Begin 2014 kwamen de beveiligingsrisico’s van Wifi uitvergroot in het nieuws toen we kennismaakten met Chameleon, het allereerste ‘Wi-Fi-virus’ dat automatisch draadloze netwerken kan infecteren en zich als een griepvirus door de lucht verspreidt. Gelukkig kwam Chameleon uit de koker van onderzoekers die geen kwaad in de zin hadden. Maar als onderzoekers een dergelijk virus kunnen ontwikkelen, kunnen kwaadwillenden het ook.
In de praktijk merken we helaas maar al te vaak dat gebruikers nauwelijks oog hebben voor de gevaren die op de loer liggen als bedrijfs- of privacygevoelige gegevens via Wifi-netwerken worden uitgewisseld. De gemiddelde gebruiker gaat er onterecht vanuit dat versleutelingsstandaarden, zoals ‘Wi-Fi Protected Access’ (WPA/WPA2), voldoende bescherming bieden tegen zaken als datadiefstal en sabotage. De beschikbaarheid, integriteit en vertrouwelijkheid van de in de ether rondzwevende data zijn daardoor continu in gevaar.
Het gebrek aan interesse voor ‘Wi-Fi security’ is opvallend: de risico’s van draadloos netwerken zijn al geruime tijd bekend en vormen feitelijk ‘niets nieuws onder de zon’. Zo kan een hacker zich voordoen als het draadloze netwerk van de gebruiker zelf om dan als ‘man-in-the-middle’ data, zoals inloggegevens, te onderscheppen of kwaadaardige code, zoals virussen, te injecteren in de datastroom van de gebruiker en daarmee mogelijk ook op het netwerk van de werkgever. Als via een portal wordt ingelogd op een hotspot heeft een hacker de mogelijkheid om de inloggegevens te onderscheppen nog voordat de verbinding tot stand wordt gebracht. Ook het ‘niet beschikbaar zijn’ van het draadloze netwerk kan grote gevolgen hebben, bijvoorbeeld voor de productiviteit. Met een gerichte denial of service (DDoS)-aanval is het echter betrekkelijk eenvoudig om wireless access points onderuit te halen.
Recent nog liet een ‘gelegenheidshacker’ van mijn werkgever tijdens een bijeenkomst van de gebruikersvereniging TYPO3gem zien hoe eenvoudig het is om netwerkverkeer af te vangen. Ongemerkt liet hij enkele deelnemers aan de sessie verbinding maken met een access point dat hij zelf had meegenomen. Fijntjes merkte hij op dat hij in de Dropbox van een van de deelnemers al een tijdje geen activiteit meer had gesignaleerd.
Organisaties kunnen zich met betrekkelijk eenvoudige maatregelen wapenen tegen de risico’s die kleven aan het werken via draadloze netwerken. Zo helpt het al om de standaardinstellingen voor authenticatie te vervangen door instellingen met een sterk wachtwoord, of zelfs door authenticatie met behulp van een certificaat. Ook is het raadzaam om ‘illegaal’ geïnstalleerde access points actief te detecteren. Dit verkleint de kans dat een gebruiker per ongeluk contact maakt met een ‘man-in-the-middle’ of met een slecht beveiligd toegangspunt. Nog belangrijker misschien is wel, dat de gebruiker zich bewust is van de risico’s die men loopt als data worden uitgewisseld via onbeveiligde draadloze netwerken, en zich niet laat overrompelen door de kameleon die ineens uit het groene gras te voorschijn kan komen.
Rémon Verkerk, product manager bij Motiv
Het gebruik van fixed IP adressen, broadcast uitzetten, MAC-filtering sterke wachtwoorden en een dosis gezond verstand is genoeg om een zekere mate van veiligheid te krijgen. Het probleem zit meer in de hobbyisten die denken dat ze met een 2 pagina’s handleiding “netwerk-specialist” zijn.
Wie zakelijk wifi inzet heeft personeel nodig die weet hoe je wifi beveiligt, ga je zelf lopen knoeien dan kun je niemand verwijten als het fout gaat.
Dat zoiets bij de gebruikersvereniging typo3 gebeurt verbaast me niet.
Gewoon je A/P direct aan een vpn achtige oplossing hangen, dan kan je er wel mee verbinden maar kom je geen stap verder. Zelfs als je dan geen encryptie op je wifi netwerk toepast kan niemand er wat mee.
Maar ja, zoals Jan terecht aangeeft, je moet wel een beetje van de gebruikte technologieen begrijpen.
Overigens… zakenlijk wifi….. alleen al vanwege de grote kans op hickups geen aanrader.
“Ongemerkt liet hij enkele deelnemers aan de sessie verbinding maken met een access point dat hij zelf had meegenomen.” – Moet ik meer zeggen?
De schrijver van dit artikel geeft niet echt aan waar het probleem zich manifesteert.Zijn dit publieke of bedrijfsnetwerken? Of maakt het niet uit? Potentieel is alleen ‘geen’ netwerk 100% veilig, e/o als het apparaat uitstaat, kortom je loopt altijd een risico. Maar welke minimale maatregelen moet je treffen en waar?
Het is bekend dat hackers zich met een access point voordoen als een publiek netwerk (Ziggo, UPC, etc) en vervolgens via dit access point een verbinding aanbieden met Internet. De hacker is eigenaar van het access point en kan daardoor gegevens afkijken, opslaan en manipuleren. Dat is ook het verhaal bij de typo3 gelegenheidshack.
Voor bedrijfsnetwerken is de aanbevolen methode op basis van certificaten en voor gastnetwerken, binnen het bedrijfsnetwerk, time-based access met wireless intrusion detectie. Netwerk access control is ook een optionele toepassing. Zorg er ook voor dat bedrijfs en gastnetwerken in verschillende virtuele lan’s worden aangesloten en filter ook dit verkeer. Je kunt er ook voor kiezen om wifi verkeer alleen naar Internet te leiden, zodat de toegang tot je netwerk uitsluitend via de Internet wasstraat op je netwerk binnenkomt.
Fixed ip adressen en mac filtering helpt niet of nauwelijks; een mac address is het makkelijst te ‘faken’.
De zwakste schakel in het geheel blijft de mens. Zolang deze overal ter wereld, liefst via gratis wifi hotspots, verbonden wil blijven met internet (of dat nu zakelijk of privé is) loop je risico’s.
Gebruikersovereenkomsten worden klakkeloos goedgekeurd, certificaat-waarschuwingen genegeerd, (vermeende) updates geaccepteerd enz enz.
Tegen menselijke stupiditeiten is geen techniek opgewassen!
@Willem
ik weet dat macspoofing niet al te ingewikkeld is, vandaar “een zekere mate” het houdt de snuffelaar buiten die weinig verstand van zaken heeft.
Als je op zeker wilt gaan heb je meer techniek nodig.
@Jan, quote ‘Als je op zeker wilt gaan heb je meer techniek nodig.’
Klopt maar dat hoeft niet meteen ingewikkeld of duur te zijn.
Je moet er wel gekwalificeerde mensen voor vinden anders gaat het niets worden.