Public WiFi Doe het veilig! Problemen worden groter vanwege grootschalige uitrol in het Openbaar Vervoer

Transcriptie

1 Public WiFi Doe het veilig! Problemen worden groter vanwege grootschalige uitrol in het Openbaar Vervoer

2 Auteur: Vormgeving: Contactgegevens: Versie Datum Jeroen Teunissen Jeroen Teunissen Teunissen Enabling Avenue Carré DC Barendrecht Tel.: Juni 2015 Copyright 2015 Jeroen Teunissen, Teunissen Enabling. Het is een ieder toegestaan dit werk te kopiëren, distribueren en vertonen mits het in de originele staat blijft. Het is niet toegestaan (delen van) dit werk te gebruiken als basis voor nieuw materiaal, zonder voorafgaande schriftelijke toestemming van de auteur.

3 Inhoudsopgave Inleiding...3 Het probleem...3 Geschiedenis van WiFi-beveiliging...3 Is onbeveiligd onveilig?...3 Is dit een nieuw probleem?...4 Techniek...6 Wat valt er te zien, en hoe moeilijk is het?...6 WiFi hoe gedraagt zich dat?...7 De verschillende methodes...7 Methode 1: de simpelste manier...7 Methode 2: met een eigen (mobiele) hotspot...8 Methode 3: man-in-the-middle...8 De aanbieders...11 Het OV: de tram, bus en metro...11 Het OV: de NS...11 Hotels en restaurants...11 Campings en bungalowparken...11 Bedrijven, ziekenhuizen, instellingen en instanties: guest-netwerken...11 Overigen...12 De algemene voorwaarden...12 Bevindingen: websites en APP's...13 Algemene opmerking over veilig...13 Veilige websites...13 Veilige APP's GeenStijl.nl/Dumpert.nl...14 Joop.nl...14 Marokko.nl...14 phpbb forums...14 SecondLove.nl...14 Tinder...15 Grindr...15 PostNL en tracktrace.nl...15 VanDijk.nl...15 Hideman VPN...15 IP-camera's...15 Bevindingen: netwerken en locaties...16 een Landal bungalowpark...16 een datacenter...16 een gemeenteraadsfractie...17 een ministerie...17 Mogelijke gevolgen...18 Misbruik van accounts...18 Misbruik van gedragingen...18 Misbruik van website-accounts...18 Misbruik van IP-camera's...18 Monitoring of surveillance op MAC-adres

4 Oplossingen...20 Bewustwording van de gebruiker...20 Vanuit de WiFi-aanbieders...20 Vanuit de web- en app-developers...21 Vanuit de providers...21 Disclaimer...22 Tot slot...22 Kan het nog gekker?...23 Meer informatie?...23 Bijlage 1: gebruikte materialen...24 Opname-apparatuur...24 Access Points...24 Antenne-materiaal...24 Test-apparatuur

5 Inleiding Het probleem Het aantal onbeveiligde WiFi-netwerken neemt snel toe. Het wordt gratis aangeboden in het openbaar vervoer, hotels, restaurants, fastfood-ketens, ziekenhuizen en tal van andere gelegenheden. Er zijn ook betaalde WiFi-aanbieders die ondanks het prijskaartje toch een onbeveiligde verbinding aanbieden, bijvoorbeeld in bungalowparken. Het mogelijke misbruik ervan of erdoor, is vooral door de grote aanbieders in het OV fors aan het toenemen. Er kan met simpele middelen die bijna iedereen in huis heeft misbruik van worden gemaakt. Onterecht wordt vaak de indruk gewekt dat er een speciaal kastje of software voor nodig is. Niets is minder waar. In dit document wordt juist de bijna angstaanjagende simpelheid aangetoond. Geschiedenis van WiFi-beveiliging Aan het begin van deze eeuw kwam het draadloze internet in opmars. Eerst voornamelijk voor de laptops, smartphones met WiFi waren er nog niet of nauwelijks. Het was nieuw en zowel de providers als de klanten moesten er nog mee leren omgaan. De klant moest zelf de beveiliging instellen, maar vinkte vaak 'geen' aan. Dat was makkelijker om in te stellen op de laptop. Dat bleek al snel geen goed idee te zijn en dus werd al snel aangeraden toch vooral minstens WEP in te stellen. WEP is echter makkelijk te kraken en bovendien ligt dan meteen het hele netwerk bloot. De providers hebben vervolgens een grote campagne opgezet om iedereen WPA-PSK in te laten stellen. Dit is wél een goede beveiliging en werkt bovendien met versleuteling per apparaat. Als de verbinding van één gebruiker gekraakt is, zijn de overige gebruikers nog steeds veilig. Modems en Access Points werden voortaan ook met deze standaard instelling uitgeleverd. Die campagne is uiterst succesvol gebleken; waar men in Nederland ook gaat scannen op aanwezige WiFi netwerken, het relatieve aantal onbeveiligde of met WEP-encryptie beveiligde thuis-netwerken is zeer gering: minder dan 1% in de stedelijke gebieden. Het is dan ook eigenaardig dat er na deze opvoedkundige inhaalslag met betrekking tot draadloze beveiliging nu heel gemakkelijk massaal gebruik wordt gemaakt van onbeveiligde, openbare netwerken. Het heeft ongetwijfeld iets met gratis te maken. Die gretigheid heeft een prijs, zoals u verderop zult lezen. Is onbeveiligd onveilig? Dat hoeft niet. Elke zichzelf respecterende website, -provider of app zou gegevens versleuteld kunnen en moeten verzenden. Dat kan namelijk ongeacht de beveiliging van de gebruikte verbinding, draadloos of niet. Vele websites en APP's gebruiken die versleuteling dan ook. Immers, op bekabelde netwerken zit helemaal geen beveiliging. Maar als iemand dát wil afluisteren, moet er eerst een fysieke aansluiting gemaakt worden. Dat is een groot verschil met de onbeveiligde draadloze verbindingen, waar de luistervink zich alleen maar in de omgeving hoeft op te houden (soms zelfs buiten het gebouw of terrein). Een groot aantal mensen heeft ooit wel eens een gratis netwerk op hun mobieltje, tablet of laptop ingesteld. Hierdoor zijn hun apparaten makkelijk, vaak zonder dat ze het zelf door hebben en zonder dat ze er iets voor hoeven te doen, te lokken naar een nep-netwerk wat geheel onder de 3

