ALLE netwerken zijn onveilig

June 16, 2017

De helft van de internetgebruikers maakt verbinding met onveilig netwerk. Zomaar een berichtje over de gevaren van openbare, niet met een wachtwoord beschermde, WiFi netwerken. Allemaal leuk en aardig, maar al die berichten suggereren dat WiFi netwerken met een wachtwoord, of bekabelde netwerken, wel veilig zouden zijn. Niet is minder waar. Alle internetverbindingen zijn onveilig!

Het wachtwoord op een WiFi verbinding is vooral bedoeld om de aanbieder van het WiFI netwerk te beschermen tegen misbruik. Bijvoorbeeld om te voorkomen dat de buren het gros van de bandbreedte van jou netwerk opsouperen met het downloaden van de laatste aflevering van Game of Thrones.

Dat soort, niet openbare, WiFi verbindingen zijn inderdaad versleuteld. Die versleuteling is overigens niet al te sterk, maar maakt het lastiger om direct met een antenne alle draadloze internetsignalen op te vangen en mee te lezen met de berichten die verstuurd worden.

Veel belangrijker is het feit dat die versleuteling alleen maar de verbinding tussen jou smartphone, tablet of laptop en de WiFi router zelf beschermd. De rest van de verbinding (van de WiFi router naar Facebook, Tinder, medische sites) niet, tenzij daar speciale maatregelen voor genomen zijn (zie verderop). Alle computers op die verbinding kunnen meelezen, en eventueel gegevens veranderen (of malware of virussen mee terugsturen).

Datzelfde geldt ook voor een bedraad netwerk, zoals een local area network (LAN) waarbij je computer met een kabel direct aan het netwerk is gekoppeld. Weliswaar beschermt zo'n kabel (net als een WiFi wachtwoord, maar dan beter) tegen direct afluisteren. Maar iedere andere computer die verbonden is met het lokale netwerk (en een WiFi netwerk is in die zin ook een lokaal netwerk van alle smartphones, tablets en laptops die er mee verbonden zijn) kan meeluisteren. Soms omdat het lokale netwerk zo is ingericht dat alle berichten op het netwerk automatisch doorgestuurd worden (een broadcast) aan alle andere computers op het netwerk. Soms omdat één van de computers op het netwerk (door de router te misleiden) er voor zorgt dat hij een kopie van bepaalde berichten doorgestuurd krijgt.

Zonder extra beveiligingsmaatregelen kunnen je collega's op je werk of je familieleden thuis dus in principe meelezen wat je doet. En ik kan me ook nog goed herinneren dat ik een keer een laptop aansloot op een hotel netwerk en een aantal shared folders van andere hotelgasten kon inzien.

Met andere woorden: ga er maar vanuit dat je internetverbinding onveilig is!

Wat kun doen om jezelf te beschermen? Voor de meeste mensen (die voornamelijk emailen en websurfen) geldt het volgende. Zorg ervoor dat je alleen naar beveiligde websites surft. Dat zijn websites waarvan de URL met https:// begint en waarvan de browser een slotje in de adresbalk laat zien. Dat garandeert dat de verbinding echt end-to-end, van de computer, smartphone, tablet of laptop tot aan de server van de website versleuteld is: niemand kan meelezen, data veranderen of malware mee terugsturen. Veel sites (zoals Facebook e.a.) gebruiken standaard deze beveiligde verbinding.

Als je naast webmail ook nog 'gewone' email gebruikt, waarbij je de mail van een mailserver ophaalt en op je computer etc. leest met een mail programma, dan moet je die verbinding ook beveiligen. Dat kan via je email account instellingen.

Voor apps op je telefoon moet je maar hopen dat de ontwikkelaar er voor heeft gezorgd dat de netwerkverbinding beveiligd is: dat kun je zelf niet zien. Tot een paar jaar geleden kon je daar niet echt van uit gaan, maar de situatie is wel verbeterd. Apple vereist (binnenkort) dat alle apps in de AppStore alleen nog maar gebruik maken van beveiligde verbindingen. (Alhoewel niet alle ontwikkelaars dat helemaal goed implementeren.)

Als je bovenstaand advies opvolgt ben je redelijk veilig, en kun je gewoon gebruik maken van een willekeurig netwerk: ook een open WiFi netwerk.

Maar er staat natuurlijk wel een gigantische olifant in de kamer: dat we er maar op moeten vertrouwen dat de uiteindelijke dienstverleners wel netjes met al die gevoelige persoonlijke gegevens omgaan die ze ó zo veilig via die beveiligde verbindingen verzamelen. Maar dat is een onderwerp voor een andere blogpost.

