Wifi is cruciaal, maar levensgevaarlijk

door Ronald Kingma |

Snelle en gemakkelijke wifi-verbindingen zijn cruciaal. Maar ook gevaarlijk. Het doel van dit artikel is niet om te vertellen dat er geen gebruik meer gemaakt moet worden van draadloze netwerken, maar om iedereen bewust te maken van de risico’s die dit met zich meebrengt. Daarnaast is het uiteraard niet de bedoeling dat met de opgedane kennis misbruik gemaakt wordt van open wifi-netwerken.

Draadloze netwerken zijn overal om ons heen. Open draadloze netwerken worden op dit moment overal aangeboden. Een open wifi-netwerk is een netwerk waar iedereen verbinding mee mag maken zonder een gebruikersnaam en/of wachtwoord in te voeren. Denk bijvoorbeeld aan de open netwerken bij McDonalds of tankstations. Een steeds grotere groep mensen is zich gelukkig steeds meer bewust van de risico’s die een open netwerk met zich meebrengt. Het is namelijk eenvoudig om data uit de lucht te halen: deze wordt vaak verzonden in leesbare tekst. Maar kunnen we dan wel vertrouwen op bijvoorbeeld https, een met SSL beveiligde verbinding? SecureLabs heeft onderzoek gedaan naar open wifi-netwerken en kwam tot een schokkende conclusie.

Een ‘bekend’ wifi-netwerk

De meeste clients, of dit nu laptops, tablets of telefoons zijn, hebben tegenwoordig wifi en onthouden draadloze netwerken waar al eens een verbinding mee gemaakt is. Zodra dit netwerk weer bereikbaar is, wordt er vaak automatisch een verbinding gemaakt. Dit zonder tussenkomst of goedkeuring van een gebruiker, laat staan dat het mensen opvalt. Iedereen is tegenwoordig altijd online, bij de meeste gebruikers valt het niet op met welk netwerk er een verbinding wordt gemaakt. Daarnaast vertrouwen mensen maar al te vaak op een ‘bekend’ wifi-netwerk. Als het de naam heeft van een café of restaurant in de buurt, gaan mensen verbinden. Iedereen kan zijn netwerk een naam geven, het is dan ook de vraag of het netwerk ‘McDonalds’ ook daadwerkelijk van dat bedrijf is.

Gevoelige data onderscheppen

SecureLabs heeft verschillende testen uitgevoerd om te ontdekken hoe eenvoudig het is om gevoelige data te onderscheppen. Binnenkort zullen wij een aantal filmpjes naar buiten brengen met de resultaten. De uitkomsten zijn op z’n minst zorgwekkend te noemen. Met eenvoudig verkrijgbare apparatuur is het mogelijk om bijvoorbeeld inloggegevens van sociale media te bemachtigen of transactiegegevens van online bankieren aan te passen. Dit laatste is vooral voor consumenten vervelend omdat de bewijslast sinds 1 januari 2014 bij hen ligt. Ook is het mogelijk om DigiD accounts te onderscheppen. Vooral gebruikers die alleen een gebruikersnaam en wachtwoord hebben lopen hierbij een risico.

PineApple MK5

SecureLabs heeft met de PineApple MK5, welke slechts voor 99 dollar te koop is, verschillende testen uitgevoerd. De PineApple is een kleine computer met twee draadloze netwerkkaarten en verschillende tools die vooraf geïnstalleerd zijn. Een van deze tools is Karma. Karma is een tool die antwoord op aanvragen van clients. Is er bijvoorbeeld eerder eens verbinding gemaakt met een open netwerk ‘Thuis01’, dan zal de tool reageren met de reactie dat hij dat netwerk ‘is’ en de verbinding leveren. SecureLabs heeft, als gebruiker van de PineApple, nu de volledige controle over de sessie. Naast Karma draait ook de tool SSLstrip. Deze zorgt voor het verwijderen van de SSL encryptie: https wordt weer http. Dit stelt ons als ‘aanvaller’ in staat om data te manipuleren in ‘beveiligde’ verbindingen.

Gebruikers zien nog wel een slotje in de balk staan, maar dit is de favico.ico. De favico.ico is de afbeelding die te zien is in de adresbalk of tabblad. Google gebruikt bijvoorbeeld een blauw vierkant met de ‘G’. De meeste gebruikers zullen dit niet opmerken en gaan door. Op dit moment kan de ‘aanvaller’ bijvoorbeeld inloggegevens of transactiegegevens onderscheppen en zelfs aanpassen. Dit is slechts een beperkt voorbeeld. Uiteraard zijn er nog veel meer mogelijkheden, denk bijvoorbeeld aan het achterlaten van malware op de client en een backdoor installeren waarmee de gebruiker mogelijk zelfs toegang kan krijgen tot bedrijfsnetwerken.

Risico’s beperken

Op dit moment zijn er geen (stabiele) technische maatregelen die helpen om dit soort aanvallen op open wifi-netwerken te voorkomen. De gebruiker kan zelf wel wat doen om risico’s te beperken:

Controleer altijd of er https in de adresbalk staat. 
Over het algemeen gaat men naar www.mijnbank.nl en klikt vervolgens op ‘internetbankieren’. Vanaf dat moment wordt er vaak niet meer gekeken naar de https in de adresbalk. We komen immers uit een vertrouwde omgeving. Controleer zodra je moet inloggen of er https in de adresbalk staat. Bij twijfel moet je niet verder gaan.

Zorg dat er niet automatisch wifi-verbindingen worden gemaakt.
 Standaard maakt bijvoorbeeld de iPhone verbinding met netwerken waar al eens eerder verbinding mee is gemaakt. Ook al is het netwerk niet beschikbaar, dan nog zal de iPhone proberen het netwerk te bereiken. Schakel deze optie uit. Uiteraard geldt dit ook voor andere devices.

Maak bij voorkeur verbinding met gesloten wifi-netwerken.
 Gesloten wifi-netwerken maken gebruik van wachtwoorden of sleutels. Deze zijn vaak niet bekend bij de aanvaller en beperken het risico dat iemand mee kan kijken.

Onze conclusie is dat gebruikers bewust om zouden moeten gaan met open wifi-netwerken en zich moeten realiseren dat potentiele aanvallers mee kunnen kijken met al het verkeer. Ook al doe je niets met je smartphone, alle apps (onder andere email, Facebook, Twitter, Linkedin) blijven actief en versturen gebruikersnamen en wachtwoorden om updates te tonen.

Ronald Kingma (CISSP) is CEO van SecureLabs