Gebruikers van openbare Wi-Fi zijn zich gevaarlijk vaak onbewust van veiligheidsrisico's

Daan Keuper
Nederlanders maken in hotels, restaurants of op campings massaal gebruik van Wi-Fi-netwerken. Toch denkt slechts een derde van hen na over de beveiliging van deze netwerken. Dit blijkt uit onderzoek naar Wi-Fi-gebruik tijdens vakantie door Peil.nl, in opdracht van Computest. De relatief geringe aandacht voor security geeft aan dat mensen zich nog te weinig bewust zijn van de risico’s van een gebrekkige beveiliging van Wi-Fi-netwerken.

Bewustwording van risico’s

Het gebruik van grootschalige (openbare) Wi-Fi-netwerken is inmiddels een vanzelfsprekend onderdeel van onze maatschappij. De netwerken zijn niet alleen standaard in de dienstverlening van bijvoorbeeld koffietentjes en zelfs festivals en pretparken, maar vormen ook de spil in kantoortuinen. Het is voor de gebruiker van de netwerken vaak niet duidelijk hoe veilig deze zijn. Dit kan niet alleen een risico vormen voor privégegevens, maar ook een bedreiging zijn voor zakelijke informatie die toegankelijk is via mobiele apparaten zoals smartphones, laptops en tablets.

Als je verbinding maakt met het Wi-Fi-netwerk op een festival of in een hotel krijgen de partijen die deze netwerken aanbieden automatisch inzicht in onder meer browsegedrag. Dit gaat ten koste van de privacy van de gebruikers. Andere risico’s zijn blootstelling aan gerichte phishing-aanvallen, en directe aanvallen op zijn/haar devices. Een kwaadwillende kan heel gericht te werk gaan als deze met hetzelfde (openbare) Wi-Fi-netwerk verbonden is, en aanvallen uitvoeren die via internet niet mogelijk of moeilijker zijn. Bovendien loopt de aanbieder van zo’n netwerk hierbij ook risico. Als er geen beveiligingslaag is, dan kunnen kwaadwillenden op dit lokale netwerk bijvoorbeeld al het netwerkverkeer lezen en manipuleren of andere verbonden apparaten aanvallen.

Collega's van gastexpert Daan Keuper, op locatie bij Computest in Zoetermeer.

Wi-Fi-netwerk beveiligen

Organisaties die een Wi-Fi-netwerk willen aanbieden aan medewerkers en/of klanten, moeten zich bewust worden van de risico’s die zo’n netwerk met zich meebrengt. Ze zijn niet alleen kwetsbaar als aanbieder, maar ook wanneer medewerkers buitenshuis via Wi-Fi hun werk willen doen. Om meer zekerheid te krijgen over de beveiliging van deze netwerken kunnen zij bijvoorbeeld security-testen laten uitvoeren. Daarmee wordt door ethical hackers onder meer onderzocht hoe ver een kwaadwillende via het Wi-Fi-netwerk de organisatie binnen kan komen.

Voor de aanbieders van publieke Wi-Fi-netwerken gelden de volgende tips.
 

  1. Let op de inrichting van je Wi-Fi-netwerk.Een Wi-Fi-netwerk moet goed ingericht en geïsoleerd zijn om security-risico’s te verminderen. Zo moet Wi-Fi een apart netwerk zijn, zodat deze verbinding niet kan worden misbruikt om toegang te krijgen tot het bedrijfsnetwerk. Het moet zo ingericht worden dat gebruikers en de devices alleen verbinding kunnen maken met internet, en niet onderling kunnen communiceren, zodat ze elkaar niet kunnen aanvallen.

  2. Behandel de Wi-Fi als een onbetrouwbaar extern netwerk. Vanaf het Wi-Fi-netwerk voor gasten moet geen andere toegang tot het bedrijfsnetwerk mogelijk zijn dan doorgaans via internet mogelijk is. Zet er ook altijd een wachtwoord op, ook al is het simpel of staat het op een kaartje in de lobby. Dit betekent namelijk dat netwerkverkeer versleuteld is en niet door anderen afgeluisterd kan worden.

