Een beveiligingslek in de WiFi-encryptie WPA2, laat kwaadwillend personeel draadloos netwerkverkeer afluisteren en zelfs machines in het netwerk infecteren. De kwetsbaarheid, 'Hole 196' genaamd, werd ontdekt door beveiligingsbedrijf AirTight Networks en wordt tijdens Black Hat en DEFCON18 gedemonstreerd. Via het lek kan een insider de WPA2 private key encryptie en authenticatie omzeilen om het verkeer van andere geautoriseerde gebruikers te ontsleutelen, alsmede hun computers op kwetsbaarheden te controleren, om vervolgens malware te installeren en de machines over te nemen.

Hole 196 is een man-in-the-middle aanval, die alleen werkt als de aanvaller zelf een geautoriseerde gebruiker is. De kwetsbaarheid zit niet in de gebruikte encryptie en er wordt ook geen brute force-aanval toegepast. Een bepaling in de standaard die toestaat dat alle clients broadcastverkeer van een access point via een gedeelde key ontvangen, is de boosdoener. Een geautoriseerde gebruiker kan deze sleutel achterstevoren gebruiken en gespoofte pakketten versturen diie met de gedeelde groepssleutel versleuteld zijn.

Sleutels
WPA2 gebruikt twee soorten sleutels. De eerste is de Pairwise Transient Key (PTK), die voor elke client uniek is en beschermt tegen unicastverkeer. De tweede sleutel is de Group Temporal Key (GTK), die naar meerdere clients gestuurd broadcastverkeer beschermt. PTKs kunnen gespoofte adressen en vervalste data herkennen, GTKs niet, aldus de standaard. Omdat de client het GTK-protocol gebruikt voor het ontvangen van broadcastverkeer, kan de gebruiker van de client de GTK misbruiken om zijn eigen broadcastpakket te maken. De clients die het pakket vervolgens ontvangen, reageren hierop door de afzender de informatie van hun eigen privésleutel te sturen.

Het beveiligingsbedrijf voegde naar eigen zeggen tien regels code toe aan de opensource MadWiFi driver software. Met een standaard netwerkkaart is het vervolgens mogelijk om het MAC-adres van het access point te spoofen. Clients die het gespoofte bericht ontvangen denken dat dit het access point is en geven als antwoord hun PTK. De aanvaller kan die sleutels ontsleutelen. Daar vandaan kan een kwaadwillende insider verkeer onderscheppen of een denial-of-service uitvoeren.

Personeel
Dat het lek alleen door geautoriseerde gebruikers is te gebruiken maakt het volgens AirTight Networks niet minder erg. Kwaadwillend personeel zou nog altijd de grootste uitdaging vormen en voor de meeste schade verantwoordelijk zijn. Uit een eerder gepubliceerd zou blijken dat bedrijven ondanks allerlei beleid en maatregelen, bedrijven regelmatig het slachtoffer van 'insiders' zijn. Verder kosten dit soort incidenten meer dan aanvallen van buitenaf. "Wat dit lek alleen nog maar ernstiger maakt", aldus de beveiliger.