Wireless access points hebben één groot voordeel, dat tegelijkertijd een groot nadeel is: ze werken en installeren meteen uit de doos. Even inprikken op het netwerk en u kunt direct draadloos aan de slag. Het gevaar hiervan echter is dat veel mensen vergeten het access point te configureren (lees: te beveiligen). Hierdoor staat uw access point open voor iedereen van buiten. Vindt u het niet zo'n probleem dat anderen uw draadloze netwerk gebruiken? Om te surfen misschien niet – eigenlijk is het wel zo vriendelijk dit open te stellen – maar als iemand besluit uw héle netwerk te gaan gebruiken? Met een onbeveiligd draadloos netwerk geeft u namelijk niet alleen toegang tot het internet, ook alle pc's op uw netwerk zijn van buitenaf bereikbaar. En iedere map die op zo'n pc wordt gedeeld, is dus ook beschikbaar voor iedere willekeurige passant die een bezoek brengt aan uw draadloze netwerk. 'Ach, dat zal toch niet zo vaak voorkomen?', denkt u wellicht. Maar onze steekproef onder honderden access points wijst anders uit. Onze bevindingen Het televisieprogramma Zembla toonde een paar maanden geleden in een hyperige uitzending al aan dat de draadloze netwerken van de KLM, Rijkswaterstaat en het tv-programma 2Vandaag onbeveiligd zijn. Helaas werd dit feit als kapstok gebruikt om ook computerterreur, virussen en de kwetsbaarheid van de nationale energievoorziening aan de kaak te stellen. Jammer, want door deze brede aanpak blijven een aantal belangrijke feiten onderbelicht. Bovendien is het nog steeds onduidelijk wat u als computergebruiker nu moet doen: bent u één van die vele onbeveiligde netwerken, en zo ja, hoe zorgt u voor een goede beveiliging van uw access point? Het afgelopen half jaar hebben wij onderzoek gedaan naar de veiligheid van draadloze netwerken. Aanleiding was dat één van de PCM-redacteuren in zijn woonkamer maar liefst 27 (!) draadloze netwerken kon ontvangen, waarvan de helft ogenschijnlijk onbeveiligd was. Nu komt het wel vaker voor dat nerds met een paardenstaart (of computerexperts) kunnen inbreken, maar om onbevoegd een draadloos netwerk te gebruiken heb je geen kennis of speciale apparatuur nodig. Door ons voor te doen als standaard gebruiker (rondrijdend met een notebook met daarin een wifi-kaartje) konden we op veel plekken moeiteloos privé-foto's, belastingaangiften, correspondentie en zakelijke aanmaningen naar ons eigen notebook kopiëren. Daarbij stuitten we in één geval ook nog eens op een virus! Belangrijkste conclusies * Bij 5 procent van alle gevonden access points (zakelijk of privé) kunnen we moeiteloos documenten van een pc plukken; * Het is in deze gevallen eenvoudig mogelijk ongemerkt documenten te veranderen en terug te zetten; * Ongeveer 1 op de 10 bedrijven of woonadressen heeft een access point; * De helft van die access points (49 procent) heeft geen encryptie, terwijl dit de belangrijkste beveiliging is; * 1 op de 5 van de onbeveiligde access points vertrouwt ten onrechte op een mac-adresfilter, terwijl dit nauwelijks als beveiliging gezien kan worden; * 1 op de 6 access points geeft toegang tot de instellingen van het access point omdat het standaard wachtwoord niet is gewijzigd. Beveiliging Er zijn voldoende manieren om een access point afdoende te beveiligen, zowel voor consumenten als voor de zakelijke markt. Want ook al roepen veel mensen zelfverzekerd dat ze helemaal niets te verbergen hebben, iedereen schrikt als blijkt dat we moeiteloos cv's, sollicitatiebrieven, belastingaangiftes, aanmaningen, samenlevingscontracten en digitale foto's hebben gevonden. De meeste access points zijn eenvoudig te beveiligen met encryptie, een mac-adresfilter en een systeembeheerderswachtwoord. Encryptie De beste en makkelijkste beveiliging om een access point te beveiligen is met encryptie. Slechts de helft van alle access point in onze steekproef gebruikt encryptie. Heeft u een netwerk waar geen informatie op staat die gevoelig of kostbaar is, dan is wep-encryptie voldoende, liefst met een 256 bit encryptiesleutellengte. Bevat een netwerken