Hotspot alleen veilig met VPN of hosted desktop

13 januari 2011
Een VPN of hardwarebeveiligde hosted desktop zijn voor de hand liggende manieren op hotspotverkeer te beveiligen. ISP's zien voor zichzelf een rol bij het aanbieden van een VPN-server.

Een middelbare scholier demonstreerde gisteren in de Volkskrant hoe hij bij een KPN-hotspot op Schiphol eenvoudig inloggegevens van ondermeer de ING-rekening van nietsvermoedende reizigers in bezit kreeg. Hij richtte daarvoor zijn computer in als 'man-in-the-middle', waarbij het verkeer van alle KPN-hotspots verloopt via de computer van de hacker. De computer van de hacker zet dan de beveiligde verbinding met de bank op en het verkeer wordt onbeveiligd doorgegeven aan de klant op het wifi-netwerk.

KPN raadt gebruikers aan altijd een VPN op te zetten met het eigen bedrijf. Is dat niet mogelijk, dan kan een VPN-server van KPN worden gebruikt. De instructies daarvoor staan op de site waarmee een gebruiker zich aanmeldt bij de hotspot.

"Met de VPN-verbinding is het op deze manier afluisteren van het verkeer niet mogelijk", bevestigt Hans van der Looy, oprichter van IT-beveiligingsbedrijf Madison Ghurka de conclusie van KPN. Hij zegt overigens dat het opzetten van een man-in-the-middle niet zo eenvoudig is als in het Volkskrantartikel wordt gesuggereerd.

Klant heeft zelf verantwoordelijkheid
In die situatie krijgt de bankklant of een melding dat het certificaat van de server van de bank niet deugt of  de letters 'https' in de URL-balk en een gesloten slotje in de onderbalk van de browser ontbreken. Van der Looy: "Je zou in de browser kunnen regelen dat in zo'n geval geen verbinding gemaakt kan worden. Dan leg je echter de verantwoordelijkheid bij de browserproducent." Hij vindt dat de bankklanten zelf een verantwoordelijkheid hebben te controleren of de verbinding beveiligd is. "Bij het gebruik van moderne middelen hoort een basale kennis. Zo moet je ook controleren bij een geldautomaat of er niet mee gerommeld is, voor je je bankpas erin steekt."

Bank vindt extra beveiliging nog niet nodig
Harold Reusken, woordvoerder van ING, legt uit dat de bank klanten al lange tijd adviseert geen gebruik van internetbankieren te maken als de veiligheid van de verbinding niet zeker is. Dus niet in internetcafés en niet bij openbare hotspots. Op de vraag of banken niet zelf voor een VPN-verbinding moeten zorgen, reageert hij terughoudend. "Wij hebben veiligheidsspecialisten die voortdurend de ontwikkelingen in de gaten houden. Nu is er voor zo'n maatregel nog geen aanleiding. Het is net als met het beveiligen van je huis. Als extra sterke sloten niet meer voldoende blijken, ga je pas over tot het ophangen van camera's en een alarmsysteem."

Op internet circuleren al sinds 2002 programmaatjes waarmee eenvoudig een man-in-the-middle is op te zetten, weet Joost Bijl, cybercrime-specialist bij IT-beveiliger Fox-IT. Hij ziet als alternatief voor de VPN-verbinding de hosted desktop bij een vertrouwde organisatie. Door de verbinding daarmee te beveiligen met een USB-dongel heeft een man-in-the middle aanval geen kans.

ISP kan ook VPN-server aanbieden
Een alternatief is dat internetaanbieders een VPN-server inrichten zodat klanten altijd over een beveiligde verbinding met internet kunnen beschikken. XS4ALL, een provider die beveiliging hoog in het vaandel heeft, zegt zakelijke klanten wel een VPN-verbinding aan te kunnen bieden. Als algemene dienst is het nog niet ter sprake geweest. "Interessant idee", zegt woordvoerder Niels Huijbregts.

Lees meer over
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.