Wifi
377

Bijna iedere dag is er wel nieuws over hackers die toegang verkregen hebben tot computersystemen en gevoelige informatie over bedrijven of personen gestolen hebben, om daarna die bedrijven geld af te persen, de informatie te verkopen, of zelf financiële transacties uit te voeren. Medio april heeft een bank nog net de overschrijving van 80 miljard kunnen voorkomen, nadat eerdere transacties van enkele miljoenen wel waren gelukt. Alleen nu hebben de hackers een foutje gemaakt door de bedrijfsnaam waar het geld naar overgemaakt moest worden, verkeerd te spellen!

Als je denkt dat hackers alleen bedrijven interessant vinden, heb je het mis; ook toegang tot jouw thuisnetwerk en jouw privégegevens zijn interessant; bijvoorbeeld om mee te kijken met je notebook-camera wat je in huis hebt of wat je aan het doen bent, toegang te krijgen tot je bankrekening of je computer blokkeren om tegen betaling pas weer vrij te geven (ransomware), of je persoonlijke gegevens te gebruiken voor bijvoorbeeld een valse identiteit.

Een van de manieren voor hackers om toegang te krijgen tot jouw systeem en gegevens is gebruik te maken van Wifi. Een onvoldoende beveiligd Wifi-netwerk thuis of gebruik van slecht beveiligde Wifi-systemen buitenshuis geven anderen toegang tot jouw computer, notebook, tablet of smartphone. En tegenwoordig ook tot je cv-thermostaat, spelcomputer, zonnepanelen, alarmsysteem, en misschien binnenkort zelfs je koelkast of auto.

Als je denkt dat IT’ers hun zaakjes thuis op orde hebben, even een persberichtje:

In 80% van de 25 meest verkochte wifi-routers op Amazon zijn beveiligingslekken aanwezig, zo hebben onderzoekers ontdekt. In 34% van de gevallen zijn exploits die misbruik van de lekken maken eenvoudig op internet te vinden, zo beweert beveiligingsbedrijf Tripwire.
Daarnaast blijkt uit aanvullend onderzoek dat veel gebruikers hun router niet goed beveiligen. Voor het onderzoek werden 653 IT’ers en security professionals en 1009 Amerikaanse en Britse werknemers ondervraagd die op afstand werken. 30% van de IT’ers en 46% van de werknemers bleek het standaardwachtwoord van de router niet te hebben gewijzigd.
Verder bleek dat 55% van de IT’ers en 85% van de werknemers het standaard IP-adres van de router niet had gewijzigd, waardoor ze voor gevoeliger voor Cross-Site Request Forgery (CSRF ) aanvallen zijn. Daarnaast gebruikt 43% van de IT’ers en 54% van de werknemers Wi-Fi Protected Setup (WPS). Een kwetsbaarheid in WPS zorgt ervoor dat een aanvaller eenvoudig het netwerkwachtwoord kan achterhalen. Ook liet 52% van de IT’ers en 59% van de werknemers weten dat ze niet de meest recente firmware van de router gebruiken.

Dus tijd voor wat tips!

Wifi-netwerk thuis
Wifi is een protocol voor het draadloos versturen van informatie tussen computersystemen, zoals je computer, notebook, tablet en telefoon. Steeds meer apparaten in huis zijn ‘smart’ en kunnen ook met Wifi-overweg, zoals televisie, mediastreamer, NAS, versterker, printer, en ook andere apparaten als een verwarmingsthermostaat, omvormer van zonnepanelen, beveiligingssysteem met camera of rookmelder, en in de nabije toekomst ook wellicht je koelkast, zodat je boodschappenlijst automatisch bijgewerkt wordt. Het wordt dus steeds belangrijker om hackers buiten je thuisnetwerk te houden.
Je eerste gedachte is dat je je zaakjes thuis keurig op orde hebt, je provider (KPN, OnsBrabantNet, Ziggo, Tele2, XS4All enz.) heeft een Access Point, een modem met router en Wifi, geleverd en alles is goed geïnstalleerd. Maar is dan alles ook veilig?

Een van de eerste stappen om mogelijke risico’s in kaart te brengen is het uitvoeren van een ‘security scan’: maak een overzicht van alle onderdelen van je computernetwerk, zoals computers, tablets, routers, bekabelde en draadloze verbindingen (Wifi, Bluetooth), maar ook de software en de versie ervan, die op die systemen draait, zoals Windows, Internetbrowser, firmware (van bijv. routers), enzovoorts.
Alle onderdelen die een verbinding met internet kunnen hebben, kunnen een risico vormen en moeten de meest recente versie van de software hebben en veilige instellingen (zoals gebruikerscode en wachtwoord). Wat betreft je modem/router: je provider moet ervoor zorgen dat deze up-to-date blijft, een update kan je meestal niet zelf uitvoeren. Hieronder volgen een aantal tips voor een veiliger Wifi-systeem:

