Beheer

Security

Wifi-beveiliging moet beter

17 november 2014

Wardriving noemt James Lyne het. Je rijdt rond met een scanner en controleert of en hoe draadloze netwerken beveiligd zijn. Het is een oude techniek die vijftien jaar geleden al hiervoor werd gebruikt. Daaruit kwam bijna altijd dat de meeste netwerken ofwel niet of wel volstrekt onvoldoende waren beveiligd. Er is nog altijd niets nieuws onder de zon, want van de ruim 14.000 draadloze netwerken die Lyne, hoofd security research van Sophos, op zijn twee uur durende fietstocht scande, was maar een derde goed beveiligd. De rest stond ofwel wagenwijd open, of was beveiligd met oude protocollen als WEP en WPA.

Waarom nu weer een wardrive?
“Inderdaad wardriving werd 15 jaar geleden al gedaan en we hebben het doelbewust nu weer gedaan. In de IT-security moet je altijd weer met nieuwe onderwerpen komen. Daar wordt dan 15 minuten over gepraat, na drie weken is het oud nieuws en hoef je er nergens meer mee aan te komen. Met als ge­volg dat de meeste mensen in deze industrie – en zeker het publiek – er niets over te weten komen.

Terwijl dit zo’n oud probleem is. Rond 2004 kwamen er tools waarmee je op een netwerk kon inbreken. Wij hebben gekeken of dat nog steeds mogelijk was met deze oude technieken. Iedereen draait helemaal door over zero day exploits en DDoS-aanvallen, maar hiermee wordt duidelijk dat de basale beveiligingsproblemen van tien jaar geleden nog altijd niet zijn opgelost. Wifi is heel eenvoudig beter te beveiligen. Als zelfs dit al een probleem is, en dat is het, dan kun je je wel voorstellen hoe het met de rest van IT-beveiliging is. Zie dit maar als een thermometer.”

Lyne reist de wereld rond met zijn warbike. “Amsterdam is de zevende stad waar ik dit gedaan heb. Ik vind het verbazingwekkend dat de resultaten in al die steden slecht waren. Wat me in Amsterdam vooral verbaasde was dat er zo veel open wifi access points zijn die vooraf een registratie vereisen en dat die ook nog eens zo veel gebruikt worden – ook door mensen die werkzaam zijn in IT-beveiliging. Zij denken dus dat het juist prima is dat je je eerst moet registreren. Maar de consequentie als je zulke access points gebruikt, is dat al je gegevens open in plain text over de lijn gaan. En dat laat een 15 jaar oude transmitter zien!”

Waarom gaat juist Nederland hiermee aan kop?
“Nederland is een heel sterk connected society. Bijna overal in cafés, hotels, winkels en zelfs in fietsenwinkels heb je hier free wifi. Men maakt snel verbinding en stelt pas achteraf vragen. Het is goed om technologie zo te omarmen, maar de gemiddelde Nederlander zou echt wat meer kennis moeten hebben over de veiligheid van zulke verbindingen. Men loopt hier voorop in het gebruik, maar achter in het begrip van beveiliging.”

Wat kan een gebruiker verbeteren?
“Op onze site staat een pagina met tien tips hiervoor. De belangrijkste twee zijn dat je je eigen wifi-verbindingen moet controleren en ervoor moet zorgen dat die aan de laatste beveiligingsstandaard voldoen; op zijn minst WPA2.

Zorg daarnaast voor goede wachtwoorden. We hebben die niet getest want dat zou illegaal zijn, maar als je kijkt naar de wachtwoorden die bij grote hacks zijn buitgemaakt, dan zie je dat de wachtwoorden vreselijk zwak zijn. Een goed wachtwoord bestaat uit minstens 14 karakters en mag geen bestaand woord vormen. Dat zou echt al heel veel uitmaken.”

Wat kunnen leveranciers doen?
“Veel netwerkproviders van draadloze access points en routers hebben die vreselijk slecht beveiligd. Dat betekent dat die producten kwetsbaar zijn en makkelijk aan te vallen. En dat is al bekend sinds 2001. Het is pure nalatigheid dat ze daar geen updates voor hebben doorgevoerd en hun gebruikers daarvoor niet meer support hebben aangeboden. Het is alsof BMW willens en wetens een auto laat rijden met slechte remmen. Dit is in geen enkele andere technologische sector acceptabel.”

Wat is het effect van de warbike-campagne?
“Het trekt heel veel aandacht. Van de eerste steden waar we dit gedaan hebben, zoals in San Francisco, hebben we een documentaire gemaakt. Die is 11,6 miljoen keer bekeken en ruim 100.000 mensen hebben onze pagina met tips bezocht. Als 15 procent er ook echt wat mee doet, zijn we al een stuk verder.

Deze campagne heeft meer impact dan andere campagnes. Acties moeten vooral heel toegankelijk en simpel zijn.Geeky teksten over ‘cyptografische zwakke plekken’ komen niet aan. Simpel is echt beter.”

