Het doel van dit artikel is niet om te vertellen dat er geen gebruik meer gemaakt moet worden van draadloze netwerken, maar om iedereen bewust te maken van de risico’s die dit met zich meebrengt. Daarnaast is het uiteraard niet de bedoeling dat met de opgedane kennis misbruik gemaakt wordt van open Wi-Fi-netwerken.
Draadloze netwerken zijn overal om ons heen. Open draadloze netwerken worden op dit moment overal aangeboden. Een open Wi-Fi-netwerk is een netwerk waar iedereen verbinding mee mag maken zonder een gebruikersnaam en/of wachtwoord in te voeren. Denk bijvoorbeeld aan de open netwerken bij McDonalds of tankstations. Een steeds grotere groep mensen is zich gelukkig steeds meer bewust van de risico’s die een open netwerk met zich meebrengt. Het is namelijk eenvoudig om data uit de lucht te halen: deze wordt vaak verzonden in leesbare tekst. Maar kunnen we dan wel vertrouwen op bijvoorbeeld https, een met ssl beveiligde verbinding? Ik heb onderzoek gedaan naar open Wi-Fi-netwerken en kwam tot een schokkende conclusie.
Een ‘bekend’ Wi-Fi-netwerk
De meeste clients, of dit nu laptops, tablets of telefoons zijn, hebben tegenwoordig Wi-Fi en onthouden draadloze netwerken waar al eens een verbinding mee gemaakt is. Zodra dit netwerk weer bereikbaar is, wordt er vaak automatisch een verbinding gemaakt. Dit zonder tussenkomst of goedkeuring van een gebruiker, laat staan dat het mensen opvalt. Iedereen is tegenwoordig altijd online, bij de meeste gebruikers valt het niet op met welk netwerk er een verbinding wordt gemaakt. Daarnaast vertrouwen mensen maar al te vaak op een ‘bekend’ Wi-Fi-netwerk. Als het de naam heeft van een café of restaurant in de buurt, gaan mensen verbinden. Iedereen kan zijn netwerk een naam geven, het is dan ook de vraag of het netwerk ‘McDonalds’ ook daadwerkelijk van dat bedrijf is.
Ik heb verschillende testen uitgevoerd om te ontdekken hoe eenvoudig het is om gevoelige data te onderscheppen. Binnenkort zullen wij een aantal filmpjes naar buiten brengen met de resultaten. De uitkomsten zijn op z’n minst zorgwekkend te noemen. Met eenvoudig verkrijgbare apparatuur is het mogelijk om bijvoorbeeld inloggegevens van sociale media te bemachtigen of transactiegegevens van online bankieren aan te passen. Dit laatste is vooral voor consumenten vervelend omdat de bewijslast sinds 1 januari 2014 bij hen ligt. Ook is het mogelijk om DigiD-accounts te onderscheppen. Vooral gebruikers die alleen een gebruikersnaam en wachtwoord hebben lopen hierbij een risico.
PineApple MK5
Ik heb met de Pineapple MK5, die slechts voor 99 dollar te koop is, verschillende testen uitgevoerd. De Pineapple is een kleine computer met twee draadloze netwerkkaarten en verschillende tools die vooraf geïnstalleerd zijn. Een van deze tools is Karma. Karma is een tool die antwoord op aanvragen van clients. Is er bijvoorbeeld eerder eens verbinding gemaakt met een open netwerk ‘Thuis01’, dan zal de tool reageren met de reactie dat hij dat netwerk ‘is’ en de verbinding leveren. Ik heb, als gebruiker van de Pineapple, nu de volledige controle over de sessie. Naast Karma draait ook de tool SSLstrip. Deze zorgt voor het verwijderen van de ssl-encryptie: https wordt weer http. Dit stelt me als ‘aanvaller’ in staat om data te manipuleren in ‘beveiligde’ verbindingen.
Gebruikers zien nog wel een slotje in de balk staan, maar dit is de favico.ico. De favico.ico is de afbeelding die te zien is in de adresbalk of tabblad. Google gebruikt bijvoorbeeld een blauw vierkant met de ‘G’. De meeste gebruikers zullen dit niet opmerken en gaan door. Op dit moment kan de ‘aanvaller’ bijvoorbeeld inloggegevens of transactiegegevens onderscheppen en zelfs aanpassen. Dit is slechts een beperkt voorbeeld. Uiteraard zijn er nog veel meer mogelijkheden, denk bijvoorbeeld aan het achterlaten van malware op de client en een backdoor installeren waarmee de gebruiker mogelijk zelfs toegang kan krijgen tot bedrijfsnetwerken.
Risico’s beperken
Op dit moment zijn er geen (stabiele) technische maatregelen die helpen om dit soort aanvallen op open Wi-Fi-netwerken te voorkomen. De gebruiker kan zelf wel wat doen om risico’s te beperken:
* Controleer altijd of er https in de adresbalk staat.
Over het algemeen gaat men naar www.mijnbank.nl en klikt vervolgens op ‘internetbankieren’. Vanaf dat moment wordt er vaak niet meer gekeken naar de https in de adresbalk. We komen immers uit een vertrouwde omgeving. Controleer zodra je moet inloggen of er https in de adresbalk staat. Bij twijfel moet je niet verder gaan.
* Zorg dat er niet automatisch Wi-Fi-verbindingen worden gemaakt.
Standaard maakt bijvoorbeeld de iPhone verbinding met netwerken waar al eens eerder verbinding mee is gemaakt. Ook al is het netwerk niet beschikbaar, dan nog zal de iPhone proberen het netwerk te bereiken. Schakel deze optie uit. Uiteraard geldt dit ook voor andere devices.
