Alles draadloos – Wie kijken er mee

Draadloos internet is nu ruim 10 jaar beschikbaar voor iedereen. Wat eens een gadget was, is nu de standaard op elk mobiel apparaat. Maar hoe staat het nu met de veiligheid.

Wi-Fi heeft een slecht trackrecord als het op beveiliging aankomt. Het begint in 1999, als samen met de eerste Wi-Fi consumentenapparatuur WEP en WPA als beveiliging mechanismen worden geintroduceerd. WEP wordt direct door de fabrikanten omarmd als standaard, maar ondersteuning voor het veiligere WPA is zeldzamer.

WPA is ontworpen in afwachting van de officiele 802.11i standaard. Het voorziet in extra veiligheid ten opzichte van het WEP protocol, maar is niet waterdicht. In 2001, nog voordat Wi-Fi gemeengoed is, blijkt het kraken van de WEP beveiliging erg eenvoudig: als er een bepaalde hoeveelheid verkeer is afgeluisterd kan binnen enkele seconden de sleutel herleid worden.

De IEEE laat in 2004 de WEP standaard officieel vallen wegens ‘het niet halen van veiligheidsdoeleinden’. In 2006 wordt ondersteuning voor de volledige 802.11i standaard, nu bekend als WPA2, een vereist onderdeel van het Wi-Fi certificaat.

Net toen Wi-Fi als veilig werd geaccepteerd dook er een nieuw probleem op. Om te voorkomen dat gebruikers bij het aanmelden van nieuwe apparatuur op een access point lange codes moesten intypen is WPS in het leven geroepen. WPS is een systeem dat het mogelijk maakt met een 8-cijferige pincode een apparaat aan te melden op een WPA2 beveiligd systeem. Helaas bleek er een groot lek in het systeem te zitten (zie voor meer info
blog WPSl
). Een aanvaller kan soms binnen enkele uren de WPA2 sleutel verkrijgen. Bijna alle consumentenrouters hebben WPS standaard actief en bij een aantal kan het zelfs niet worden uitgeschakeld. Terug naar af.

Is Wi-Fi mét WPA2 en zónder WPS dan veilig? Thuis wel. Maar buiten ligt het gevaar op de loer. Er zijn 2 grote problemen: hot spots en het zoekgedrag van apparaten.

Nu de telecomproviders de datalimieten strak handhaven zijn hot spots populairder dan ooit. Kantoren, hotels, bedrijven, vakantieparken of een wegrestaurant. Bijna overal is wel een Wi-Fi netwerk te vinden.
Veel toestellen tonen dit direct aan de gebruiker, of gaan nog verder en maken automatisch verbinding met elk open netwerk dat beschikbaar is. Ideaal voor de gebruiker, lijkt het.
Het probleem is dat veel van deze hot spots geen enkele vorm van encryptie gebruiken. Het gevolg: al het dataverkeer is zonder enige moeite te bekijken.
Het gevaar wordt nog groter als een aanvaller tussen de echte hot spot en de gebruikers ‘gaat zitten’. Al het verkeer kan nu ook aangepast worden. Sites kunnen op dit tussenstation van hun HTTPS encryptie worden gestript waardoor zonder moeite wachtwoorden van banken en andere beveiligde sites afgevangen kunnen worden. Dit risico onderstreept overigens het belang van campagnes als 3keerkloppen.

Een tweede gevaar ligt ironisch genoeg ten grondslag aan het gedrag van Wi-Fi apparatuur zelf. Als een Wi-Fi apparaat zich eenmaal heeft aangemeld op een access point worden deze gegevens bewaard. Dit is wenselijk gedrag voor de netwerken waar wij als gebruikers regelmatig op zitten. Maar bij veel personen groeit de lijst met access points wekelijks: bij vrienden, familie, scholen of openbare hot spots wordt van het internet gebruik gemaakt en ook deze gegevens worden op het apparaat opgeslagen.

Het gevaar is dat het apparaat continu deze lijst af gaat en zoekt naar al deze netwerken. Met andere woorden: terwijl je op kantoor zit, zoekt je laptop ook nog naar het netwerk van het vakantiehuisje. Deze zoekacties kunnen door iedereen worden opgevangen. Normaal gesproken reageert alleen het betreffende access point op deze oproep, maar het is voor een aanvaller mogelijk om een andere machine te laten antwoorden. Vervolgens zal jouw laptop of telefoon proberen zichzelf aan te melden op deze machine. Dit zal niet lukken, maar er zal wel een deel van de hand shake (de beveiligingsonderhandelingen) plaatsvinden. De informatie die hiermee wordt vrijgegeven kan met de juiste kennis gebruikt worden om de sleutel te herleiden.
Het gevolg: netwerktoegang tot jouw laptop, mobieltje en wellicht je thuisnetwerk.

Waar ligt dan de sleutel tot veilig Wi-Fi? Op dit moment bij bewustwording van de gebruiker. Veel mensen zijn van mening dat ‘het gewoon moet werken’. Dat gebruiksgemak belangrijk is (en vaak voor betering vatbaar) staat vast. Maar met een bescheiden hoeveelheid informatie is een gebruiker al een stuk veiliger. Daarom enkele tips:

* Configureer systemen met een sterke WPA2 (AES) sleutel, en schakel WPS uit.
* Schakel het automatisch verbinden naar open netwerken uit. Het verbinden met wat voor netwerk dan ook moet altijd een bewuste handeling zijn van jou als gebruiker.
* Houd de lijst met bekende access points zo kort mogelijk. Het is alleen zinvol de netwerken die je regelmatig gebruikt, te bewaren.
* Behandel hot spots per definitie als een onveilige omgevingen.
* Overweeg een VPN account voor mobieltjes en laptops wanneer je vaak in publieke locaties van Wi-Fi gebruik maakt. Een VPN bouwt een beveiligde tunnel op vanaf jouw apparaat tot aan de eindserver. Als dit verkeer afgeluisterd wordt levert dit geen direct bruikbare data van jou op voor de aanvaller.

Geschreven door Stefan security-expert van
SpicyLemon