Nieuws
image

"Onveilige WiFi-netwerken moeten dood"

maandag 20 december 2010, 09:59 door Redactie, 14 reacties

Onversleutelde draadloze netwerken zijn bedacht zonder rekening met de werking van het moderne web te houden en moeten daarom dood. Dat zegt de bekende beveiligingsonderzoeker Michal Zalewski alias lcamtuf. De problemen met open access points gaan veel verder dan op het eerste gezicht duidelijk is. Het gaat dan om zaken als cookie poisoning, plugin same origine policy problemen, cache poisoning, cache retrieval en adresbalk autocompletion poisoning.

Via deze aanvallen kan een aanvaller de inhoud van cookies manipuleren, kwaadaardig verkeer mee laten liften, de browser "backdooren", gevoelige gegevens onderscheppen en slachtoffers naar kwaadaardige websites doorsturen.

SSL
"De enige manier om al deze risico's te elimineren is het uitfaseren van browser-level HTTP ondersteuning, maar dat is onpraktisch en gewoon verkeerd", aldus Zalewski. De onderzoeker denkt niet dat universele SSL de ideale oplossing is. De last zou namelijk moeten liggen bij de partijen die nieuwe standaarden introduceren of nieuwe manieren van gebruik introduceren. "En iets ging hier goed mis. We moeten hard werken om het snel op te lossen en het nooit meer laten gebeuren."

Ook de versleutelde 802.11 standaard is volgens Zalewski niet veel beter. Op WPA2-PSK netwerken met een publiek aangekondigde sleutel, zouden aanvallers door het bekijken van de handshake nog steeds verkeer naar andere clients kunnen decoderen en aanpassen. Verder zou een aanvaller zich als een "betrouwbaar" access point kunnen voordoen. "Deze tekortkomingen zijn enorm frustrerend, maar zijn op te lossen."

De oplossing is in ieder geval niet het verplichten van SSL en HTTP Strict Transport Security (HSTS). "Je krijgt misschien de honderd populairste websites zover, maar dat is nog steeds zinloos. Het uitbannen van slechte WiFi is waarschijnlijk een eenvoudigere en verstandigere oplossing."

Reacties (14)
20-12-2010, 10:08 door Mysterio
Waarom? Ik moet toch zelf weten of ik de voordeur op slot doe of niet? Er zijn 1000 argumenten te bedenken waarom je het wel zou doen, waarom je het default in zou stellen en meer van dien, maar als ik een slechte beveiliging wil omdat dat voor mij beter werkt, moet ik dat toch zelf weten?

En de verantwoordelijkheid natuurlijk ook op mij nemen. Details...
20-12-2010, 10:08 door xy22
Afgezien van dat onveilige wifi inderdaad wel eens wat sneller mag verdwijnen, hoe ga je dat doen?

Om te beginnen de gratis te gebruiken wifi in restaurants, bibliotheken kun je bijna niet laten versleutelen, dan neem je de functie van 'leuke service' naar de klant toe weg.
Maar dan nog, wpa2-psk wordt net niet in alle consumenten-wifiproducten gebruikt, maar t scheelt weinig...

Dan maar alle modems/routers verplicht laten vervangen? A la V.K. of Australië er tegen optreden?

En wat Mysterio zegt: je moet ook zelf kunnen blijven denken. Kan nou niet zeggen dat m'n wpa2-psk dagelijks door de buren van 82 en 83 jaar oud of dat gezin met kleine kinderen wordt gekraakt (en die kans op een wardriver, tsja, klein).
Niet iedereen zal zulke buren hebben, maar ook dan volstaat WPA2 nog steeds wel, of je gaat terug naar een kabeltje ;)
Voor internet-bankieren gebruik ik dan wel standaard een kabeltje en niet m'n draadloos.

http://www.security.nl/artikel/32955/1/Miljoenen_Britten_moeten_nieuwe_router_kopen.html
http://security.nl/artikel/30351/1/Politie_opent_jacht_op_draadloze_netwerken.html


edit: gewoon een vpn-client wanneer je een openbare wifi wilt gebruiken, doet British Telecom al jaren en werkt best (zeg ik uit eigen ervaring).
20-12-2010, 10:39 door Anoniem
"Afgezien van dat onveilige wifi inderdaad wel eens wat sneller mag verdwijnen, hoe ga je dat doen?"

Ik vind het verbazingwekkend hoeveel mensen menen te moeten bepalen dat onveilige wifi "moet" verdwijnen. Waarom zou je die beslissing niet aan de eigenaar van een access point over laten ? Ik kom met grote regelmaat in Estland, en vind het daar een verademing om zonder enkel probleem aan te kunnen loggen op de gratis wifi hotspots die men in de meeste steden aanbiedt. Indien ik veiligheid wil, dan maak ik wel gebruik van een VPN verbinding.

Laat mensen toch vooral zelf bepalen hoe zij hun AP willen configureren, en of zij deze eventueel open willen laten staan voor derden.
20-12-2010, 10:50 door Syzygy
en wat te denken van connecties met de rest op het LAN.

