Medio oktober maakte paniek zich meester van beveiligers bij veel, heel veel organisaties. Wifi blijkt te kraken te zijn en het probleem oplossen is ingewikkeld. Tenminste als we ons blijven focussen op die ene technologie.
Draadloze netwerken blijven kwetsbaar. De WPA2-versleuteling blijkt onder omstandigheden te kraken. Dat blijkt uit schitterend onderzoek van Frank Piessens en Mathy Vanhoef, die niet alleen de wetenschap uit de doeken doen maar ook laten zien hoe de aanval werkt. De bevindingen sloegen in als een bom.
Het gevolg is volgens velen dat je niet meer veilig gebruik kunt maken van draadloze netwerken. Iedereen kan de signalen immers afvangen en je bent uiteindelijk volledig afluisterbaar. De huidige paniek is een beetje overdreven, omdat mensen eraan voorbij gaan dat dit probleem al langer bestaat. Andere onderzoekers wisten al eerder de WEP- en WPA-versleuteling te kraken. Daarnaast is het kinderlijk eenvoudig om een eigen hotspot te plaatsen en op die manier verkeer af te tappen. Ook kunnen mobiele verbindingen door overheden worden gekraakt.
Deze wifi-situatie roept bij mij de parallel op met de problemen rond de OV-chipkaart. Ook daar berust de kern van de beveiliging op het versleutelen van de gegevens op de kaart. Na het kraken daarvan kan de aanvaller saldo manipuleren, abonnementen toevoegen en doen alsof u bent ingecheckt voor de reis. Kortom: het kraken van een enkele laag verzaakt een probleem. We mogen wel concluderen dat ons grenzeloze vertrouwen in de veiligheid van één internetverbinding toe is aan herziening. Pas wanneer – niet ‘als’ – het verkeerd gaat, begrijpen we kennelijk dat we het moeten doen zonder die vertrouwelijkheid van communicatie.
De oplossing zit in een heel basaal principe uit de beveiliging: meerdere verdedigingslinies. Wie gebruikmaakt van per definitie kwetsbare netwerken, zoals internet, kan niet zonder het gebruik van een veilige VPN-verbinding naar een vertrouwde plek toe. Valt de wifi-technologie dan blijft het VPN overeind en valt het VPN dan is er nog de wifi-versleuteling. Zo zijn er meer fallback-mechanismen te bedenken. Allemaal met het doel om maar niet volledig te struikelen over één enkele technologie. Weerbaarheid is meer dan de beveiliging van een enkele laag. Dat blijkt ook bij de OV-chipkaart de oplossing. De cryptografie is daar met deze kaart niet meer te redden, maar dankzij goede fraudedetectie is Translink Systems toch weerbaar tegen aanvallen.
Focus op meerdere technologieën, zodat mooi onderzoek naar wifi ook dat weer precies dat kan zijn: mooi en interessant onderzoek die aanspoort tot actie, niet tot paniek. Want in de informatiebeveiliging hebben we één zekerheid: technologie gaat altijd stuk… tot het tegendeel bewezen is.