In case you spot any errors on this page, please notify me!
Or, leave a comment.
Thijs
, 2017-06-16 09:44:40
(reply)

Voor iemand die precies weet wat hij/zij doet maakt het inderdaad niet uit met wat voor type wifi die verbindt. Maar dit soort bewustwording is vooral gericht op ‘gewone’ mensen, en die hebben er wel degelijk wat aan. Zo’n doorsnee gebruiker is nou eenmaal vatbaarder voor subtiele aanvallen zoals een middler-attack waarbij je geredirect wordt naar een phishing-versie van je bankwebsite. Door bijvoorbeeld eduroam te gebruiken, verhoog je de drempel voor een aanvaller flink: zo’n middleraanval is opeens behoorlijk uitdagend terwijl die op publieke wifi triviaal is. Kern blijft natuurlijk wel dat beveiligde wifi niet zaligmakend is en dat ook andere maatregelen nog steeds gelden. Maar het is voor een doorsnee gebruiker absoluut een goede eerste stap.

Jaap-Henk
, 2017-06-16 18:01:43
(reply)

Mijn punt is juist dat het de verkeerde bewustwording is. Mensen moeten leren dat alle netwerken onveilig zijn, en dat een eenvoudige tegenmaatregel is om alleen veilige (met TLS beschermde) websites te bezoeken. (De terminologie is weer eens ongelukkig; de website zelf is niet beschermd, maar de verbinding…)

Vraag me overigens wel af wat er gebeurt als je een eigen draadloos netwerk opzet met ‘eduroam’ als naam….

Thijs
, 2017-06-17 11:12:17
(reply)

Ik vind het niet helemaal terecht om te zeggen dat HTTPS een “eenvoudige tegenmaatregel” is. Zoals jij hem schetst is het namelijk totaal onvoldoende: iedereen kan een HTTPS-certificaat aanvragen, de echte bescherming volgt pas als je minutieus de gebruikte domeinnaam controleert. En juist voor de gemiddelde gebruiker is het echt een flinke uitdaging om in te zien dat https://inloggen.rabo-internetbankieren.nl NIET de juiste URL is (die domeinnaam is nog vrij op dit moment dus kun je binnen 10 minuten een phishing site op hosten). En er zijn ook al veel voorbeelden geweest van “l” in plaats van “i” in een domeinnaam.

Niettemin moeten we dat advies absoluut hooghouden, maar door alle andere maatregelen af te schaffen gooien we het kind met het badwater weg.

Om even de bike-analogy te gebruiken, je moet op je fiets een sterk slot hebben, maar gebruik maken van een bewaakte stalling is absoluut nuttig. Volgens mij begrijpen mensen prima dat die maatregelen elkaar aanvullen.

Een rogue-eduroam-netwerk gaat spaak op het feit dat je niet het juiste certificaat presenteert. Uiteraard is er weinig kruit gewassen tegen mensen die vervolgens toch doorgaan ondanks zo’n melding.

Jaap-Henk
, 2017-06-19 12:50:18
(reply)

It tuns out that 50% of the eduroam clients are incorrectly configured and happily connect to a rogue access point.

W.r.t. TLS security and the problem of domains that look genuine but are not: you are completely right and in fact I](https://blog.xot.nl/2017/02/28/fix-tls-lets-get-rid-of-certificates-a-clarification-and-some-improvements/">I) think we should get rid of certificates alltogether. But for protecting the link between your device and whatever server you are connected to, TLS works. And anyone willing to create rogue domains and willing to hack an open WiFi access point is probably also willing to circumvent the limited protection offered by a close WiFi access point.

(P.S.: Suddenly realising I wrote this response in English. I apologise; I’m at a summerschool where everybody speaks English.

Remco
, 2017-06-19 07:09:15
(reply)

Goed geconfigureerde eduroam clients controleren het certificaat van de EAP server, waarmee nep eduroam netwerken door de mand zouden moeten vallen. Dat gaat echter wel uit van a) een correct geconfigureerde client en dat b) een gebruiker niet alsnog uit alle macht probeert het met zo’n AP toch ‘werkend’ te krijgen. Bewustwording is ook hier weer het belangrijkste inderdaad…

gmulder
, 2017-07-10 19:20:05
(reply)

Succes met vrijwel alle mobiele telefoons. Misschien dat iOS tegenwoordig certificaatcheck + DNS-altname-check* doet voor WPA2-Enterprise, maar dit zal bij Android (nog steeds?) niet het geval zijn.

Als ik heel kort door http://www.kitploit.com/2017/05/eaphammer-targeted-evil-twin-attacks.html scroll, zal de ‘standaard’-geconfigureerde client hier waarschijnlijk makkelijk mee verbinden.

  • dit checkt of de RADIUS-server waarmee je authenticeert degene is die je verwacht.