Sikkerhetsvarsel / Security bulletin 2017-10-16 Tr?dl?se nett

Det har i dag blitt publisert informasjon om en s?rbarhet knyttet til tr?dl?se nett (WPA2). S?rbarheten ?pner for tyvlytting og modifisering av trafikk mellom aksesspunkt og din enhet.
 
(for English, scroll down)

S?rbarheten kort oppsummert

Mye av det som har v?rt skrevet om denne saken i media er enten misvisende eller direkte feil.  Her er de viktigste punktene du trenger ? forholde deg til:

  • Det er f?rst og fremst klienter (enhetene beskrevet under) som er ber?rt av s?rbarheten, ikke nettverksutstyret (les: du trenger ikke ? l?pe ut og kj?pe ny tr?dl?srouter).
  • De fleste enhetene p? markedet er s?rbare (mobiltelefon, nettbrett, laptop, smart-TV og annet utstyr som kobler seg p? tr?dl?st nett).
  • Enhetene m? sikkerhetsoppdateres for ? ikke v?re s?rbare, UiO-enheter i driftsopplegg vil bli automatisk oppdatert n?r oppdateringer blir tilgjengelig fra leverand?r.
    • Hvis du har en hjemmemaskin / laptop eid av UiO som du er usikker p? om er satt opp til ? f? automatiske sikkerhetsoppdateringer, ta kontakt med din lokale it-enhet. For sp?rsm?l rundt privateid utstyr, ta kontakt med leverand?ren eller leverand?rens st?tteapparat.
  • S?rbarheten gir ikke angripere tilgang til eller kontroll over enheten din, men angripere kan f? tilgang til nettet ditt p? samme m?te som om du hadde gitt bort passordet eller om nettet var satt opp uten kryptering (?pent tr?dl?st nett).
  • S?rbarheten gir ikke angriperen innsyn i nettverkstrafikk som er beskyttet med TLS, for eksempel nettsidene til banken din, bruk av UiO sitt e-postsystem med mer.
    • V?r kritisk til feilmeldinger i nettleseren, e-postklienten og i annen programvare du benytter. Sertifikatfeilmeldinger kan v?re tegn p? at noen pr?ver ? utnytte s?rbarheten og lure enheten din til ? koble seg til en falsk versjon av nettbanken din.

Generelle tips for ? forhindre dataangrep

  • Hold alle datamaskiner oppdatert.
  • Installer alle sikkerhetsoppdateringer med en gang de blir tilgjengelige.
  • V?r skeptisk til lenker og vedlegg i e-post.
    • Ikke trykk p? vedlegg du ikke kjenner opphavet til.
    • Ikke trykk p? lenker. Vi anbefaler at du heller taster inn nettadressen manuelt i nettleseren din.
  • Ha sikkerhetskopier av alle viktige filer.
    •    P? UiO, benytt hjemmeomr?det (m:) og fellesomr?der for lagring. Disse sikkerhetskopieres fortl?pende.
  • Benytt https der det er mulig. (f.eks. https://uio.no).

Kontakinformasjon UiO-CERT

  • E-post: cert@uio.no
  • Telefon: 228 40911

Detaljert kontaktinformasjon for UiO-CERT.

Summary of the vulnerability

A lot of the media coverage of this vulnerability has been either misleading or downright wrong. These are the most important aspects of the vulnerability:

  • The vulnerability primarily affects clients (described below), not networking equipment (i.e. you do not need to replace your wireless router).
  • Most devices on the market today are vulnerable (mobile phones, tablets, laptops smart TVs and other equipment that connects to wireless networks).
  • The devices must receive security updates to fix the vulnerability. Devices managed by UiO will receive updates automatically, as soon as they are available.
  • If you have a home computer or laptop owned by UiO and you are not sure whether or not it is set up to receive security updates automatically, contact your local IT department.
    • For questions regarding privately owned equipment, contact the vendor.
  • The vulnerability does not give the attackers access to or control over your device, but they can get access to your network in the same way they would if you had given them the network password, or if the network was set up without encryption (an open wireless network).
  • The vulnerability does not give the attacker access to network traffic protected by TLS, like your bank's website, UiO's email system and more.
    • Be critical to error messages from your browser, email client and other software. Reports of certificate errors can be a sign that someone is trying to use the vulnerability to trick your device into connecting to a fake version of your online bank, or other secure sites.

General tips to avoid computer attacks

  • Keep all computers patched and updated.
  • Install security updates as soon as they are available.
  • Be sceptical to links and attachments in email
    • Don't open attachments if you are not sure where they came from
    • Do not click links in emails. We recommend you input the URL manually in your browser by typing instead.
  • Keep security backups of all important files
    • At UiO, use your home directory (M:) and shared directories for saving. Backups are made of these regularly.
  • Use https where possible (for example https://uio.no).

Contact information for UiO-CERT

  • Email: cert@uio.no
  • Phone: 228 40911

Detailed contact information for UiO-CERT.

 

Emneord: dataangrep, wifi, wpa2, UiO-CERT Av cert@uio.no
Publisert 16. okt. 2017 19:54 - Sist endret 28. mars 2019 13:00
Del p? e-post