Zijn optreden tijdens Sophos Day in Utrecht was een sensatie. James Lyne, global head of security research bij Sophos, is een fenomeen. Volgens eigen zeggen een ‘geek’ die bezeten is van technologie. Met een bijna satanisch genoegen legt de cryptograaf elke digitale kwetsbaarheid genadeloos bloot. Het kraken van wachtwoorden met minder dan acht tekens is voor Lyne kinderspel. Hij hackt met een zuiver motief: ‘I take the security threat as a direct affront to the purpose of the web.’
Het publiek hangt ademloos aan zijn lippen als Lyne vertelt over Warbiking, zijn persoonlijke kruistocht tegen de onveilige draadloze wereld. Op een speciaal geprepareerde racefiets met WiFi-scanners, accesspoints en GPS-ontvangers toerde Lyne al door San Francisco, Londen, Las Vegas, Hanoi en Sydney. Doel: WiFi-gebruikers in de openbare ruimte bewust maken van de veiligheidsrisico’s. Onlangs deed Lyne ook Amsterdam aan. Binnenkort weten we of Amsterdammers slimmer omgaan met de WiFi-verleidingen.
Wi-Fi honger
Onze honger naar WiFi is nauwelijks te stillen, maar zoals het Nationaal Cyber Security Centrum (NCSC) eind vorig jaar al stelde: WiFi is de meest onderschatte schakel in de netwerkbeveiliging. De dreigingen met betrekking tot WiFi-netwerken, zoals wardriving, rogue accesspoints, spoofen van MAC-adressen en Denial-of-Service, richten zich vooral op het verkrijgen van ongeautoriseerde toegang tot informatie, het manipuleren van informatie en het verstoren van de beschikbaarheid van informatie.
Versleuteling
Versleuteling van informatie is bittere noodzaak. WEP (Wired Equivalent Privacy) was de eerste versleutelmethode die werd aangeboden voor Wi-Fi-apparatuur, maar bleek zo lek als een mandje. Het algoritme is binnen één minuut te kraken. WPA/WPA2 (WiFi Protected Access) zijn beveiligingsstandaarden die als opvolgers van WEP zijn ontwikkeld. WPA is als een tijdelijke standaard geïntroduceerd om de problemen met WEP snel het hoofd te bieden. WPA kan RC4 of Advanced Encryption Standard (AES) als versleutelalgoritme gebruiken. Er zijn twee verschillende protocollen voor versleuteling in gebruik. WPA maakt gebruik van het TKIP/MIC-protocol. TKIP is de afkorting van het Temporal Key Integrity Protocol en MIC staat Message Integrity Check. WPA2 is de vernieuwde versie van WPA en maakt gebruik van het sterkere versleutelprotocol AES met CCMP (Counter-mode CBC MAC Protocol). WPA2 geldt momenteel als de ‘best practice’.
Warbiking
The World of Warbiking is niet zomaar een ludieke actie, maar een serieus en ambitieus onderzoeksproject. “Het is volstrekt legaal bovendien,” benadrukt Lyne. “Zo hebben we draadloze technieken als Radio Frequency Identification en Near Field Communication niet onderzocht, omdat dit in San Francisco wettelijk verboden is. Cybercriminelen daarentegen beperken zich niet en hanteren agressieve aanvalstechnieken zoals ‘the man in the middle’. Deze kan het internetverkeer onderscheppen, ontsleutelen en aanpassen.” Warbiking is afgeleid van wardriving, waarbij men vanuit een auto met notebook en draadloze netwerkkaart probeert in te breken in slecht beveiligde netwerken.
DO NOT CONNECT
In het kader van Warbiking verzamelde Lyne op straat data over de WiFi-netwerken en beveiligingsprotocollen. Uit de lijst met WiFi-netwerken waarmee gebruikers eerder waren verbonden, kun je privégegevens afleiden, bijvoorbeeld in welke hotels ze verbleven. Voor testdoeleinden heeft Lyne zelf een aantal draadloze netwerken opgezet met namen als Free Public WiFi, Free Internet en DO NOT CONNECT. Vooral bij het laatstgenoemde netwerk zouden alle alarmbellen moeten gaan rinkelen. Toch kozen tientallen mensen ondanks deze expliciete waarschuwing blind voor dit netwerk waarvan de eigenaar onbekend was. Sterker nog, ze deinsden er ook niet voor terug om via dit netwerk online banktransacties te verrichten.
