Managed hosting door True
Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

Kijk uit met open Wi-Fi-netwerken

Toegang tot data en mobiele devices kinderlijk eenvoudig

 

Het doel van dit artikel is niet om te vertellen dat er geen gebruik meer gemaakt moet worden van draadloze netwerken, maar om iedereen bewust te maken van de risico’s die dit met zich meebrengt. Daarnaast is het uiteraard niet de bedoeling dat met de opgedane kennis misbruik gemaakt wordt van open Wi-Fi-netwerken.

Draadloze netwerken zijn overal om ons heen. Open draadloze netwerken worden op dit moment overal aangeboden. Een open Wi-Fi-netwerk is een netwerk waar iedereen verbinding mee mag maken zonder een gebruikersnaam en/of wachtwoord in te voeren. Denk bijvoorbeeld aan de open netwerken bij McDonalds of tankstations. Een steeds grotere groep mensen is zich gelukkig steeds meer bewust van de risico’s die een open netwerk met zich meebrengt. Het is namelijk eenvoudig om data uit de lucht te halen: deze wordt vaak verzonden in leesbare tekst. Maar kunnen we dan wel vertrouwen op bijvoorbeeld https, een met ssl beveiligde verbinding? Ik heb onderzoek gedaan naar open Wi-Fi-netwerken en kwam tot een schokkende conclusie.

Een ‘bekend’ Wi-Fi-netwerk

De meeste clients, of dit nu laptops, tablets of telefoons zijn, hebben tegenwoordig Wi-Fi en onthouden draadloze netwerken waar al eens een verbinding mee gemaakt is. Zodra dit netwerk weer bereikbaar is, wordt er vaak automatisch een verbinding gemaakt. Dit zonder tussenkomst of goedkeuring van een gebruiker, laat staan dat het mensen opvalt. Iedereen is tegenwoordig altijd online, bij de meeste gebruikers valt het niet op met welk netwerk er een verbinding wordt gemaakt. Daarnaast vertrouwen mensen maar al te vaak op een ‘bekend’ Wi-Fi-netwerk. Als het de naam heeft van een café of restaurant in de buurt, gaan mensen verbinden. Iedereen kan zijn netwerk een naam geven, het is dan ook de vraag of het netwerk ‘McDonalds’ ook daadwerkelijk van dat bedrijf is.

Ik heb verschillende testen uitgevoerd om te ontdekken hoe eenvoudig het is om gevoelige data te onderscheppen. Binnenkort zullen wij een aantal filmpjes naar buiten brengen met de resultaten. De uitkomsten zijn op z’n minst zorgwekkend te noemen. Met eenvoudig verkrijgbare apparatuur is het mogelijk om bijvoorbeeld inloggegevens van sociale media te bemachtigen of transactiegegevens van online bankieren aan te passen. Dit laatste is vooral voor consumenten vervelend omdat de bewijslast sinds 1 januari 2014 bij hen ligt. Ook is het mogelijk om DigiD-accounts te onderscheppen. Vooral gebruikers die alleen een gebruikersnaam en wachtwoord hebben lopen hierbij een risico.

PineApple MK5

Ik heb met de Pineapple MK5, die slechts voor 99 dollar te koop is, verschillende testen uitgevoerd. De Pineapple is een kleine computer met twee draadloze netwerkkaarten en verschillende tools die vooraf geïnstalleerd zijn. Een van deze tools is Karma. Karma is een tool die antwoord op aanvragen van clients. Is er bijvoorbeeld eerder eens verbinding gemaakt met een open netwerk ‘Thuis01’, dan zal de tool reageren met de reactie dat hij dat netwerk ‘is’ en de verbinding leveren. Ik heb, als gebruiker van de Pineapple, nu de volledige controle over de sessie. Naast Karma draait ook de tool SSLstrip. Deze zorgt voor het verwijderen van de ssl-encryptie: https wordt weer http. Dit stelt me als ‘aanvaller’ in staat om data te manipuleren in ‘beveiligde’ verbindingen.

Gebruikers zien nog wel een slotje in de balk staan, maar dit is de favico.ico. De favico.ico is de afbeelding die te zien is in de adresbalk of tabblad. Google gebruikt bijvoorbeeld een blauw vierkant met de ‘G’. De meeste gebruikers zullen dit niet opmerken en gaan door. Op dit moment kan de ‘aanvaller’ bijvoorbeeld inloggegevens of transactiegegevens onderscheppen en zelfs aanpassen. Dit is slechts een beperkt voorbeeld. Uiteraard zijn er nog veel meer mogelijkheden, denk bijvoorbeeld aan het achterlaten van malware op de client en een backdoor installeren waarmee de gebruiker mogelijk zelfs toegang kan krijgen tot bedrijfsnetwerken.

Risico’s beperken

Op dit moment zijn er geen (stabiele) technische maatregelen die helpen om dit soort aanvallen op open Wi-Fi-netwerken te voorkomen. De gebruiker kan zelf wel wat doen om risico’s te beperken:

* Controleer altijd of er https in de adresbalk staat.
Over het algemeen gaat men naar www.mijnbank.nl en klikt vervolgens op ‘internetbankieren’. Vanaf dat moment wordt er vaak niet meer gekeken naar de https in de adresbalk. We komen immers uit een vertrouwde omgeving. Controleer zodra je moet inloggen of er https in de adresbalk staat. Bij twijfel moet je niet verder gaan.

* Zorg dat er niet automatisch Wi-Fi-verbindingen worden gemaakt.
Standaard maakt bijvoorbeeld de iPhone verbinding met netwerken waar al eens eerder verbinding mee is gemaakt. Ook al is het netwerk niet beschikbaar, dan nog zal de iPhone proberen het netwerk te bereiken. Schakel deze optie uit. Uiteraard geldt dit ook voor andere devices.

* Maak bij voorkeur verbinding met gesloten Wi-Fi-netwerken.
Gesloten Wi-Fi-netwerken maken gebruik van wachtwoorden of sleutels. Deze zijn vaak niet bekend bij de aanvaller en beperken het risico dat iemand mee kan kijken.

Conclusie

Mijn conclusie is dat gebruikers bewust om zouden moeten gaan met open Wi-Fi-netwerken en zich moeten realiseren dat potentiële aanvallers mee kunnen kijken met al het verkeer. Ook al doe je niets met je smartphone, alle apps (onder andere email, Facebook, Twitter, Linkedin) blijven actief en versturen gebruikersnamen en wachtwoorden om updates te tonen.

Ronald Kingma, senior security specialist bij Securelabs

Dit artikel is afkomstig van Channelweb.nl (https://www.channelweb.nl/artikel/4997631). © Jaarbeurs IT Media.

?

 

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.