Inloggen op een openbaar WiFi netwerk is niet veilig

Over de risico’s van openbare WiFi netwerken is al veel gezegd en geschreven. Ook de VTM Groep wijst medewerkers en klanten veelvuldig op de risico’s hiervan. Hoe groot die risico’s zijn bleek wel uit een artikel van Maurits Martijn van De Correspondent. Samen met ethisch hacker, Wouter Slotboom, ging hij de stad in om in de praktijk te ondervinden wat mensen allemaal prijs geven wanneer wordt ingelogd op een openbaar WiFi netwerk.

Bron: decorrespondent.nl

Wouter en Maurits nemen plaats op een willekeurig terras in de binnenstad van Amsterdam. Bijna alle tafels zijn bezet. Mensen praten met elkaar, anderen werken op hun laptop of spelen met hun smartphone. Uit de rugtas van Wouter komt een klein zwart apparaatje, iets groter dan een sigarettenpakje, met een antenne eraan. Wouter legt het apparaatje op tafel en verbergt het onder een menukaart. Ze bestellen koffie bij de serveerster en vragen het wachtwoord van het wifinetwerk.

Signalen

Wouter zet het apparaatje en zijn laptop aan. Hij start wat programma’s op en zijn scherm vult zich met regels groene tekst. Langzaam wordt duidelijk dat het apparaatje van Wouter contact legt met de laptops, smartphones en tablets van de terrasbezoekers. De antenne van het apparaatje vangt de signalen op die de laptops, smartphones en tablets afgeven. Op zijn scherm verschijnen woorden als ‘iPhone van Joris’ en ‘MacBook van Simone’.

Er verschijnt meer tekst op het scherm. Van alle apparaten die contact hebben gemaakt met het zwarte apparaatje kunnen Wouter en Maurits zien op welke WiFi netwerken zij al eerder aangesloten zijn geweest. Soms zijn dat onherleidbare namen met veel cijfers en letters, maar vaker dragen de wifinetwerken de naam van de locatie waar ze bij horen.

Ze zien dat Joris (iPhone van Joris) een McDonald’s heeft bezocht, waarschijnlijk in Spanje op vakantie is geweest (veel Spaanstalige netwerknamen) en heeft gekart bij een bekend kartcentrum in het westen van het land. Een andere terrasbezoeker, Martin, is ingelogd geweest op het netwerk van vliegveld Heathrow en de Amerikaanse vliegtuigmaatschappij Southwest. In Amsterdam slaapt hij waarschijnlijk in het White Tulip Hostel en hij heeft coffeeshop The Bulldog bezocht.

Sessie 1: iedereen laten inloggen op ons nepnetwerk

Inmiddels heeft de serveerster de heren het wachtwoord gegeven van het WiFi netwerk van het café. Nadat Wouter is ingelogd, is hij in staat om het hele terras van internet te voorzien en al het internetverkeer door het kleine apparaatje te laten stromen.

De meeste smartphones, laptops en tablets zoeken automatisch naar een WiFi netwerk. Het liefst vinden deze apparaten een WiFi netwerk waar zij al eerder op aangesloten zijn geweest. Jouw apparaat vraagt zich constant af: is er een bekend netwerk in de buurt?

Het apparaatje van Wouter is in staat om die zoekpogingen te ondervangen. Vervolgens kan het apparaatje zich voordoen als één van de bekende, vertrouwde netwerken van de terrasbezoekers. Zo verschijnen van de iPhone van Maurits zelf (die samen met Wouter het onderzoek doet) de naam van zijn thuisnetwerk, dat van zijn werk en van een hele trits openbare plekken die hij heeft bezocht (cafés, hotellobby’s, treinen). Zijn telefoon logt vanzelf in op een van deze netwerken, die dus in werkelijkheid inmiddels allemaal bij het zwarte apparaatje horen.

De sirenenzang van het kleine zwarte apparaatje is onweerstaanbaar. Al twintig smartphones en laptops zijn ingelogd.


Ook kan Wouter een gefingeerde naam geven aan een netwerk, waardoor de gebruikers denken dat ze zijn aangesloten op het netwerk van het café. Als een café bijvoorbeeld een wifinetwerk heeft met willekeurige letters en cijfers (‘FRITZBOX XYZ123’), dan kan hij het netwerk de naam van het café geven (‘Starbucks’). Daar loggen mensen veel sneller op in, vertelt hij.

Steeds meer terrasbezoekers loggen in op het netwerk van Wouter en Maurits. De sirenenzang van het kleine zwarte apparaatje is onweerstaanbaar. Al twintig smartphones en laptops zijn ingelogd. Wouter kan nu, als hij wil, iedereen die op hen is aangesloten totaal ruïneren. Hun wachtwoorden achterhalen. Hun identiteit stelen. Hun bankrekening plunderen.

Grote kans

Dat openbare WiFi netwerken niet veilig zijn kan niet vaak genoeg verteld worden. Vijfentachtig procent van de Nederlanders bezit een smartphone. Achtenvijftig procent van de Nederlandse huishoudens heeft een tablet. Naar schatting hebben 10 miljoen Nederlanders een laptop. Grote kans dat nagenoeg iedere Nederlander met één van die draagbare apparaten weleens is ingelogd op een openbaar wifinetwerk. In het café, in de trein, in een hotel.

Uit onderzoek van Symantec blijkt dat 60 procent denkt dat openbare wifinetwerken veilig zijn. 75 procent neemt geen maatregelen als zij op een openbaar WiFi netwerk inloggen. Openbare WiFi netwerken maken het hackers en cybercriminelen wel heel erg makkelijk.