* Maak bij voorkeur verbinding met gesloten Wi-Fi-netwerken.
Gesloten Wi-Fi-netwerken maken gebruik van wachtwoorden of sleutels. Deze zijn vaak niet bekend bij de aanvaller en beperken het risico dat iemand mee kan kijken.
Conclusie
Mijn conclusie is dat gebruikers bewust om zouden moeten gaan met open Wi-Fi-netwerken en zich moeten realiseren dat potentiële aanvallers mee kunnen kijken met al het verkeer. Ook al doe je niets met je smartphone, alle apps (onder andere email, Facebook, Twitter, Linkedin) blijven actief en versturen gebruikersnamen en wachtwoorden om updates te tonen.
Ronald Kingma, senior security specialist bij Securelabs
Voor de smartphone en tablets zijn er apps die de WiFi uit zetten als je buiten aangegeven gebieden begeeft. Hiervoor moet wel je GPS functie aanstaan uiteraard.
Praktisch vraagje, hoe zie ik welke WIFI verbindingen ik in het verleden heb gebruikt die onveilig zijn op IOS? Het lukt mij niet eens om een lijst op te halen van bekende Wifi netwerken.
Nogmaals, ik weet dat open netwerken onveilig zijn en dat de verleiding weerstaan moet worden om ze te gebruiken. Ik wil het advies dus opvolgen, maar IOS is hierin heel beperkt.
Ik kan de instelling niet vinden waarin ik aan wil geven niet te willen connecten aan WIFI zonder wachtwoord.
Ik wil een lijst van WIFI verbindingen die ik ooit heb gebruikt en geen wachtwoord hebben.
In IOS is dit niet te vinden c.q. in te stellen.
Kort door de bocht: IOS heeft weinig mogelijkheden veilig te werken, of om veiliger te werken na dit advies. Hmm, misschien ga ik hier eens een artikel aan wijden.
Bedankt.
Kleine anekdote: Mijn schoonvader kwam een paar maanden terug zijn nieuwe iPad Air laten zien. Hij vroeg bij mij thuis of hij mijn WIFI mocht gebruiken, maar toen hij keek zag hij dat hij al verbonden was… WTF?! Dacht ik nog. Hoe kan dit?
Drie jaar terug had hij een Macbook Pro gekocht. Die heb ik samen met hem bij mij thuis geïnstalleerd. Het toen gebruikte wachtwoord is dus in iTunes opgeslagen of met zijn Apple account (geen iCloud) en dus automatisch doorgegeven aan zijn iPad….
Ik denk, terecht de intentie van Ronald Kingma, dat wij onse ‘span’ even moeten verbreden naar de ‘horizon’ van de doorsneegebruiker. Natuurlijk, wij weten ook wel waar we op moeten letten en ‘bevelen’ dat of gene ook maar al te graag aan aan iedereen. Maar we vergeten met hetzelfde gemak regelmatig die ene backup te maken die we net nodig hebben als die harde schijf het heeft begeven.
Leuk artikel, misschien moet je die ook elders geplaatst zien te krijgen op bijvoorbeeld amateur IT sites.
@Henri: iOS is helaas erg beperkt. Het resetten van je netwerksettings (en daarmee ook het wissen van alle wifi-passwords die je wel wilt behouden) lijkt de enige remedie.
Goed artikel ter bewustwording, het is sowieso uitkijken met het gebruik van internet (wifi / bedraad, publiek of thuis).
Email bijvoorbeeld wordt door velen gezien/ervaren als veilig, toch gaat dat allemaal zonder enige vorm van versleuteling de wereld rond..
En er zijn geen gebruiksvriendelijke alternatieven (PGP bijvoorbeeld..)
Voor mijn gebruik heb ik een mobiele WLANrouter die via het mobiele telefoon-netwerk werkt, daar kunnen smartphone en tablet ook tegelijk werken en dat ding is 9 x 5 x 1,3 cm.
Open WiFiNetwerken vindt ik toch nog te riskant per slot is android geen linux waar het om mogelijkheden van beveiliging gaat.
Dat ding is tevens mijn terugval als de ISP down zou gaan, dan kan ik nog steeds bij mijn email/agenda etc.
JW, dank, ik ben bang dat er inderdaad geen andere manier is, maar vreemd is het wel!
“Email bijvoorbeeld wordt door velen gezien/ervaren als veilig, toch gaat dat allemaal zonder enige vorm van versleuteling de wereld rond..”
Dit zei ik ook altijd, maar volgens mij is dat niet helemaal meer waar. Ik gebruik GMail, communicatie met de SMTP server en bijv. de IMAP is beide kanten op versleuteld. Of Google de data in de mailbox zelf plain tekst opslaat weet ik niet, maar ook daar geld dat dit niet zomaar getapt kan worden ook niet als je in de zelfde (veilige) WIFI verbinding werkt.
Dat NSA uiteindelijk tussen Google servers onderling data aftapte dat zal wellicht de uitzondering zijn, maar in mijn ogen wordt veel email verkeer nu wel end to end versleuteld.
@Henri:
“Dat NSA uiteindelijk tussen Google servers onderling data aftapte dat zal wellicht de uitzondering zijn, maar in mijn ogen wordt veel email verkeer nu wel end to end versleuteld.”
De NSA is een grote uitzondering, omdat ze alle dataverkeer van en naar Google jarenlang kunnen aftappen en opslaan en Google vervolgens na het verlopen van het SSL-certificaat om de bijbehorende privésleutel mogen vragen, zonder dat er een haan naar kraait.