Doen grote bedrijven het beter dan het MKB?
“Ja, grote organisaties houden zich beter aan hogere standaarden, ook omdat ze moeten volgens wettelijke eisen. Het maakt ook een heel verschil dat je als grote organisatie een IT-beveilgingsteam hebt van 40 man terwijl een middelgroot bedrijf dat echt niet kan betalen.

Maar van die grote bedrijven houdt een deel er weer geen rekening mee dat veel werknemers thuis nogal eens met een onbeveiligde wifi-verbinding werken. Dan heb je daar een zwakke schakel in je beveiliging.“

Wat zegt dit over de kwaliteit van de IT-beveiliging in het algemeen?
“De techniek van de scanner die ik gebruikt heb voor warbiking is al 15 jaar oud. Dat zou echt niet meer mogen werken. Daarmee zie je dat de maatschappij nog lang zo ver niet is als ze zou moeten zijn. We zijn geen serieuze tegenstanders voor criminelen. Geen technologie helpt als er geen awareness is.

Bedrijven en overheden zouden zich moeten inspannen om de kennis hiervoor te vergroten onder gebruikers, maar dan komen we bij een volgend probleem. Niet alleen weten gebruikers weinig van beveiliging, er zijn ook onvoldoende beveiligingsexperts om hen wijzer te maken of de beveiliging te verbeteren.”

Hoe komt dat?
“Er is een enorm tekort aan kundige IT-beveiligers. Er komen domweg niet genoeg talenten van de opleidingen af. We hebben dit beroep niet goed verkocht. We moeten die studenten vertellen dat pentesten leuk is. Dat je kunt hacken voor geld en er niet voor wordt bestraft. Dat je met reverse engineering wat aan malwarecode kunt doen waardoor miljoenen aan schade voorkomen kan worden. Bedrijven en de overheid moeten het jongeren veel duidelijker vertellen dat hier banen zijn en dat het werk heel boeiend is.”

Heeft u iets leuks meegemaakt in uw werk, behalve de fietstochten?
“Ik, toch een geek, zat vorig jaar ineens naast Snoop Dogg die van mij wilde weten hoe hij kon voorkomen dat er malware op zijn systeem kwam! Hoe cool is dat!

Dat kwam zo. Ik hield vorig jaar een Ted Talk op een grote Ted conferentie in de VS – daarbij zaten trouwens mensen in het publiek als Cameron Diaz. Mijn toespraak ging over de basics van cybersecurity die iedereen moet toepassen. Dat leidde tot een optreden bij CNN, in de show van Bill Maher, en daar zat Snoop Dogg ook. Ik heb hem geholpen zijn systeem veiliger te maken, en ik heb toen ook miljoenen mensen kunnen vertellen hoe geweldig het is om in deze industrie te werken.

De afgelopen jaren hebben we veel diepgravend onderzoek gedaan naar cybersecurity, maar dat is heel ontoegankelijk voor het gros van de mensen. Het werkt vele malen beter om simpele security tips te geven die je goed presenteert. Die kunnen een enorme impact hebben. Je moet als beveiligingsindustrie tegen de rest van de wereld praten. Het heeft geen zin om tegen jezelf en je collega’s te praten.”

Wardrive op de fiets

James Lyne fietst al een paar jaar door diverse wereldsteden op zoek naar slecht beveiligde netwerken en wifi access points. Niks nieuws aan eigenlijk – alleen die fiets. Waarom op de fiets? “Het is natuurlijk groener, maar afgezien daarvan heb je op de fiets een zodanige snelheid dat je kunt scannen en de informatie goed kunt oppikken. Een auto gaat daarvoor te snel en er zit nogal wat metaal in de weg. En als geek vind ik het heerlijk dat ik dit kan doen op de fiets en zo met dynamo’s en zonnepanelen zelf de apparatuur kan blijven opladen.”

Wat hangt er aan zijn fiets?
De scankit is op maat gemaakt. De kern is een Raspberry Pi die wordt gevoed door een 12.000 milli-ampère batterij. Daarboven zit een zonnepaneel dat weer verbonden is met een paar dynamo’s. Lyne: “Ook hangen er vijf scanners aan mijn fiets van het type ALPHA 036 NH. Gek genoeg dus gebaseerd op de technologie die hiervoor al vijftien jaar wordt gebruikt. Het zijn er vijf omdat ze simultaan veel access points moeten kunnen scannen. Ook hangen er wat bluetooth-dongels aan de fiets om die access points te kunnen scannen, dat alles tegen verschillende draadloze standaarden. De kit bevat ook een 64 GHz SDC-card voor de opslag van gegevens en een ruggedized GPS-unit – want het kan regenen!”

Wat waren de resultaten in Amsterdam?
Na twee uur fietsen door regenachtig Amsterdam had Lyne 14.213 draadloze netwerken gescand van woningen, bedrijven en mobiele apparaten. Daarvan was maar 33 procent goed beveiligd. 44 procent was open toegankelijk zonder beveiliging. 4 procent bleek beveiligd met het aftandse WEP en 19,5 procent via het achterhaalde WPA. Een open draadloos netwerk dat Lyne onderweg zelf even had opgezet kreeg bovendien binnen enkele seconden vele gebruikers, die zonder enige beveiliging aan het online bankieren sloegen.

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Neem contact met ons op!