Het gevaar van onbeveiligde WiFi netwerken

Het gevaar van onbeveiligde WiFi

Leg jij jouw wachtwoorden op straat door te verbinden met onbeveiligde WiFi netwerken?

WiFi is na het internet wel één van de meest gebruikte uitvindingen van deze tijd. Overal waar we zijn willen we WiFi. Laatst gebeurde het me weer, mensen bij mij thuis op bezoek vroegen om mijn WiFi code. Zoals ik al zei in de inleiding; WiFi lijkt wel een primaire levensbehoefte. Ik deel daarom ook een afbeelding met je die ik laatst tegen kwam. De piramide van Maslow© alleen dan aan de onderkant uitgebreid met WiFi.

MaslowWiFi

Het is duidelijk, we hebben graag overal internet, om te Whats-Appen, om te mailen en te Facebooken of Twitteren. Die behoefte is zelfs zo sterk dat we daardoor ook risico’s nemen en in de val lopen.

Voor alles wat gratis is ben ik bij voorbaat al wat sceptisch. Is het ECHT gratis? Veelal zeg ik, als iets gratis is, dan neem je waarschijnlijk niet het product af, maar ben je zelf het product. Informatie over jou (privacy gevoelige informatie) heeft namelijk een waarde. Facebook betaalde voor WhatsApp circa $50 per gebruiker. Dat astronomische bedrag was niet voor de dienst zelf in mijn ogen, maar de waarde die het groot aantal gebruikers met zich meebrengt. Dat deze gegevens veel waard zijn blijkt ook uit een rapport van de Amerikaanse organisatie RAND. In een door hun gepubliceerd rapport blijkt dat op de zwarte markt tussen de 16 en 325 dollar wordt betaald voor een recent gestolen/gehackt Twitter Account.

Nu heb je vast al eens gehoord dat het verstandig is om in een openbaar WiFi punt niet te gaan internet-bankieren of zelfs niet te gaan e-mailen. Maar wat is het risico hier eigenlijk van?

Encryptie?

WiFi thuis (en op kantoor) is veelal versleuteld en dus beveiligd. Je hebt een wachtwoord nodig om überhaubt verbinding te maken met het netwerk en met dat wachtwoord wordt tevens je verbinding tussen je apparaat en de router (internet toegangspunt) versleuteld. Andere mensen die in dat zelfde WiFi netwerk zitten kunnen dus niet zomaar afluisteren wat je aan het doen bent. Dit is dan ook meteen het grote probleem: een openbaar WiFi zonder wachtwoord is niet versleuteld. Iedereen in het zelfde WiFi netwerk kan dus WEL afluisteren wat jij allemaal doet, bijvoorbeeld met een WiFi Sniffer. Vreemden in het zelfde WiFi netwerk kunnen je internet activiteiten dus in de gaten houden.

Hoe werkt WiFi

WiFi is een radio signaal (frequentie). Dat signaal is niet kieskeurig en zal dus alle kanten uitzenden en ontvangen. Iemand die de juiste tools heeft geïnstalleerd kan doodeenvoudig zien wat je doet… bijvoorbeeld:

  • Welke sites je bezoekt
  • Alle teksten die je invoert op een website
  • Dus ook je login gegevens op deze sites

HTTPS en SSL

Gelukkig is het niet alleen maar kommer en kwel, want als een website er voor kiest SSL te gebruiken (herkenbaar aan httpS:// in plaats van http:// en het slotje-icoon), wordt het verkeer tussen jouw apparaat en de server van de website versleuteld. Ook kan je de serveridentiteit controleren. Maar zijn jouw favoriete sites wel met SSL beveiligd? Let op want hier gaat het vaak mis … Ja het verkeer tussen jou en je banken site is versleuteld, maar het verkeer tussen jouw apparaat en je favoriete website lang niet altijd. Het verkeer tussen je e-mail App en de e-mail server is ook niet altijd versleuteld. Jammergenoeg is SSL ook geen garantie toonde het recente HeartBleed lek in OpenSSL aan.

Wachtwoord in de herhaling?

Vreemd vind ik vooral dat veel privé e-mail adressen (bijvoorbeeld KPN) standaard gebruik maken van HTTP verbindingen bij het ophalen van e-mail van de server en dus is dat wachtwoord van jou en je gebruikersnaam af te luisteren; het gaat immers niet over een veilige HTTPS connectie. Met je e-mailadres, gebruikersnaam en wachtwoord in de hand kunnen vervelende dingen gebeuren. Denk bijvoorbeeld aan:

  • Anderen kunnen in jouw naam wachtwoorden wijzigen op social media.
  • Anderen kunnen kijken of je hetzelfde wachtwoord ook gebruikt op andere sites om bijvoorbeeld bestellingen te doen of fraude te plegen via marktplaats o.i.d.

Een conclusie die je dan kan trekken is in ieder geval: zorg voor verschillende wachtwoorden voor e-mail en social media en voor webwinkels. In een later blog bericht wil ik graag ook wat aandacht besteden aan het wachtwoorden dilemma. Je kunt namelijk niet overal hetzelfde wachtwoord voor gebruiken, maar als je kritisch kijkt naar jezelf, doe je dat op veel plekken wel. Met een goed doordacht wachtwoorden systeem kan je jezelf een hoop ellende besparen in ieder geval.

DNS aanval

Een ander gevaar van openbare WiFi is DNS. DNS servers zijn de servers die IP adressen op het internet vertalen naar een logisch website adres (bijvoorbeeld www.google.nl is 74.125.136.94) en andersom. Een DNS aanval op een WiFi hotspot werkt als volgt. De “crimineel” koopt wat eenvoudige apparatuur om een hotspot mee op te zetten en wijzigt handmatig de DNS gegevens van die hotspot. Jij logt met bijvoorbeeld je laptop in op deze gratis hotspot en gaat naar je bank site. Op de hotspot is ingesteld dat als iemand naar bijvoorbeeld www.ing.nl surft, deze niet uitkomt op de site van ING, maar op een nagebouwde site die via die hotspot toegankelijk is (bijvoorbeeld de laptop van de “crimineel”). Jij vult je gegevens in op de nagebouwde site en de “crimineel” heeft alle informatie die hij of zij wil hebben om in te loggen op de site van jouw bank. Op jouw scherm ziet alles er oké uit, maar in feite is het niet oké.

Conclusie

Openbare en onversleutelde WiFi’s zijn onbetrouwbaar. Je kunt wat maatregelen nemen en voorzichtig zijn bijvoorbeeld door op de HTTPS adressen te letten en te controleren of je inderdaad op de site van de bank bent. Vergeet niet dat in een openbare onbeveiligd WiFi netwerk, iedereen kan meeluisteren met wat je doet. Zorg er daarnaast voor dat je wachtwoorden van vitale systemen niet hergebruikt.

Vanzelfsprekend wijs ik je ook nog even op onze training Security Awareness, Digitaal veilig werken. Een training vol eye-openers zonder overdreven bangmakerij. De training Security Awareness is voor iedereen die werkt en gebruik maakt van ICT maar van laptops, desktops, Internet, tablets, Apps en alle bijbehorende risico’s niet zijn of haar beroep heeft gemaakt.

Veilig werken kan! Investeer in je digitale vaardigheden om grote stappen te maken in je gedrag om zo slimmer en veiliger te werken.

Gerelateerde trainingen