WatchGuard beijvert voor veilig wifi

Beveiligingsspecialist WatchGuard wil een standaard voor beveiliging van wifi-netwerken. Ryan Orsi, Director of Product Management bij WatchGuard, heeft de helse taak op zich genomen om dit voor elkaar te krijgen. Kwaadwillenden hebben nu nog veel te veel vrij spel, zegt hij in Utrecht, tijdens zijn Trusted Wireless Environment Movement-toer.

Nederland is het tweede land dat hij gedurende zijn rondgang aandoet. Eerder was hij in Italië. Later naar het Verenigd Koninkrijk, Zweden, meerdere landen in Azië en natuurlijk de VS. Doel is zijn boodschap te laten klinken en een beweging in gang te zetten om de geesten binnen de wifi- industrie rijp te maken voor een open standaard die de beveiliging van deze draadloze netwerken regelt. Meer over zijn rondreis is overigens te lezen op www.watchguard.com/wgrd-solutions/join-the-movement.

Waar het om gaat? Hij laat een pentester zien; eenvoudig apparaat ter grootte van een mobiele telefoon. “Hiermee kan ik in vrijwel de meeste wifi-netwerken binnen komen. Ik heb het uitgeprobeerd in dit hotel; geen enkel probleem. Dit is een legaal te gebruiken toestel; alleen schadelijk in de verkeerde handen. En ja, dat gebeurt natuurlijk”, zegt Orsi.

Er zijn meerdere mogelijkheden om een draadloos netwerk binnen te dringen, maar ook om de gebruiker om de tuin te leiden. Dit laatste gebeurt bijvoorbeeld bij een evil twin attack. De hacker gaat vlakbij een bedrijf zitten en zet via zijn laptop een draadloos netwerk op. Zit hij bijvoorbeeld op Schiphol, dan noemt hij dat netwerk waarschijnlijk ‘Schiphol wireless’. Mensen zien dat in het lijstje met beschikbare netwerken verschijnen en leggen er een verbinding mee, denkend dat zij via het ‘veilige’ Schiphol-netwerk verbonden zijn, maar in feite via het netwerk van de hacker en vervolgens kan hij alle netwerkverkeer van die gebruiker inzien.

Bedreigingen

Orsi brengt in herinnering dat wifi nu twintig jaar bestaat. “En in al die jaren is er geen eenduidige definitie van wat een aanval is. Er is zelfs geen overeenstemming over wat een onbetrouwbaar access point is. Als je tien mensen daarnaar vraagt, krijg je tien verschillende antwoorden.”

WatchGuard heeft dit ondervangen door de zes belangrijkste bedreigingen te beschrijven. Te beginnen met een ‘rogue access point (AP)’, een kwaadaardige toegangspoort die niet officieel is opgenomen in het netwerk en niet wordt beheerd. Vervolgens ‘evil twin AP’s’, ‘neighbour AP’s’, ‘rogue clients’, ‘Ad-hoc networks’ en ‘misconfigured AP’s’.

Wie deze risico’s onderkent, bouwt een betrouwbaar wifi-netwerk, een Trusted Wireless Environment Framework. Want natuurlijk zijn ze te beveiligen. En dat gebeurt ook nu met IT- en securityprofessionals die access points gebruiken die deze zes belangrijke wifibedreigingen automatisch detecteren en voorkomen. “Het probleem is dat de leveranciers fabriekseigen protocollen gebruiken. Dat is lastig als je netwerken creëert met apparatuur van verschillende fabrikanten. En dat gaat natuurlijk gebeuren binnen smart cities, smart buildings, smart harbours, noem alle smart netwerken maar op. Bovendien gaat het om beveiliging achteraf. Natuurlijk heeft WatchGuard prachtige oplossingen om een wifinetwerk te beschermen tegen deze zes bedreigingen, maar het is belangrijk om de beveiliging bij de bron aan te pakken. Oplossingen van leveranciers zitten op laag 7 van het OSI-model, de applicatielaag. Maar we moeten toe naar een oplossing op laag 2, de datalink laag”, stelt Orsi.

Ook maakindustrie

Niet alleen chipsetfabrikanten als Qualcomm en Broadcom dienen zich de kritiek aan te trekken en chips te ontwerpen met een vast te stellen beveiligingstandaard in het ontwerp in te bakken, ook de bedrijven in de maakindustrie moeten security serieus nemen. Dan gaat het bijvoorbeeld om firma’s als General Electric en Siemens. Zij maken producten die opgenomen gaan worden in het Internet of Things. Ook producenten van smart phones, laptops en tablets dienen zich aangesproken te voelen.

Daarom is het nodig dat er op laag 2 een standaard komt die de beveiliging regelt. Op stapel staat WPA3, de jongste Wi-Fi Protected Access standaard van de Wi-Fi Alliance. Zeer zeker een verbetering ten opzichte van WPA2, stelt Orsi, maar nog steeds niet goed genoeg. “Dan weet je immers nog steeds niet of je te maken hebt met bijvoorbeeld een evil twin.”

Hij wil dat de standaard op laag 2 onder meer een icoon oplevert dat zelfs zijn moeder zou begrijpen. “Het slotje dat nu naast een naam van een netwerk staat, blijkt al te vaak niet aan te geven dat het betrouwbaar is. Er moet een teken komen dat voor iedereen duidelijk aangeeft dat als dat naast de naam van het netwerk staat dat netwerk betrouwbaar is.”

Washington DC

Half mei is er in Washington DC een bijeenkomst van Wi-Fi Now. Hier komt iedereen die ertoe doet in de wifi-wereld bij elkaar. Je ziet er mensen van Cisco, van Ruckus en andere grote spelers die grote invloed hebben op de wifi-gemeenschap. “Ik spreek ze toe. Ik zal ze proberen te overtuigen dat we een standaard beveiligingsprotocol nodig hebben”, zegt Orsi.

Het valt niet mee om concurrenten te bewegen zich achter één standaard te scharen. Elk bedrijf wil zich onderscheiden. “Dat kan natuurlijk nog steeds. Bijvoorbeeld met betere antennes of hogere snelheden. Belangrijk is dat de security in de kern goed is geregeld. De fabrikanten moeten daar nu al rekening mee houden door chips te gebruiken die programmeerbaar zijn, zodat later, als de standaard er eenmaal is, de AP’s softwarematig kunnen bijgewerkt; en dit geldt ook voor de clients.”

Hoe lang dat gaat duren? “We zitten nu op versie wifi 6. Elke versie bestaat ongeveer vier jaar. Ik zou blij zijn als we voor wifi 7 een nieuwe standaard hebben.”

Door: Teus Molenaar