Kinderspel

Wouter Slotboom is een ‘ethisch hacker’, een techneut die wil laten zien wat de gevaren kunnen zijn van internet en technologie. Hij adviseert individuen en bedrijven hoe zij zichzelf beter kunnen beschermen. Dat doet hij meestal door, zoals vandaag, gewoon te laten zien hoe simpel het is om schade toe te brengen.

Want kinderspel is het. Het apparaatje is goedkoop, de software die nodig is om het verkeer af te lezen werkt heel simpel en is gewoon te downloaden. ‘De enige benodigdheden zijn 70 euro, een gemiddeld IQ en een beetje geduld,’ zegt hij. Loop een dag mee met Wouter en je komt erachter dat ongeveer alles en iedereen via een wifinetwerk te kraken valt.

Sessie 2

De volgende ‘crimescene’ van de heren in een koffiezaak die bekendstaat om de vele zzp’ers die er overdag op hun laptop zitten te werken. Deze vestiging is afgeladen met mensen die geconcentreerd naar hun beeldscherm kijken.

Wouter start zijn apparatuur op. Er gebeurt exact hetzelfde als eerder op het terras: binnen een paar minuten zijn er een stuk of twintig apparaten verbonden met zijn apparaat. Ze zien weer de Macadressen en hun inloggeschiedenis en sommige namen van apparaten.

Verouderd besturingssysteem

Wouter start een ander programma (ook eenvoudig te downloaden) en is nu in staat om veel meer informatie over de aanwezige smartphones en laptops te achterhalen. Zo zien we de specificaties van de telefoontypen (bijvoorbeeld: Samsung Galaxy S4), de taalinstellingen van verschillende apparaten of de versie van het besturingssysteem (bijvoorbeeld iOS 7.0.5). Dat is waardevolle informatie voor een kwaadwillende hacker: als een apparaat een verouderd besturingssysteem heeft, dan zijn er online altijd wel ‘bugs,’ gaten in het beveiligingssysteem te vinden. Als je die informatie hebt, dan weet je hoe je het besturingssysteem binnen kunt treden en het apparaat over kunt nemen. Een steekproef in de koffiezaak wijst uit dat geen van de aanwezige apparaten het meest recente besturingssysteem heeft gedownload en dat van al deze verouderde systemen online een bug is te vinden.

Ze kunnen nu meer van het daadwerkelijke internetverkeer van de aanwezigen zien. Ze zien dat iemand met een MacBook Nu.nl bekijkt. Ze zien namen van apparaten die bezig zijn om via WeTransfer documenten te versturen of contact maken met Dropbox. Ze zien dat iemand net is ingelogd op Foursquare. De naam van deze persoon verschijnt ook. Ze googelen hem en zien dat hij een paar meter van hen vandaan zit.

Ook van degenen die niet aan het werk of aan het surfen zijn komt informatie binnen. Veel mailprogramma’s en apps maken constant contact met hun servers. Dat is nodig om, bijvoorbeeld, nieuwe e-mail op te halen. Wouter kan van sommige apparaten en programma’s zien welke informatie er naar welke server wordt gestuurd.

Seksuele voorkeur

En dan wordt het echt intiem. Ze zien dat een van de aanwezigen de app van homodatingsite Grindr op zijn smartphone heeft staan. Ze zien de naam van zijn smartphone en het type (bijvoorbeeld iPhone 5S). Aan de hand van andere informatie die zijn smartphone afgeeft zou het een koud kunstje zijn te achterhalen om welke bezoeker van de koffiezaak het gaat. Ze doen het niet.

Naam en wachtwoord onderscheppen

Maurits verzoekt Wouter om te demonstreren wat hij zou doen als hij hem echt schade toe wil brengen. Wouter vraagt Maurits naar Live.com (het mailprogramma van Microsoft) te surfen en daar zijn gebruikersnaam en wachtwoord in te toetsen. Enkele seconden daarna verschijnen die gegevens op zijn scherm. Nu heeft hij de inloggevens van zijn mail. Hij verandert het wachtwoord van zijn mail en gaat bij andere diensten die hij gebruikt aangeven dat hij het wachtwoord vergeten is. De meeste mensen gebruiken hetzelfde e-mailaccount voor alle diensten. En die nieuwe wachtwoorden komen dan dus binnen in de mailbox die hij inmiddels tot zijn beschikking heeft.

In twintig minuten slaagt Wouter er in de inloggegevens en wachtwoorden te bemachtigen van Live.com, SNS Bank, Facebook en DigiD.


Een andere truc is dat Wouter zijn internetverkeer omleidt. Hij geeft zijn programma de opdracht dat als Maurits surft naar bijvoorbeeld SNS.nl of DigiD.nl, hij uitkomt op een site van hem. Een gekloonde site, die voor de bezoeker identiek lijkt aan de vertrouwde site, maar die volledig onder controle is van Wouter. DNS spoofing, in jargon. De gegevens die Maurits op de site achterlaat worden op de server van Wouter opgeslagen. In twintig minuten slaagt Wouter er in de inloggegevens en wachtwoorden van Maurits van te bemachtigen van Live.com, SNS Bank, Facebook en DigiD.

Wees bewust

Bovenstaande is gebaseerd op een artikel dat is geplaatst op De Correspondent. Het betreft een geactualiseerde versie van een artikel dat enkele jaren eerder is verschenen. Ondanks alle waarschuwingen voor de risico’s blijken helaas nog veel mensen zich niet bewust van die risico’s. Naast technische maatregelen is juist het menselijk gedrag bepalend voor digitale veiligheid. Wees u dus altijd bewust van de risico’s en schroom niet uw medewerkers hier keer op keer op te wijzen.

 

Terug naar overzicht