Het einde van open WiFi netwerken?
Draadloze netwerken zijn overal om ons heen. Open draadloze netwerken worden op dit moment overal aangeboden. Een open WiFi netwerk is een netwerk waar iedereen verbinding mee mag maken zonder een gebruikersnaam en/of wachtwoord in te voeren. Denk bijvoorbeeld aan de open netwerken bij McDonalds of tankstations. Een steeds grotere groep mensen is zich gelukkig steeds meer bewust van de risico’s die een open netwerk met zich meebrengt. Het is namelijk eenvoudig om data uit de lucht te halen: deze wordt vaak verzonden in leesbare tekst. Maar kunnen we dan wel vertrouwen op bijvoorbeeld https, een met SSL beveiligde verbinding? SecureLabs heeft onderzoek gedaan naar open WiFi netwerken en kwam tot een schokkende conclusie.
Een ‘bekend’ WiFi netwerk
De meeste clients, of dit nu laptops, tablets of telefoons zijn, hebben tegenwoordig WiFi en onthouden draadloze netwerken waar al eens een verbinding mee gemaakt is. Zodra dit netwerk weer bereikbaar is, wordt er vaak automatisch een verbinding gemaakt. Dit zonder tussenkomst of goedkeuring van een gebruiker, laat staan dat het mensen opvalt. Iedereen is tegenwoordig altijd online, bij de meeste gebruikers valt het niet op met welk netwerk er een verbinding wordt gemaakt. Daarnaast vertrouwen mensen maar al te vaak op een ‘bekend’ WiFi netwerk. Als het de naam heeft van een café of restaurant in de buurt, gaan mensen verbinden. Iedereen kan zijn netwerk een naam geven, het is dan ook de vraag of het netwerk ‘McDonalds’ ook daadwerkelijk van dat bedrijf is.
Gevoelige data onderscheppen
SecureLabs heeft verschillende testen uitgevoerd om te ontdekken hoe eenvoudig het is om gevoelige data te onderscheppen. Binnenkort zullen wij een aantal filmpjes naar buiten brengen met de resultaten. De uitkomsten zijn op z’n minst zorgwekkend te noemen. Met eenvoudig verkrijgbare apparatuur is het mogelijk om bijvoorbeeld inloggegevens van sociale media te bemachtigen of transactiegegevens van online bankieren aan te passen. Dit laatste is vooral voor consumenten vervelend omdat de bewijslast sinds 1 januari 2014 bij hen ligt. Ook is het mogelijk om DigiD accounts te onderscheppen. Vooral gebruikers die alleen een gebruikersnaam en wachtwoord hebben lopen hierbij een risico.
Risico’s beperken
Op dit moment zijn er geen (stabiele) technische maatregelen die helpen om dit soort aanvallen op open WiFi netwerken te voorkomen. De gebruiker kan zelf wel wat doen om risico’s te beperken:
Controleer altijd of er https in de adresbalk staat.
Over het algemeen gaat men naar www.mijnbank.nl en klikt vervolgens op ‘internetbankieren’. Vanaf dat moment wordt er vaak niet meer gekeken naar de https in de adresbalk. We komen immers uit een vertrouwde omgeving. Controleer zodra je moet inloggen of er https in de adresbalk staat. Bij twijfel moet je niet verder gaan.
Zorg dat er niet automatisch WiFi verbindingen worden gemaakt.
Standaard maakt bijvoorbeeld de iPhone verbinding met netwerken waar al eens eerder verbinding mee is gemaakt. Ook al is het netwerk niet beschikbaar, dan nog zal de iPhone proberen het netwerk te bereiken. Schakel deze optie uit. Uiteraard geldt dit ook voor andere devices.
Maak bij voorkeur verbinding met gesloten WiFi netwerken.
Gesloten WiFi netwerken maken gebruik van wachtwoorden of sleutels. Deze zijn vaak niet bekend bij de aanvaller en beperken het risico dat iemand mee kan kijken.
Onze conclusie is dat gebruikers bewust om zouden moeten gaan met open WiFi netwerken en zich moeten realiseren dat potentiele aanvallers mee kunnen kijken met al het verkeer. Ook al doe je niets met je smartphone, alle apps (o.a. email, Facebook, Twitter, Linkedin) blijven actief en versturen gebruikersnamen en wachtwoorden om updates te tonen.
Ronald Kingma, CISSP en CTO SecureLabs
