"WiFi achilleshiel bedrijven, ook met WPA2" (interview)
WiFi is al jaren een beveiligingsprobleem binnen bedrijven, maar door de komst van Bring Your Own Device (BYOD) wordt het alleen maar groter. In eerste instantie waren het alleen "echt paranoïde" organisaties die de veiligheid van WiFi-netwerken aanpakten, zoals banken, overheden en grote ondernemingen. "Grote zakelijke omgevingen met IT-budgetten en auditors die het probleem in de laptopwereld wisten te vinden", zegt David King van Airtight Networks tegen Security.nl. King sprak tijdens het Maturing Business Information Security event van B-able in Lent. Nu Bring Your Own Device overal plaatsvindt zal het probleem volgens de WiFi-expert ook overal komen bovendrijven.
Bedrijven die eerst beperkt WiFi aanboden, bijvoorbeeld alleen voor gasten, rollen het nu binnen de gehele onderneming uit en krijgen er ook op grotere schaal mee te maken. "Wat ze ontdekken is dat het lastig is om alle onbeheerde apparaten te beheren die in hun omgeving opduiken", stelt King.
Dreigingen zoals rogue accesspoints, waarbij aanvallers een vals access point neerzetten om zo nietsvermoedende gebruikers er verbinding mee te laten maken of werknemers die op deze manier proberen in te loggen, verkeerd geconfigureerde apparaten en client phishing, vinden volgens de expert nu op regelmatige basis plaats."
Achilleshiel
En dat is niet zonder risico. Eén van de grootste datadiefstallen in de geschiedenis vond deel via slecht beveiligde WiFi-netwerken plaats. Het was creditcarddief Albert Gonzalez die via draadloze netwerken bij verschillende organisaties wist in te breken om zo toegang tot netwerken en vertrouwelijke databases te krijgen.
"WiFi is één van de meest kwetsbare onderdelen van bijna elk bedrijfsnetwerk." Tijdens security audits en penetratietests blijkt dat WiFi vaak de achilleshiel is, of de "soft underbelly" zoals King het noemt. "Bijna altijd zijn netwerken aan te vallen via een rogue apparaat."
"Je Windows 7 laptop heeft een ingebouwde access point functionaliteit." Dit softwarematige access point wordt niet altijd gedetecteerd. "Veel gebruikers die hun iPhone thuis gebruiken en er verbinding met het bedrijfsnetwerk mee willen maken, kunnen dat op twee manieren doen. Of ze spoofen de inloggegevens van de Windows 7 laptop en loggen in als client, en als dat wordt geblokkeerd, kunnen ze Windows 7 in een access point veranderen en zo verbinding maken." Dit soort rogue access point duiken nu overal op, laat King weten.
Encryptie
Menig onderneming denkt zolang ze WPA2 gebruiken het WiFi-netwerk veilig is, maar dat is een misconceptie benadrukt King. "Rogue access points, soft access points en client miss association mogen niet vergeten worden. Werknemers die hun eigen persoonlijke access point naar de bedrijfsomgeving meenemen. Je hebt dan apparaten die gelijktijdig met het bedrijfsnetwerk als met het eigen access point zijn verbonden, dat weer verbinding met een extern netwerk maakt. Het is eigenlijk een bridge buiten het netwerk dat niet gedetecteerd wordt." De WiFi-problemen zijn nu veel groter dan een paar jaar geleden.
Volgens King moeten bedrijven beseffen dat WPA2 een goed begin is, maar dat dit alleen op de authenticatielaag plaatsvindt en er nog allerlei andere beveiligingslagen zijn toe te voegen. "WPA2 is gewoon niet voldoende, er zijn zeker een dozijn aanvalsvectoren en honderden mogelijke lekken die bestaan, omdat WiFi niet goed aan de bedrade kant wordt gedetecteerd."
Deze blinde vlek op het WiFi-netwerk is een reëel probleem. "Bedrijven denken omdat Cisco en de grote netwerkleveranciers vertellen dat WPA2 je voldoende bescherming biedt, ze veilig zijn, maar ze beseffen niet dat ze slechts 5% tot 10% bescherming krijgen. Het is hetzelfde als het kopen van een switch zonder firewall. Netwerkproducten alleen geven je niet voldoende bescherming. Je moet er meerdere beschermingslagen omheen bouwen."
Voorbeelden:
Gratis internet van hotels, vliegvelden enz enz.
Voorkeursnetwerk is niet de sterkste, maar de laast toegevoegde (onbeveiligde).
Uitdelen van netwerksleutels aan anderen (of op whiteboard meedelen).
Vrij adequate bescherming voor dit soort problematiek.
Wat helpt tegen roque accespoints is het gebruik van encryptie, hoewel er ook al gevallen zijn van mtm attacks via roque accespoints. Maar de gebruiker zou ten alle tijden via een VPN moeten connecten of in ieder geval via SSL moeten surfen.
Maar als een device ook nog eens besmet is met iets als Zeus dan wordt het erg lastig om te kunnen vertrouwen op SSL.
Bedrijven zouden een andere strategie moeten gaan hanteren bij het gebruik van devices die via Wlan willen communiceren. Ervan uitgaan dat dergelijke apparaten per definitie onbetrouwbaar/besmet zijn en dat deze geen rechtstreeks toegang krijgen tot het bedrijfsnetwerk helpt al flink. Een separate Internetaansluiting welke via een separate switch (geen VLan op een switch in het bedrijfsnetwerk) binnenkomt en waarop accespoints staan aangesloten, houdt het bedrijfsnetwerk in ieder geval een stuk veiliger en biedt de gebruikers in ieder geval een aantal mogelijkheden.
Aanvullend zullen er dan nog wel tools moeten zijn om veilig te kunnen mailen en bestanden uit te kunnen wisselen maar dat zou geen grote problemen mogen vormen.
dan onderschat jij de Aanvaller. en mensen zoals jij is juist waar zulke gasten op zitten te wachten.
Als in jouw bedrijf veel geld om gaat, en de Aanvaller weet dat, maar geen toegang heeft tot het netwerk van buiten af, is Wifi dé mogelijkheid waar hij op zit te wachten. WPA2 zal niet lukken, maar sites o.a: routerpwn,com biedden zulke exploits aan, waar hij het overheeft en default WPA2-keys generators etc. je mogelijkheden lopen in de honderden. en altijd wel 1 die werkt. ookal is het tijdrovend, de aanvaller is geduldig.
veel gebruikte sploits zijn auth bypass, default key flaws, password disclosures, xss, denial of services uhm nou ja, een paar van de honderden mogelijkheden.
je er een keer in verdiepen kan nooit geen kwaad, zeker als je een eenmans bedrijf runnt. als grotere bedrijven zou ik adviseren om wat pentestertjes bijelkaar te roepen en ze even wat tijd te geven om jouw bedrijf te testen.
dit is een goed artikel, ik hoop dat het mensen hun ogen opent. (zal wel niet zo als gewoonlijk.)
Zeker als je bedenkt dat Vodafone onlangs de fout maakte om gevoelige data als gebruikersnaam en wachtwoord als plain text op te slaan en te verzenden.
Kan altijd nog aan de VPN, of gewoon even je WIFI uitlaten als je buiten de deur bent.
Op de werkvloer is het helaas anders, zal je toch vaker je "eigen" netwerk opzoeken en gebruiken. (Heeft dezelfde naam, dus zal vast hetzelfde zijn).
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.