wél gevoelige of waardevolle informatie, dan is de relatief nieuwe wpa-encryptie de enige juiste beveiliging. Met deze vorm van encryptie (en dan het liefst de aes-variant) maakt u een draadloos netwerk net zo veilig als een bedraad netwerk. Mac-adres Eén op de vijf access points gebruikt een mac-adresfilter. Een mac-adres is een nummer van de netwerkkaart dat als identificatiekenmerk van een computer wordt gebruikt. Beveiligen kan door in het access point een nummerlijst aan te leggen tot welke netwerkkaartnummers uw draadloze netwerk zich dient te beperken. Het is echter een naïeve beveiligingsaanpak. Immers, zo'n mac-adres is niet voor beveiliging ontworpen en dus ongeschikt hiervoor. Bij elk netwerkverkeer gaan deze nummers door de lucht. Wie wil kan dus dit nummer op afstand ontvangen, door mee te luisteren met het netwerkverkeer. Of door een netwerkkaart te programmeren met een nieuw mac-adres (bij sommige netwerkkaarten kun je dit softwarematig instellen) kun je moeiteloos het zogenaamd beveiligde netwerk op. Beveiligen op basis van mac-adres geeft dus ten onrechte een gevoel van veiligheid. Bovendien: ieder access point bevat de veel krachtiger wpa- of wep-beveiliging. Waarom zou u deze eigenlijk niet gebruiken? Vrij internet Eénderde van de access points heeft geen encryptie én geen mac-filter toegepast. Ze staan open voor gastgebruik. Dankzij de automatische draadloze configuratie van Windows XP hoef je verder niets in te stellen; met slechts één klik maakt u probleemloos gebruik van zo'n netwerk (of u laat XP dit automatisch regelen). De access point geeft een ip-adres, netmask, gateway en dns-serveradres; de set wordt uitgedeeld door een dhcp-server in het access point of vanuit het netwerk. Veel particulieren en sommige bedrijven configureren hun access point met opzet op deze manier; ze stellen hun netwerk open voor gastgebruik. Maar in veel gevallen is dit dus helemaal niet de bedoeling en is iemand domweg vergeten encryptie aan te zetten. Computers op het netwerk Een onbeveiligd access point verschaft toegang tot het hele netwerk en alle computers in het netwerk. Vaak is de verbinding richting internet afgeschermd met een firewall, maar de draadloze verbinding staat binnen de firewall en zet de internetverbinding open. Met het access point binnen de firewall is ook andere apparatuur in het netwerk zichtbaar, waaronder routers en netwerkprinters. Het zichtbaar zijn van pc's en andere apparatuur is op zich niet verontrustend. Gegevens kunnen immers wachtwoord-beveiligd op een server staan. Tijdens onze testritten kunnen we in 20 procent van de gevallen zien welke apparatuur op het netwerk is geïnstalleerd Op één op de zeven pc's zijn hierbij de netbios-gegevens beschikbaar, zodat een netwerk zelf zichtbaar maakt welke gedeelde mappen op de pc of server staan. Instellingen toegankelijk Eén op de zes access points geeft toegang tot de instellingen van het access point. Uit de doos worden access points geleverd met een standaard wachtwoord om de koper gemakkelijk toegang te geven tot de instellingen. Maar weinig gebruikers beseffen dat een standaard fabriekswachtwoord eigenlijk gelijk staat aan géén wachtwoord. Want met een programmaatje dat draadloze netwerken onderzoekt kun je op afstand lezen wie de maker is van de access point. En dan is het slechts nog een kwestie van even naar de servicepagina van de fabrikant surfen en de gebruikershandleiding downloaden. Hierin staat steevast het standaard wachtwoord. Sommige makers van access points maken het zelfs nog makkelijker door ín het inlogscherm alvast het standaard wachtwoord neer te zetten. Iemand die bij het configuratiescherm kan, is ook in staat de firewall richting internet uit te zetten (indien uw access point tegelijkertijd ook internet-router is). Behalve dat hierdoor het draadloze gedeelte wagenwijd open komt te staan, wordt het access point ook vanaf internet voor iedereen vrij toegankelijk. Ook kan het access point als onbruikbaar worden ingesteld om zo uw draadloze netwerk lam te