Vaak maken open Wifi netwerken voor klanten deel uit van een bedrijfsnetwerk (wel beveiligd via policies maar niet gescheiden qua netwerk).
20-12-2010, 11:04 door Anoniem
Google heeft als het goed is wel een complete mapping van alle onbeveiligde draadloze netwerken dankzei hun streetview wagens. Ze zouden wel adhv icoontjes die info kunnen integreren met Google Earth :-)
20-12-2010, 11:19 door Anoniem
Het gaat niet om het verplichten van veilige netwerken. Het gaat erom dat fabrikanten een eenvoudige, voor de leek begrijpelijke, maar tevens sterke beveiligings methode in hun wifi access points inbouwen, met een begrijpelijke naam. Mijn moeder begrijpt de "WPA2/TKIP/Rijndael/2452142 bit/hex key/certificate" crap in dat settings schermpje echt niet hoor, en dan kiest ze dus voor de eerste optie die "gewoon werkt". Geen beveiliging dus.

Nerds moeten niet denken als nerds. Het zijn de gewone mensen waar goede beveiliging begrijpelijk en eenvoudig voor moet worden gemaakt. Dan gaan ze het vanzelf gebruiken.

Lekkere volwassen en professionele titel ook trouwens, werken er 16-jarigen bij de redactie? Boks ouwe!
20-12-2010, 11:35 door Mysterio
Bewust bezig zijn met je veiligheidsbeleid. Dat is het belangrijkste in deze.
20-12-2010, 11:51 door Anoniem
"Het gaat niet om het verplichten van veilige netwerken. Het gaat erom dat fabrikanten een eenvoudige, voor de leek begrijpelijke, maar tevens sterke beveiligings methode in hun wifi access points inbouwen, met een begrijpelijke naam. "

Daar heb je geheel gelijk in. En wanneer mensen een open AP hebben, dan moet dit het gevolg zijn van een bewuste keuze, en niet van onkunde.
20-12-2010, 12:34 door Anoniem
Het is een kwestie van tijd.

WPS - http://en.wikipedia.org/wiki/Wi-Fi_Protected_Setup

Op een gegeven moment gaan mensen draadloze routers vervangen en dat lost het probleem voor een groot gedeelte op.
20-12-2010, 12:53 door Anoniem
Ik gebruik in principe ook alleen maar bedraad internet thuis,maar ja ik kan ook wel draadloos doen.
Maar als ik dat gebruik heb ik het goed beveiligd.
20-12-2010, 18:26 door _Peterr
Een veilig netwerk bestaat niet, ook niet met WiFi security. Steek meer in het beveiligen van de informatie zelf ipv een klein stukje van het enorme Internet. Met de komst van Cloud moeten we toch anders omgaan met het beveiligen van gegevens.
20-12-2010, 22:25 door Anoniem
Het probleem is natuurlijk dat de meeste mensen niet weten dat hun logingegevens als plaintext over het onbeveiligde draadloze netwerk gaan als ze bijvoorbeeld hun pop-mail ophalen.
Als het AP waar ze mee verbinden dan een onbeveiligde rogue AP is met dezelfde SSID als dat van Mc Donalds of AP van het hotel, dan is het al snel linke soep.
Ik denk dat het onhaalbaar is om te verbieden, maar zoveel mogelijk het gebruik beperken van onbeveiligd lijkt me een goed plan.

Als de ISPs dan ook nog een begrijpelijke VPN mogelijkheid gaan aanbieden in het Internetpakket dan zijn we klaar.

Standaard Internetgebruiker (dus niet de techneuten die hier aanwezig zijn) logt in op een AP, maakt daarna een VPN-verbinding met zijn eigen ISP waarna een groen lampje gaat branden o.i.d., en alle verkeer is versleuteld tot op de VPN concentrator van de ISP. Klaaro.
20-12-2010, 22:50 door spatieman
default VPN op een access point, en al het verkeer van en naar een client tunnelen.
nadeel, en voordeel ,is,vermits correct geconfiged, dat je andere wifi clients dan niet meer kan scannen.
23-12-2010, 22:24 door Anoniem
Door Anoniem: Het probleem is natuurlijk dat de meeste mensen niet weten dat hun logingegevens als plaintext over het onbeveiligde draadloze netwerk gaan als ze bijvoorbeeld hun pop-mail ophalen.
Als het AP waar ze mee verbinden dan een onbeveiligde rogue AP is met dezelfde SSID als dat van Mc Donalds of AP van het hotel, dan is het al snel linke soep.
Ik denk dat het onhaalbaar is om te verbieden, maar zoveel mogelijk het gebruik beperken van onbeveiligd lijkt me een goed plan.

Als de ISPs dan ook nog een begrijpelijke VPN mogelijkheid gaan aanbieden in het Internetpakket dan zijn we klaar.

Standaard Internetgebruiker (dus niet de techneuten die hier aanwezig zijn) logt in op een AP, maakt daarna een VPN-verbinding met zijn eigen ISP waarna een groen lampje gaat branden o.i.d., en alle verkeer is versleuteld tot op de VPN concentrator van de ISP. Klaaro.

Waarom krijg ik hier nou weer een -1 voor. Zet er dan een reactie bij, dan kunnen we tenminste een discussie starten...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search