Misschien omdat het toch wel zo lekker werkt zie je het steeds vaker: public WiFi, zelfs ook gratis. En inderdaad, dat werkt dus ook heel lekker snel, geen kabels en geen dongles of andere mobile oplossingen zijn er nodig om lekker onderweg even ergens op internet te kunnen werken. Het werkt zelfs zo mooi dat we maar al te vaak vergeten dat een Wireless LAN talloze beveiligingsproblemen voor de gebruiker er van met zich mee brengt. Tijd voor een gestructureerde aanpak?
De vraag stellen of het niet tijd is voor een gestructureerde aanpak van Wireless LAN veiligheidsproblemen gaat voorbij aan een volgend probleem: het helemaal goed dichttimmeren zodat een gebruiker veilig van het netwerk gebruik kan maken is niet zo heel makkelijk. Toch lijkt het raar dat je als bedrijf aan je bezoekers gratis WiFi kunt aanbieden als lokkertje of extra service en je er verder niet de lasten van ten minste voorlichting bij zou hebben. Laten we wel zijn: gebruikers zouden eigenlijk op de hoogte moeten zijn van de risico’s, maar ze zijn dit zelden. Zulke bezoekers dan toelaten op een wireless LAN is dan aardig, maar kan ze uiteindelijk met een kater thuis laten komen. Niet zo lang geleden vroeg ik me nog af of er niet tenminste een soort gedragscode door winkels weergegeven zou moeten worden ten aanzien van hun WiFi opzet.
Duidelijke voorlichting is nodig
Begrijp me goed: gratis WiFi juich ik toe, maar juist nu het aanbod en het gebruik er van toeneemt zou een standaard set voorlichting de aanbieders ervan sieren. Voor de geeks en nerds onder u is het waarschijnlijk heiligschennis, maar het tijdperk waarin je van de gebruiker kon verwachten dat deze zijn eigen zaakjes regelde is al lang voorbij. Dat we van de andere kant ook de gebruiker niet zo goed tegen zichzelf kunnen beschermen betekent daarom dat we voor duidelijke voorlichting zullen moeten kiezen. Het is dan ook niet zo gek dat de pas door de consumentenbond opgestarte campagne ‘Laat je niet hacken’ eindigt met het wijzen op de risico’s van het gebruik van een hotspot.
De gevaren
Misschien wel het eenvoudigst op te zetten en daarom misschien wel het gevaarlijkst: zomaar een accesspoint. Stel ik ga naar een winkel, ik zet op mijn laptop een internetverbinding op. Ik maak daarna van mijn eigen laptop of computer een accesspoint en ik noem het ‘gratis WiFi’, met misschien nog de winkel naam. Iedereen die vervolgens via mijn systeem het internet op gaat kan er op rekenen dat ik dan op zijn minst het netwerk verkeer afluister. Nog mooier wordt het wanneer ik het systeem voorzie van een inlogpagina: internetten kost 1 Euro per uur, te voldoen via creditcard. Wellicht zonder enige erg van de gevaren geven gebruikers zo direct aan mij hun creditcard gegevens! De Wi-Fi alliance waarschuwt zelf al voor zulke ‘rogue access points’. Erg belangrijk is dus ten eerste dat je weet óf een winkel een dergelijke service aanbiedt en hoe deze dan precies heet.
Daarnaast is ook een ter goeder trouw opgezet public wireless LAN niet veilig. Naast Rogue Access points is het grootste risico van public WLAN gebruiken de afluistermogelijkheden die mede gebruikers hebben. Op SecurityFocus staat dit oude (2006!) artikel over het gebruik van ‘Coffeeshop WiFi’ dat nog steeds relevant is. In principe is het eenvoudigst er van uit gaan dat je altijd afgeluisterd kunt worden wanneer je public WiFi gebruikt. Het is dus zaak alleen veilige verbindingen te gebruiken wanneer je inlogt op websites en andere services, zeker als je weet dat je hetzelfde password ook elders gebruikt. Gebruik dus bijvoorbeeld alleen email diensten die via https werken, en gebruik een firewall. Website lifehacker heeft onlangs nog een aantal basisadviezen opgesomd. Het veiligst is een VPN (virtual private network) te gebruiken, bijvoorbeeld via een server thuis, dit is echter iets waar de gemiddelde gebruiker hoogstens via het werk mee in aanraking zou komen, maar verstandig surfen is al een hele stap.
Een consumenten WLAN-label
Op het gevaar af nog meer een illusie van veiligheid te creëren stel ik dus voor een WLAN-label in te voeren waarmee een bedrijf of instelling bijvoorbeeld bij de ingang direct meer informatie kan geven over het soort WiFi dat ze aanbieden. Allereerst zou er dus altijd de precieze naam van het netwerk weergegeven moeten worden. Daarnaast kunnen we denken aan uitbreidingen met extra labels. Voor nu heb ik het volgende label-systeem bedacht:
- Naam van het Netwerk
- Netwerk info
- Open: het netwerk is vrij toegankelijk
- Closed: het netwerk is toegankelijk via een inlogpagina
- Monitored: de instelling monitored actief het verkeer op het netwerk
- Restricted: de instelling beperkt de internetactiviteiten, bijvoorbeeld tot een beperkt aantal websites
Je zou op deze manier een basis-label systeem kunnen opstellen, waarbij een combinatie van label 1 met diverse label 2 mogelijkheden natuurlijk mogelijk is, bijvoorbeeld Naam + Open + Restricted. Dit geeft natuurlijk niet per se extra veiligheid, maar wel een veel beter idee over waar de gebruiker nu aan toe is. Het geeft op zijn minst aan dat je op een legitiem netwerk inlogt dat bepaalde eigenschappen heeft. Misschien zijn er zelfs gedragscodes vast te stellen zodat de restricted en monitored netwerken die deze labels willen voeren aan bepaalde standaarden voldoen.
Afluisteren en diverse andere aanvallen zoals ‘Man in the Middle’ blijven mogelijk, maar we wijzen zo onze bezoekers in ieder geval de weg naar het juiste netwerk, waarna zij verdere eigen maatregelen kunnen nemen. Er zijn nog talloze aanvullingen op de labels denkbaar, en misschien zie ik nog wel beveiligingsproblemen of -oplossingen over het hoofd. Wat denken jullie?