Resultaten
- Maar liefst 9,5 procent van de in totaal 72.312 netwerken die Lyne aantrof in de straten van San Francisco maakt nog gebruik van het hopeloos verouderde WEP, het beveiligingsprotocol waarvan al sinds 2001 vaststaat dat dit algoritme binnen zestig seconden te kraken is. “Shocking!” vindt Lyne. “Hiermee leg je de rode loper uit voor cybercriminelen.” Londen scoorde met 6,34 procent iets beter, maar de resultaten blijven schokkend.
- Slechts 13,5 procent van de gesignaleerde netwerken in San Francisco maakte gebruik van WPA2, waarbij WPA2+AES het meest voorkwam. Londen scoorde ook hier beter dan San Francisco. In Londen werd in 17,26 procent van de gevallen een WPA2 beveiligd netwerk aangetroffen.
- WPS (WiFi Protected Setup) is een in 2007 geïntroduceerde methode om simpel een apparaat aan het draadloze netwerk toe te voegen. WPS heeft echter een gevaarlijk achterdeurtje. Randapparatuur kan ook met een bepaalde WPS-pincode draadloos worden aangemeld. Deze pincode is binnen vier tot tien uur te kraken. Desondanks werd WPS als soepele verbindingsmethode regelmatig aangetroffen in de netwerken in San Francisco (29 procent) en in Londen (34 procent).
- Mobiele gebruikers willen maar één ding: gratis internet en wel snel. In San Francisco maakten 1.512 inwoners verbinding met een van de door Lyne opgezette draadloze netwerken: Free Public WiFi, Free Internet en DO NOT CONNECT. In Londen trapten 2.907 burgers in de val.
- VPN is niet bijster populair. Slechts 6 procent van de inwoners van San Francisco en 2 procent van de Londonaren gebruikten deze beveiligde verbinding.
James Lyne trekt dan ook een sombere conclusie: “What’s really depressing is, that the technology to stop this and the simple behaviours to prevent these kinds of attacks has been widespread and well-known to the security community for many, many years. Yet, most people simply aren’t doing it.”
Tien tips
- Gebruik WPA2 als versleuteling
- Verzin een sterke zin als wachtwoord met een minimum van 14 tekens
- Vermeld nergens de naam van je netwerk of je eigen naam
- Denk twee keer na voordat je een draadloos netwerk aanklikt
- Houd je computer en internetbrowser volledig up-to-date
- Maak gebruik van een VPN-verbinding
- Kies voor HTTPS of SSL bij het internetten
- Zet WPS uit
- Zet Bluetooth uit als je dit draadloze netwerk niet gebuikt
- Beveilig niet alleen je laptop, maar gebruik veilige wachtwoorden voor alle met het internet verbonden apparaten
Bron: Sophos
IoT
Met de komst van the Internet of Things ontstaat volgens Lyne een nieuwe goudmijn voor cybercriminelen. “If you can connect to it you can own it.” Met andere woorden: elk apparaat is dan te hacken. Niet voor niets staat de beurs Infosecurity dit jaar in het teken van the Internet of Things. Netwerkbeveiliging is essentieel om te voorkomen dat cybercriminelen de communicatie tussen het apparaat en de server kunnen onderscheppen en op die manier data stelen.
Goed nieuws voor degenen die Sophos Day helaas hebben gemist. James Lyne zal tijdens Infosecurity 2014 op 29 oktober om 15.00 uur in de Utrechtse Jaarbeurs opnieuw voor spektakel zorgen en de resultaten van Warbiking Amsterdam presenteren. Don’t miss it.
ICT/Magazine besteedde aandacht aan de tocht van James Lyne door Amsterdam. Ook daar was het merendeel van de Wifi-netwerken niet veilig.
Spohos is deelnemer aan Infosecurity, Storage Expo en The Tooling Event 2014.
Op de hoofdpagina Beursspecial vertellen ook andere beursdeelnemers aan ICT/Magazine over wat hen beweegt: van spionage tot wielrennen en pionieren.