leggen. Wachtwoorden Zijn computers zichtbaar in het netwerk en tonen ze zichzelf via het netbios-protocol, dan is toegang tot bestanden de volgende stap. De vraag is of computers dit toelaten. Als computers in het netwerk – vaak door gemakzucht - zonder wachtwoord werken of een voorspelbaar wachtwoord hebben is toegang tot opgeslagen materiaal (de gedeelde mappen) mogelijk. In theorie kunt u best een open access point hebben en een netwerk tot dit niveau openstellen. Maar dan moet dit netwerk wel uit zeer goed beveiligde computers bestaan. Gebruik van wachtwoorden is altijd een goede zaak. Naast wpa-encryptie is wachtwoordbeveiliging dus een belangrijk tweede vangnet om vreemden van het netwerk en databestanden te weren; zinnig tegen inbrekers, netwerkvirussen en lekkende access points. Een vervolgstap in beveiliging is dat u uw gedeelde mappen uitsluitend aan correct ingelogde gebruikers beschikbaar stelt, en computers na een zekere arbeidsloze tijd vanzelf laat uit loggen. Een belangrijke richtlijn is wachtwoorden op internetsterkte gebruiken. Dit betekent minimaal 8 tekens met daarin verplicht cijfers en leestekens en periodiek – bijvoorbeeld elke 60 dagen – nieuwe wachtwoorden kiezen. Vereisten van complexe wachtwoorden en periodieke verversing zijn standaard voorzieningen in Windows. Conclusie Maar liefst 1 op de 20 van alle access points (en netwerken en pc's) staat wagenwijd open! Als een access point uit de doos in het netwerk wordt gezet en in dit netwerk geen wachtwoorden en encryptie worden toegepast, dan liggen de documenten op straat. Alle informatie van dit thuisnetwerk of bedrijfsnetwerk ligt dan letterlijk voor het oprapen in een straal van enkele honderden meters of meer. Met een standaard notebook op dit draadloze netwerk zie je alle gedeelde bestanden. Zonder moeite en zonder iets van techniek te weten! Een nachtmerrie voor bedrijven, beschamend voor particulieren. De combinatie van deze standaard uit de doos onveilige access points, de slechte installatie-instructies en kennisgebrek is vaak de oorzaak. De fabrikant valt te verwijten dat er geen knaloranje sticker op het access point zit geplakt die wijst op het potentiële gevaar. De gebruiker valt te verwijten dat deze het boekje niet leest en niet die paar stappen doet die een access point volkomen veilig maken. Tips om wifi-inbraken te voorkomen * Plaats het access point centraal in uw woning of kantoor zodat er zo weinig mogelijk signaal op straat ligt; * Vul altijd een administrator wachtwoord in; * Zet het verzenden van de netwerkidentificatie ssid uit; * Beveilig het netwerk bij voorkeur met wpa-encryptie, indien dat niet mogelijk is met een wep-sleutel (een wep-sleutel is te kraken door iemand die dagenlang uw netwerkverkeer afluistert); * Gebruik wpa met aes (vanwege de sterke encryptie en encryptie van headers met deze norm; ten opzichte van wep zijn met wpa naast data ook adressen niet langer in-the-air zichtbaar); * Indien mogelijk, activeer ook het mac-adresfilter (helpt weinig, maar wel iets); * Zorg bij het wireless access point voor tweede drempel: gebruik wachtwoorden, zet bij gastgebruik als het kan ook een firewall aan. Dit voorkomt toegang tot netwerkshares. Let op het blokkeren van netbios; * Verminder het zendvermogen van de zender als dat in de instellingen van de access point een optie is (niet gezien is niet gehackt). Extra opties voor professionele systeembeheerders * Controleer beveiliging van het eigen netwerk; * Gebruik een tool als Lookatlan om vreemde machines op het netwerk te signaleren; * Gebruik met regelmaat een tool als Netstumbler om te kijken of één van de werknemers 'voor het gemak' niet zelf een access point heeft aangesloten en daarmee de veiligheid van het netwerk ernstig in gevaar brengt; * Gebruik 802.11x (Radius authenticatie server) en een access point die onder de regie van 802.11x alles voor vreemde draadloze computers blokkeert totdat er geauthenticeerd is; * Gebruik een tweede veiligheidsvoorziening, bijvoorbeeld een strikte firewall voor het draadloze