Het aantal wifihotspots groeit wereldwijd exponentieel. Naar schatting verloopt 63 procent van al het internetverkeer in 2019 via een wifiverbinding. Tijd dat gebruikers zich bewust worden van de risico’s van draadloze verbindingen, vindt Corey Nachreiner, chief technology officer (CTO) bij WatchGuard. “Voor veel organisaties is het inmiddels vijf voor twaalf.”
Het aantal draadloze toegangspunten neemt met name in de sectoren onderwijs, gezondheidszorg en horeca explosief toe. Binnen deze branches is de aanwezigheid van draadloos internet een absolute must.
Zo is voor 49 procent van de zakenreizigers de afwezigheid van gratis wifi in hotels een ‘dealbreaker’. Leerlingen kunnen zich geen wereld voorstellen zonder smartphones en tablets die ‘always on’ zijn. Ziekenhuizen maken in toenemende mate gebruik van met het netwerk verbonden apparatuur en internet of things-voorzieningen en ook daarvoor is wifi onmisbaar.
Onaanvaardbare risico’s
Al die zaken komen niet zonder risico’s. Zo slaagden beveiligingsonderzoekers er vorig jaar in om via het wifinetwerk van een ziekenhuis toegang te krijgen tot alle medische apparatuur, waaronder een CT-scanner met patiëntgegevens. Ook hadden hackers jarenlang toegang tot de laptops van topmensen van grote bedrijven die ze hadden gehackt via de wifinetwerken van Aziatische hotels.
Corey Nachreiner: “Wie nu nog de kop in het zand steekt, onderschat de gevaren ernstig en loopt onaanvaardbare risico’s.”
Zowel open hotspots als versleutelde wifinetwerken zijn kortom lang niet altijd voldoende beveiligd. Veel organisaties hebben daarnaast geen scherp zicht op wat zich op het wifinetwerk afspeelt. Daar maken hackers volop misbruik van. Hacks en besmettingen worden bovendien vaak pas weken of zelfs maanden later opgemerkt.
“Wie nu nog de kop in het zand steekt, onderschat de gevaren ernstig en loopt onaanvaardbare risico’s”, stelt Corey Nachreiner. “Alleen met een solide beveiligingsstrategie met speciale aandacht voor de draadloze voorzieningen is een fiasco te voorkomen.”
Evil twin
Om wifi veiliger te kunnen maken, is het volgens Nachreiner nodig om een beeld te hebben van de manieren waarop cybercriminelen draadloze netwerken aanvallen. “Een van de meest gebruikte methoden is de ‘evil twin attack’.” Hierbij brengt de aanvaller een vals toegangspunt in de lucht met een voor de gebruiker vertrouwde naam. De hacker hoopt op die manier de gebruiker te verleiden om verbinding te maken met het ‘rogue access point’.
“Alle informatie die niet direct op het device al wordt versleuteld, komt dan in handen van de aanvaller”, legt Nachreiner uit. “Ook kan de hacker ongemerkt kwaadaardige code in de aangemelde systemen injecteren en zo bijvoorbeeld permanent toegang krijgen tot het besmette apparaat.”
“Sommige wireless hackers maken zelfs gebruik van de aloude Karma-aanval”, vervolgt Nachreiner. “Dit is een nog boosaardigere versie van de evil twin attack, waarbij het valse toegangspunt iedere gedaante kan aannemen. Gaat de laptop van een gebruiker bijvoorbeeld op zoek naar een netwerk met de naam ‘CoffeeNet’? Dan neemt het valse access point die naam aan.”
Draadloze DDoS
Maar om draadloze gebruikers pijn te doen, is het lang niet altijd nodig om een rogue access point op te zetten. “Zo kan iedereen met eenvoudige tools moeiteloos de communicatie over een niet-versleuteld draadloos netwerk aftappen”, waarschuwt Nachreiner.
“Een andere veelgebruikte aanvalsmethode is de draadloze DDoS-aanval. Daarbij stuurt de hacker via een botnet een enorme hoeveelheid verkeer richting een draadloos toegangspunt. Zo’n access point is niet altijd toegerust om deze aanvallen het hoofd te bieden. Het gevolg is dat de hacker het draadloze netwerk volledig kan platleggen en zo de reguliere bedrijfsvoering kan saboteren.”
Er is geen silver bullet om draadloze netwerken te beschermen
5 voorzorgsmaatregelen
Volgens Nachreiner is er geen ‘silver bullet’ om draadloze netwerken te beschermen tegen dit soort aanvallen. De CTO haalt daarom vijf maatregelen aan die organisaties sowieso kunnen treffen:
1. Maak gebruik van Wireless Intrusion Prevention Services (WIPS)
“Als een gebruiker verbinding maakt met een vals toegangspunt, dan is er weinig wat je kunt doen om afluisteren van het netwerkverkeer te voorkomen”, licht Nachreiner toe. “Het gebruik van WIPS is dus echt een eerste stap in het beveiligen van wifi. Hiermee detecteer je valse toegangspunten en voorkom je dat gebruikers per ongeluk verbinding maken met een rogue access point.”
2. Beveilig de toegang tot draadloze netwerken altijd met een wachtwoord
Voor vertrouwde netwerken is het al gebruikelijk om de toegang te beveiligen met een wachtwoord, maar dat moet het volgens Nachreiner voor gastennetwerken even vanzelfsprekend zijn. “Gebruik minimaal WPA2-wachtwoorden om het aanvallers moeilijker te maken om het netwerk af te luisteren.”
3. Versleutel de communicatie
Als er sprake is van gevoelige communicatie, of dat nu via een bekabeld of draadloos netwerk is, moet de communicatie altijd worden versleuteld. Denk dan aan versleuteling met protocollen als HTTP Secure (HTTPS), Secure Shell (SSH) en SSH File Transfer Protocol (SFTP) en het gebruik van Virtual Private Networks (VPN’s). Nachreiner: “Als een hacker erin slaagt netwerkverkeer te onderscheppen, dan weet hij of zij nog steeds niet wat er wordt gezegd.”
4. Scheid het gastennetwerk van het vertrouwde netwerk
Zorg voor een strikte segmentering, zo luidt het advies van Nachreiner. “Met specifieke netwerkbeveiligingsoplossingen is het mogelijk om het vertrouwde netwerk volledig af te schermen van het gastennetwerk, zodat er geen enkele vorm van communicatie mogelijk is tussen de netwerken.”
5. Zet beschermende maatregelen ook voor het draadloze netwerk in
“Uiteindelijk is een draadloos netwerk niet heel anders dan een bekabeld netwerk”, schetst Nachreiner. “Bijvoorbeeld malware kan zich ook via wifi verspreiden. Bescherm daarom ook het draadloze netwerk met bijvoorbeeld Unified Threat Management (UTM)-appliances die zaken bieden als antivirus en monitoring van het netwerkverkeer op verdachte activiteiten.”
Zorg dat het gastennetwerk volledig losstaat van het vertrouwde netwerk
“Voornamelijk onversleutelde wifinetwerken zijn kwetsbaar voor aanvallen”, besluit Nachreiner. “Het aanbieden van open, onversleutelde netwerken aan bijvoorbeeld patiënten of zakenreizigers is daarom altijd een slecht idee. Mochten er toch dwingende redenen zijn om het gastennetwerk volledig open te zetten, zorg er dan in ieder geval voor dat dit netwerk volledig losstaat van het vertrouwde netwerk. En zorg ervoor dat je malware en kwaadaardig gedrag kunt detecteren.”
Esther Sieverding werkt bij Co-Workx