkerhetsbristen att åtgärda genom en mjukvaruuppdatering. Här följer en lista över vanligt förekommande trådlösa nätverksprodukter som behöver uppdateras:

  • datorer
  • surfplattor
  • mobiler
  • spelkonsoler
  • mesh-system
  • repeatrar (räckviddsförlängare för trådlösa nätverk)
  • bryggor (nätverksprodukter som gör till exempel trådbundna IPTV-boxar trådlösa)
  • skrivare
  • övervakningskameror.

Tumregeln är att alla saker som ansluter till ett trådlöst nätverk behöver uppdateras för att få säkerhetsbristen åtgärdad.

Är säkerhetsbristen så allvarlig som jag har hört?

Rapporteringen kring Krack har skrämt upp många i onödan. Avlyssning av trådlösa nätverk må låta illa, men det är viktigt att komma ihåg följande punkter.

  1. Säkerhetsbristen kan endast utnyttjas av en attackerare som är inom det trådlösa nätverkets räckvidd. Den kan alltså inte utnyttjas över internet.
  2. Säkerhetsbristen gör att attackeraren kan avlyssna trafiken till och från utvalda klienter. Den gör inte att attackeraren får tillgång till det trådlösa nätverket.
  3. När vi surfar på internet skickar vi nästintill all känslig information via krypterade anslutningar. Bankuppgifter och kreditkortsinformation skickas alltid krypterat. Inloggningsuppgifter till alla seriösa webbplatser och webbtjänster skickas också krypterat. Dessa uppgifter kan därför inte avlyssnas och är fortfarande säkra.

Den tredje punkten mår bra av en närmare förklaring för alla som är intresserade (skrolla annars vidare till rubriken ”Vad behöver jag göra?”). För att hålla vår kommunikation säker krypterar vi den flera gånger. När vi surfar trådlöst till webbsidor som börjar med HTTPS:// (likt denna) krypteras trafiken mellan vår webbläsare och webbsidans server. Sedan krypteras den krypterade trafiken ytterligare en gång för överföringen mellan vår dator och vår router eller accesspunkt.

Anslutning till HTTPS-webbsidor på säkert wifi
Vid anslutning till HTTPS-webbsidor krypteras trafiken innan den krypteras igen för överföring i trådlösa nätverk.

Krack-säkerhetsbristen gör endast att den ena krypteringen påverkas. All trafik som krypterades innan den skickades ut i det trådlösa nätverket är meningslös för en attackerare att avlyssna (det går inte att läsa ut något av den).

Anslutning till HTTPS-webbsidor på säkert wifi
En attackerare som utnyttjar Krack-säkerhetsbristen kan inte avlyssna trafik som krypterades innan den skickades ut i det trådlösa nätverket.

Det som en attackerare kan avlyssna är trafik som inte krypterats i förväg, till exempel trafik till och från webbsidor som börjar med HTTP:// i stället för HTTPS:// (exempelvis dplay.se).

Anslutning till HTTP-webbsidor på osäkert wifi
En attackerare som utnyttjar Krack-säkerhetsbristen kan avlyssna trafik som lämnade klienten okrypterad.

Vad behöver jag göra?

För att vara säker måste tidigare nämnda trådlösa produkter uppdateras. Det gäller åtminstone om de skickar känslig information. Av denna anledning är en dator betydligt viktigare att uppdatera än till exempel en wifi-ansluten badrumsvåg.

Uppdateringen görs på olika sätt beroende på produkttyp. Datorer som kör Windows, Mac OS och Linux uppdateras automatiskt. Samma sak gäller spelkonsoler. Mesh-system uppdateras genom att administratören (personen som installerade systemet) startar den tillhörande mobilappen och letar efter mjukvaruuppdateringar.

Repeatrar, bryggor, skrivare, övervakningskameror och andra ”Internet of Things-produkter” kan vara svårare att uppdatera. Om de har en tillhörande app kan de generellt uppdateras genom den. Annars behöver produktens administratör ladda ned en så kallad firmwareuppdatering från produkttillverkarens webbsida. Sedan ansluter administratören till produktens webbgränssnitt och laddar upp firmwareuppdateringen där. Den exakta uppdateringsprocessen varierar från produkt till produkt, men förklaras närmare i produkternas respektive manualer.

Det är inte säkert att alla berörda produkter har fått uppdateringar som löser problemet. Här följer en sammanställning över vad som gäller för datorer, mobiler och surfplattor (d.v.s. produkterna som oftast hanterar känslig information).