netwerk, die uitsluitend een geauthenticeerde gecrypte vpn-verbinding vanaf een draadloos toestel toegang tot het netwerk geeft; * Overweeg het gebruik van de 802.11a-standaard, deze is minder populair en beter inpandig te houden. Gastgebruik Een risico in het geven van gastgebruik is dat een besmette computer gebruik maakt van uw opengestelde internetaansluiting. Of iemand kan uw gastvrijheid misbruiken om spam te versturen, waardoor uw internetaansluiting op een open relay blacklist terecht kan komen en alle mail vanaf deze aansluiting door veel mailservers wordt geblokkeerd. Voor een bedrijf kan dit betekenen dat uitgaande mail versturen voor langere tijd onmogelijk is. Bedrijven doen er dus zeker verstandig aan draadloos gastgebruik op een aparte adsl-aansluiting te zetten, buiten het eigen bedrijfsnetwerk om. Testverantwoording Voor deze test is nadrukkelijk gebruik gemaakt van standaard apparatuur: Microsoft Windows XP op een standaard notebook uitgerust met een reguliere draadloze netwerkkaart. In een eerste inventarisatie is gekeken naar de aanwezigheid van draadloze netwerken in het algemeen, in een aantal stedelijke gebieden. Uit een inventarisatie van gebieden met voornamelijk woonhuizen bleek ongeveer 1 op de 10 woonhuizen een draadloos access point te hebben. Inventarisaties in industriële gebieden geven een vergelijkbaar beeld. Een op de tien bedrijfspanden heeft een of meer draadloze netwerken. Net iets meer dan de helft (51 %) van de netwerken gebruikt een vorm van encryptie. Deze draadloze netwerken beschouwen we als beveiligd en er is verder niet getoetst op soort encryptie of sleutellengte. De restgroep (49 %) wordt in deze test als onveilig beschouwd. Opmerkelijk is dat tussen bedrijfsterreinen en woonwijken geen significant verschil is in de verhouding. De cijfers gelden daarom voor beide gebiedssoorten. Op de tweede groep draadloze netwerken is een kleine maar representatieve steekproef gedaan. Gekeken is of Windows XP zelf verbinding maakt met het draadloze netwerk, of er tussen draadloos netwerk en XP automatisch netwerkinstellingen worden uitgewisseld en of daarna internettoegang beschikbaar is. Vervolgens is gekeken of Windows XP zelf andere computers in het netwerk herkent en documenten toegankelijk zouden kunnen zijn. Er is geen gebruik gemaakt van hulpprogramma's om computers van een oneigenlijke identiteit te voorzien (mac-adres) of hulpprogramma's om wachtwoorden te kraken. Strafbaar Ook al staat uw voordeur wagenwijd open, het is niet toegestaan naar binnen te gaan en iets te stelen. Hetzelfde geldt voor draadloze netwerken, alleen dan noemen we het computervredebreuk. Van computervredebreuk is sprake als iemand 'tegen de wil van de eigenaar of beheerder opzettelijk binnendringt in een computersysteem of deel daarvan en daarbij bovendien 'enige beveiliging' doorbreekt of een valse sleutel, valse signalen, een valse hoedanigheid of een technische ingreep gebruikt'. Er moet dus sprake zijn van 'enige beveiliging'. Ook moet duidelijk zijn dat binnendringen ongewenst is. Hoe zwaar de beveiliging moet zijn, wordt niet in de wet aangegeven. Binnendringen in een computer door onvolkomenheden in de programmatuur te gebruiken is een voorbeeld van het doorbreken van 'enige beveiliging'. Voorbeelden uit de tweede regel van de wet (het zonder toestemming gebruiken van andermans wachtwoord en accountnaam) valt onder het kopje 'valse hoedanigheid'. Het benutten van valse, gevonden of gestolen keycards, andermans encryptie-codewoorden en dergelijke vallen onder de noemer 'valse sleutel', waarbij men moet weten dat een sleutel ook vals is als hij op zich wel goed is, maar onrechtmatig gebruikt wordt. Bij totaal onbeveiligde netwerken is er waarschijnlijk geen sprake van computervredebreuk maar van 'aftappen of opnemen'. Op het web Dossier: draadloze netwerken In de PCM van juli 2004 treft u een technische uitleg aan over de werking van wpa. Dit artikel staat in pdf-formaat op PCMweb.nl. Informatie over Wet computercriminaliteit: www.infopolitie.nl