Tip 1: Je provider heeft bij de oplevering van je internetverbinding aangegeven hoe je in je modem/router kunt inloggen. De standaard codes van je provider zijn echter vaak slecht of herleidbaar aan de hand van bijvoorbeeld de netwerknaam en het serienummer. Het is dus belangrijk dat je direct na oplevering van de installatie de inloggegevens wijzigt naar goede en niet herleidbare codes; dit geldt zowel voor de toegang tot het modem/router, de naam van de Wifi-netwerk (SSID) als de Wifi-netwerksleutel. Gebruik voor je SSID dus geen verwijzing naar je eigen naam of adres, zodat van buitenaf niet duidelijk is van wie het netwerk is.
Tip 2: Voor de beveiliging van je Wifi berichten kun je kiezen uit een aantal opties zoals WEP, WPA en WPA2. WPA2 is op dit moment de beste, WEP en WPA zijn al eens “gekraakt”, en dus onveilig.
Tip 3: Schakel Wifi Protected Setup (WPS) uit, niet alle WPS-opties zijn veilig.
Tip 4: Schakel ook het beheer van het modem/router via Wifi uit; mochten hackers binnen komen via Wifi, dan kunnen zij de instellingen modem/router niet aanpassen.
Tip 5: Het is belangrijk om alle mogelijkheden van het modem/router uit te zetten die je niet bewust gebruikt, zodat fouten (bugs) in die onderdelen niet tot ongewenste toegang leiden, zoals UPnP, USB, DDNS, Remote Management. Controleer ook dat de Firewall optie aangezet is.
Tip 6: Verander de standaard IP reeks 192.168.1.1 van je interne netwerk. Dit vermindert jouw gevoeligheid voor CSRF (Cross-Site Request Forgery), die vaak alleen maar de standaard IP reeks gebruikt.
Tip 7: Als je regelmatig van provider denkt te wisselen voor bijvoorbeeld voordeligere of completere abonnementsaanbiedingen, zet dan een eigen router (met Wifi) tussen modem/router en je eigen netwerk in. Je kan dan je netwerk zelf helemaal inrichten en na veranderen van provider hoef je niet je gehele netwerk opnieuw in te stellen.
Tip 8: Zet je Wifi zodanig neer dat het signaal zoveel mogelijk binnenshuis blijft en zeker niet in de buurt van een raam.
Tip 9: Als je een beperkt aantal, niet wisselende, apparaten in je Wifi-netwerk hebt, kan je er ook voor kiezen om een controle op MAC-adressen in te stellen.

Wifi onderweg
Je smartphone of notebook zoekt standaard naar het sterkste Wifi-signaal waar het een verbinding met internet kan maken. Het gebruikt daarbij de lijst van alle Wifi-verbindingen die je ooit hebt gebruikt, dus ook het gratis internet in de trein of bij McDonald’s. Het nadeel van gratis internet is dat ze vaak niet of slecht beveiligd zijn, zodat het Wifi-signaal ‘uit de lucht’ geplukt en gelezen kan worden. Voor onschuldige berichten als ophalen van nieuws bij Nu.nl is dat geen probleem, maar wel als je kleding gaat bestellen bij een webshop en je je inloggegevens of bankgegevens moet invullen.
Maar dit gaat helaas verder dan het gebruik van gratis internet bij McDonalds of andere locatie. Omdat je smartphone of notebook eerdere Wifi-verbindingen heeft onthouden en naar een sterker signaal blijft zoeken, kan een hacker een speciale computer laten doen alsof het een, voor jouw systeem, bekend gratis Wifi-verbinding beschikbaar stelt. Al je Wifi-verkeer loopt dan via het systeem van de hacker en deze kan meekijken wat je verstuurt. Dus ook ‘bij het café om de hoek’ zal jouw systeem zich laten verbinden alsof je bij McDonald’s zit!

Voor gebruik van Wifi onderweg, daarom de volgende tips:
Tip 10: Zorg ervoor dat je de laatste updates van je smartphone, tablet of notebook hebt geïnstalleerd.
Tip 11: Gebruik alleen gratis Wifi als je weet dat het systeem veilig is, of als je geen privé-gegevens verstuurt.
Tip 12: Verwijder, na gebruik, de gratis Wifi-verbinding uit de lijst van de mogelijke Wifi
Tip 13: Door nieuwe veiligheidsregels is het weer toegestaan om in Nederland om via open Wifi-netwerken te internetbankieren, in tegenstelling tot het buitenland! Onze tip: geen internetbankieren over gratis Wifi!

Aansprakelijkheid
Mocht je thuis of onderweg toch een foutje in je beveiliging hebben gehad, en hackers geld van je bankrekening hebben ‘gejat’, dan heeft onze minister Dijsselbloem het volgende met de banken afgesproken:

“Dijsselbloem laat verder weten dat het niet navolgen van een deel van de regels niet inhoudt dat klanten in het geval van fraude met internetbankieren niet vergoed worden. “Daarnaast wordt regelmatig de suggestie gewekt dat de consument bij het niet naleven van de uniforme veiligheidsregels per definitie ‘grof nalatig’ zou zijn, waarbij hij of zij aansprakelijk zou zijn voor de volledige schade. Dit zou echter niet in lijn zijn met het Nederlandse aansprakelijkheidsrecht.”
De minister zou van de Nederlandse Vereniging van Banken (NVB) hebben begrepen dat banken zich er bewust van zijn dat een gemiddelde consument zich niet 100% tegen internetcriminelen kan beveiligen. “Het niet naleven van een beperkt onderdeel van de uniforme regels betekent daarom niet per definitie dat de consument aansprakelijk wordt gesteld voor de schade, zo benadrukt de NVB”, aldus de minister. Hij herhaalt zijn eerdere opmerking dat alleen de rechter kan vaststellen of er in een individueel geval sprake van grove nalatigheid is.”

softwaresecurity_dec

Auteur: Jos Raijmakers, Bergler Competence Center 2016