Windows 7Uppdatering tillgänglig. Om alla uppdateringar är installerade är datorn skyddad. (Microsoft Security Techcenter)
Windows 8.1Uppdatering tillgänglig. Om alla uppdateringar är installerade är datorn skyddad. (Microsoft Security Techcenter)
Windows 10Uppdatering tillgänglig. Om alla uppdateringar är installerade är datorn skyddad. (Microsoft Security Techcenter)
Mac OS 10.12Oklart när/om uppdatering släpps.
Mac OS 10.13Uppdatering kommer i Mac OS High Sierra 10.13.1 inom några veckor. Installera uppdateringen när den dyker upp i App store så är datorn skyddad.
Uppdatering 2017-10-31: Mac OS 10.13.1 kan nu laddas ned. Installera uppdateringen så är Macen skyddad (installera direkt genom att öppna App Store och leta efter uppdateringar).
Ubuntu 16.04 LTSUppdatering tillgänglig. Om alla uppdateringar är installerade är datorn skyddad. (Ubuntu)
Ubuntu 17.10Behöver inte uppdateras.
Android (Google)Uppdateringar till Pixel- och Nexus-enheter släpps inom några veckor enligt Googles kommentar till The Verge. Installera uppdateringen när notisen dyker upp så är enheten skyddad.
IOS 10Oklart när/om uppdatering släpps.
IOS 11Uppdatering kommer i IOS 11.1 inom några veckor. Installera uppdateringen när notisen dyker upp så är enheten skyddad.
Uppdatering 2017-10-31: IOS 11.1 kan nu laddas ned. Installera uppdateringen så är enheten skyddad (installera direkt genom att öppna Inställningar och välja Allmänt följt av Programuppdatering).

Bortsett från Googles egna Android-enheter uppdateras Android-mobiler och -surfplattor av respektive tillverkare. Det går därför inte att ge något generellt svar kring uppdateringens tillgänglighet. Samtliga enheter som kör Android 6.0 eller senare behöver uppdateras. Mathy Vanhoef, forskaren som hittade säkerhetsbristen, skriver i sin sammanställning att 50 % av alla Android-enheter är drabbade (krackattacks.com). Kontakta din mobil- eller surfplattetillverkare för att höra när/om de släpper uppdateringen för din enhet.

Hur skyddar jag en icke-uppdaterad enhet?

Om du har en dator, surfplatta eller mobil som inte har fått uppdateringen kan du avhjälpa problemet tillfälligt med hjälp av en VPN-app (läs mer i Hur funkar det?). VPN-appen krypterar all trafik innan den lämnar klienten, så att en eventuell avlyssningsattack blir poänglös (attackeraren ser bara nonsensdata).

Anslutning via VPN på osäkert wifi
En attackerare som utnyttjar Krack-säkerhetsbristen kan inte avlyssna trafik som krypterades av en VPN-app innan den skickades ut i det trådlösa nätverket.

Behöver routrar och accesspunkter uppdateras?

Konsumenter behöver inte uppdatera sina routrar på grund av Krack. Konsumentroutrar berörs inte av säkerhetsbristen i och med att de inte ansluter till något trådlöst nätverk. De sänder enbart ut ett trådlöst nätverk. Detta gäller under förutsättning att routrarna används som routrar (vissa modeller kan även agera repeater eller brygga).

Av samma anledning berörs inte heller konsumentaccesspunkter (läs mer om vad som gäller företagsaccesspunkter i företagsversionen av denna artikel).

Sammanfattning

Som du säkert märker är jag inte alltför orolig över Krack-säkerhetsbristen i konsumentsammanhang. Jag har i denna artikel försökt att tona ned allvarlighetsgraden till rätt nivå. De stora rubrikerna sparar jag på tills något riktigt allvarligt händer.

Uppdatera alla dina trådlöst anslutna produkter så löser problemet sig själv. Om du har en ouppdaterad Android-enhet och är orolig för att just den ska bli attackerad rekommenderar jag att installera en VPN-app från ett säkerhetsföretag som du litar på.

Nikka Systems fortsätter att bevaka Krack-utvecklingen. Du kan hålla dig uppdaterad genom att följa Nikka Systems på FacebookTwitterInstagram och Linkedin eller prenumerera på Internetprotokollet.

Lämna en kommentar

Fler Bli säker-nyheter

Nyhetsbrev

Få nyheterna från Bli säker-bloggen till din inkorg en gång per vecka. Läs mer.

Följer du oss?