In de Amsterdamse regio blijkt de beveiliging van draadloze netwerken slecht uitgevoerd. Kort na de introductie van de standaard 802.11b, twee jaar geleden, doken de eerste verhalen op over Amerikaanse hackers die via het radionetwerk vanuit hun auto ongestoord toegang kregen tot inpandige bedrijfsnetwerken. In Nederland is de situatie niet veel beter.
Samen met het Belgische Better Access deed Computable donderdag 14 november onderzoek naar de beveiliging van draadloze netwerken gebaseerd op het 802.11b-protocol. Met een ‘wireless hacking unit’ troffen we op bedrijventerreinen bij Hoofddorp en Schiphol-Rijk en in het centrum van Amsterdam in totaal 78 draadloze netwerken aan. Meer dan de helft daarvan blijkt helemaal niet beveiligd (43 ofwel 55 procent). De rest (35, 45 procent) versleutelt het netwerkverkeer op basis van het wep-protocol (wired equivalent privacy).
De steekproef, die een middag in beslag nam, toont aan dat ook in Nederland draadloze netwerken slecht geconfigureerd zijn. Het merendeel van de gevonden netwerken heeft als naam de merknaam van het zendpunt. Hetzelfde geldt voor de beveiliging; deze staat standaard uit. "Systeembeheerders vergeten dat de signalen van hun draadloze netwerken ook buiten het kantoor op te vangen en te gebruiken zijn", zegt Jan Guldentops, die voor Computable het onderzoek uitvoerde. Guldentops is eigenaar van Better Access, een Belgisch onderzoeksbureau op het gebied van it-beveiliging.
Het systeem van Guldentops bestaat uit een laptop met een draadloze netwerkkaart weggewerkt in een stalen kistje. Op de laptop draait software die draadloze netwerken uitleest en een aantal gegevens ervan vastlegt. De software doorloopt alle kanalen van de 802.11b-standaard en luistert naar draadloos netwerkverkeer, dat door access points ofwel basisstations uitgestuurd wordt. Zonder toegang te vragen tot het netwerk is de naam van het basisstation te zien. Ook wordt aangegeven of wep-versleuteling aanstaat. Het betreden van het netwerk via het basisstation door onbevoegden betekent computervredebreuk, een bepaling uit het wetboek van strafrecht.
Onwetendheid
Een advocatenkantoor bleek één van de bedrijven die zijn draadloos netwerk niet beveiligt. Een werknemer van het bedrijf geeft aan dat de beveiliging centraal geregeld is op de servers. De beveiliging van het draadloze netwerk staat daarom uit. Zonder bevoegdheden kan niemand iets op het netwerk, redeneert deze werknemer. Eenmaal op het netwerk kunnen kwaadwillenden echter gebruikersnamen en wachtwoorden afvangen om zichzelf bevoegdheden toe te eigenen. Ook zijn leidinggevende maakt zich geen zorgen over de beveiliging van het bedrijfsnetwerk: "We zijn goed beveiligd en verder heb ik geen tijd om de kolommen van uw blaadje te vullen."
Een reclamebureau, waarvan het draadloze netwerk ook onbeveiligd bleek, zegt inmiddels op wep-versleuteling overgestapt te zijn. "Maar ook dit protocol geeft geen 100 procent beveiliging doordat het relatief eenvoudig te kraken is", aldus de locatiemanager van het bedrijf. Hij zegt dat zijn bedrijf bezig was met onderhoud aan het bedrijfsnetwerk en dat het daardoor niet aan de hoogste vorm van beveiliging toekwam. Het bureau werkt sinds een jaar met netwerken op basis van radiotechnologie.
Ook in andere Europese landen is de beveiliging van draadloze netwerken slecht uitgevoerd. Onderzoek van Orthus en RSA Security in de binnenstad van Londen wees uit dat 67 procent van 124 gevonden draadloze netwerken open stond.
