Beveiligingsonderzoekers hebben een manier gevonden om privégegevens af te luisteren via IPv4, dankzij een functie van het IPv6-protocol. Zowel Windows als Mac OS X zijn kwetsbaar.

Onderzoekers van beveiligingsbedrijf InfoSec hebben ontdekt dat het met de standaardinstellingen van moderne, veelgebruikte besturingssystemen eenvoudig is om vertrouwelijk netwerkverkeer te kapen. Dit raakt zowel Windows Vista en 7 als Windows Server 2008, maar ook Mac OS X.

De onderzoekers onderscheppen IPv4-verkeer via de IPv6-functie Stateless Address Auto Configuration (SLAAC), die standaard ingeschakeld is op deze besturingssystemen. Deze functie zit pas sinds Windows Vista in het pc-besturingssysteem van Microsoft.

Configuratiegemak
SLAAC wordt gebruikt om het configureren van IPv6-netwerken te vereenvoudigen. Daar zit direct ook de zwakte van de tool, die door de onderzoekers misbruikt is. Via SLAAC maken Windows en OS X namelijk direct verbinding met een IPv6-netwerk, ook als ze al een verbinding met een IPv4-netwerk hebben.

De automatische verbinding kan dan 'opgepikt' worden door een speciaal opgezette IPv6-router, die de communicatie afluistert en opslaat. Dat parasitaire IPv6-netwerk opereert dan ongezien naast de reguliere IPv4-verbinding die de computer al had. Naar de buitenwereld toe communiceert het gewoon met IPv4 zodat mail-en websurfverkeer gewoon doorkomt, zoals altijd. Kwaadwillenden kunnen SLAAC dus inzetten om IPv6-verkeer om te leiden via het eigen, 'afluisterende' netwerk.

Windows en Mac verbinden direct
“Alle Windows-computers maken standaard verbinding met de kwaadaardige router in plaats van de legitieme router als deze de 'parisitaire overlay' draait”, zegt manager Jack Koziol van InfoSec tegen de Britste techsite The Register.

De door het beveiligingsbedrijf ontwikkelde proof of concept werkt volgens hem ook op computers met Mac OS X, hoewel de onderzoekers dat besturingssysteem niet hebben getest. Standaard zijn gebruikers van computers met Linux, FreeBSD en andere besturingssystemen wel beveiligd tegen deze aanval.

Gebruikers merken niets
Slachtoffers van deze nieuwe afluistermethode merken daar niets van. De misbruikte IPv6-functie staat namelijk standaard aan in nieuwere versies van Windows en Mac OS X, en die besturingssystemen nemen op de achtergrond een IPv6-adres aan van de malafide router. De besturingssystemen waarschuwen bovendien niet als zij verbinding krijgen met een ongeautoriseerd netwerk maar nemen direct het IP-adres aan. De verbinding met het IPv6-netwerk blijft dus ongezien.

Dit is vooral gevaarlijk als bezitters van die computers normaliter gebruikmaken van IPv4. Dan hebben zij namelijk nog geen verbinding met een IPv6-netwerk. Omdat de kwetsbare besturingssystemen de voorkeur geven aan IPv6-netwerken wordt de parasitaire router vervolgens gebruikt. Die al het internetverkeer 'naar buiten toe' dus gewoon via IPv4 doorgeeft, waardoor de gebruiker geen onraad zal ruiken.

Router binnensmokkelen
Deze manier om een ‘man in the middle’ aanval uit te voeren werd lang beschouwd als zuiver theoretisch. Het zou grotendeels hetzelfde zijn als het vervalsen van gegevens met het Address Resolution Protocol (ARP). Dat protocol stamt al uit 1982 en er zijn dan ook vele tools die aanvallen via ARP herkennen en kunnen onderscheppen.

Praktisch gebruik van deze afluistermethode vereist wel dat de kwaadwillenden een manier moeten vinden om bij het doelwit kwaadaardige netwerkapparatuur binnen te smokkelen. Dat is eenvoudiger als een organisatie vatbaar is voor bedreigingen van binnenuit, zoals onbetrouwbare werknemers. Door de default instellingen van Microsoft en Apple is zo’n voorheen moeilijke aanval dan ineens makkelijk mogelijk.

IPv6 uitschakelen
Naast strikte en constante controle van het interne netwerk en de verbinding naar de internetprovider toe, is er maar één effectief tegengif. Dat is het geheel uitschakelen van IPv6 op computers. Die methode werkt natuurlijk alleen op machines die nog puur en alleen IPv4 gebruiken.

Webwereld

Published On: 06-04-11|Categories: nieuws|

Deel dit bericht