Wees je er ook bewust van dat als je een gastennetwerk biedt, communicatie vanaf dat netwerk richting het internet plaatsvindt met jouw IP-adres. Eventuele kwaadaardige acties die via het netwerk worden uitgevoerd, zoals een DDoS-aanval of andere strafbare acties, leidt de digitale recherche terug naar jouw netwerk.

Om het risico dat medewerkers buiten de bedrijfsmuren onveilige Wi-Fi gebruiken te verminderen, kunnen organisaties hen voorzien van een mobiele databundel en een VPN-verbinding. Niet alleen om hun werkzaamheden voort te kunnen zetten, maar ook voor privégebruik. Voor de jongere generatie is social media een levensader geworden, maar vanwege de kosten van mobiele bundels leven jongeren veelal van Wi-Fi-hotspot naar Wi-Fi-hotspot. Met alle mogelijke gevolgen van dien voor privacy én security. Medewerkers doen er verder goed aan de firewall aan te zetten en beveiligingsupdates altijd te installeren. 

Kwaadwillenden via Wi-Fi

Hoe zou een aanval via een Wi-Fi-netwerk kunnen verlopen? Stel dat een medewerker gebruik maakt van een openbaar Wi-Fi-netwerk waar client-to-client-communicatie niet is uitgeschakeld, bijvoorbeeld bij een koffietent. De kwaadwillende zorgt dat hij met hetzelfde Wi-Fi-netwerk verbonden is. Wi-Fi kun je immers niet op afstand binnendringen. Door het slachtoffer een nagemaakte login-pagina van zijn werkgever voor te schotelen kan de hacker ervoor zorgen dat het netwerkverkeer van het slachtoffer wordt omgeleid. Wanneer de medewerker vervolgens inlogt, beschikt de aanvaller over de login-gegevens van de medewerker. Een ander voorbeeld is een openbaar toegankelijk Wi-Fi-netwerk dat niet goed beheerd wordt, en waar malware  zich op de systemen heeft genesteld. De eigenaar van de malware kan op deze manier de communicatie van de netwerkgebruikers in de gaten houden en op sommige plekken manipuleren.

Beveiligingsuitdagingen Wi-Fi 6

Vandaag de dag maken Wi-Fi-netwerken gebruik van het WPA2-protocol voor beveiliging. WPA2 gaat al even mee, en kent een aantal beveiligingsproblemen. Onlangs is de nieuwste generatie Wi-Fi geïntroduceerd: Wi-Fi 6 of IEEE 802.11ax. Wi-Fi 6 dwingt het gebruik van een nieuw beveiligingsprotocol af: WPA3. In WPA3 zijn beveiligingsproblemen die in WPA2 aanwezig waren, opgelost. Daardoor wordt het voor een hacker moeilijker om het wachtwoord van een beveiligd netwerk te achterhalen. Echter, WPA3 is nog nieuw, en eerder dit jaar werden de eerste aanvallen tegen het protocol gepubliceerd. Door ontwerpfouten in WPA3 waren aanvallers in staat wachtwoorden te achterhalen en denial-of-service-aanvallen op Wi-Fi-basisstations uit te voeren. Het kat-en-muis-spel tussen hackers en protocol-ontwerpers is met WPA3 niet gestopt. Het blijft dus zaak om ook je draadloze netwerkapparatuur met regelmaat te updaten.


Computest

Het kantoor van Computest, gevestigd in Zoetermeer. Vanuit hier (en op locatie bij de klant) zorgen gastexpert Daan Keuper en collega’s ervoor dat (web)applicaties en infrastructuren optimaal en veilig werken. Het bedrijf bestaat sinds 2015 en begon zoals de heren dat zelf mooi verwoorden als een vriendengroep met een passie voor performance. Inmiddels werken er ruim 100 technisch specialisten op het gebied van performance, security en functioneel testen voor klanten als AFAS Software, Malmberg, Talpa, NS en Knab.

‘Wij zeggen dat we laagdrempelig, transparant en benaderbaar zijn. Dat moeten we dan ook laten zien in ons kantoor’, zegt CEO en oprichter Hartger Ruijs. ‘Het is belangrijk dat een werkomgeving samenwerking faciliteert, iedereen betrokken houdt, ruimte biedt voor ontspanning en ook plekken heeft waar mensen zich even terug kunnen trekken.’

Door: Daan Keuper

Daan Keuper | Security Researcher | Computest

Bekijk alle artikelen van Daan