6 controle van iemand anders staat. De kern van het probleem is echter, dat gebruikersnamen en passwords, de inhoud van berichtenverkeer en allerlei andere ingevoerde gegevens makkelijk versleuteld verzonden kunnen worden. Onafhankelijk van het gebruikte type verbinding. Soms is het de verantwoordelijkheid van de gebruiker om dit in te stellen, zoals bij . Ontwerpers van webpagina's en app's zouden zich meer bewust moeten zijn dat formulier- en gebruikersgegevens die onversleuteld over het internet verzonden worden, makkelijk zichtbaar gemaakt kunnen worden. Is dit een nieuw probleem? Nee, maar doordat voornamelijk grote OV-bedrijven op dit moment grote, onbeveiligde netwerken aan het uitrollen zijn, neemt het probleem is snel tempo enorm toe. Vooral omdat enkele van deze OV-bedrijven, vooral de grootsten, consequent dezelfde naam (SSID) voor hun WiFi-hotspots gebruiken. Voor wat betreft het OV zijn dit voorbeelden van grote, wijdverspreide SSID's: WiFi in de trein Connexxion_Mobile_Hotspot RET WIFI Andere grote spelers zijn: Hotspot KPN Fon KPN HotSpot Het 'oude' probleem van onbeveiligde netwerken is steeds kleiner geworden doordat de kabel- en ADSL-providers al hun klanten de beveiliging in hebben laten stellen. Later kwamen er een aantal gratis WiFi-aanbieders met onbeveiligde netwerken waardoor het probleem weer een beetje terugkwam. Hotspots, een fastfoodketen, wat hotels, etcetera. Echter, vanaf 2014 beginnen grote OV-bedrijven enorme, gratis WiFi-netwerken uit te rollen. Het fenomeen van onbeveiligde netwerken wat eindelijk in de thuis- en bedrijfsnetwerken onder controle kwam, komt daarmee in tweede instantie groter terug dan ooit tevoren. Het nieuwe probleem wat nu aan het ontstaan is, is dat vele mensen intussen wel eens gebruik gemaakt hebben van een gratis publiek WiFi-netwerk. Hun apparatuur (mobiele telefoon, tablet, notebook, gameconsole, etc) zal dit onthouden en de gegevens van dit netwerk opslaan. Dáár kan misbruik van gemaakt worden. Eerst kunnen ze op het moment dat ze gebruik maken van een dergelijk netwerk zeer eenvoudig afgeluisterd worden. En vervolgens kan al deze apparatuur op een later tijdstip verleid worden om contact te maken met een nep-netwerk van iemand met verkeerde bedoelingen. Door het grote aantal mensen wat hier ooit gebruik van gemaakt heeft en dus profielen op hun mobiele apparatuur heeft staan, lenen die grote aanbieders zich onbedoeld maar uitstekend om makkelijk grote groepen mensen te 'scannen'. Dat grote aantal mensen neemt ook nog eens dagelijks toe, met duizenden apparaten per dag. In de tijd van de onbeveiligde thuis-netwerken was het slechts mogelijk om een zeer beperkt aantal gebruikers af te luisteren. Echter, in of rondom een groot station is het in een tijdsbestek van een half uur mogelijk tientallen tot vele honderden mensen af te luisteren. 4

7 Door gebruik te maken van een oneigenlijk access point die zich voordoet als zijnde bijvoorbeeld van een groot OV-bedrijf, kunnen vanaf een willekeurige plek in een drukbezocht stadscentrum, in een kort tijdsbestek tientallen tot honderden mobieltjes van willekeurige passanten verleid worden om een verbinding te maken. En daarin schuilt het grootste, nieuwe gevaar. 5

8 Techniek Wat valt er te zien, en hoe moeilijk is het? Elk apparaat wat een WiFi-verbinding kan maken, heeft dus iets in zich om die signalen te kunnen ontvangen en te verzenden. In feite zit er dus een radio in voor de WiFi-band(en). Met die radio kan een internet-verbinding gemaakt worden. Daarmee kan opgehaald worden. Maar met een ander programma of app'je kunnen die signalen ook gewoon zichtbaar gemaakt worden. Vervolgens kunnen die ontvangen signalen ook opgeslagen worden. Dat is op een notebook dan weer handiger dan met een smartphone of tablet, maar het principe blijft hetzelfde. Een smartphone is wel erg makkelijk te verbergen, dat is een groot voordeel. Het fijnste werkt een apparaat met een Unix-achtige achtergrond, zoals OS X van Apple, of Linux. Het kan ook met een Microsoft Windows-notebook, echter zit daar het benodigde tool (windump) niet standaard bijgeleverd en zal dus gedownload moeten worden. Voor Android smartphones of tablets moet eerst een terminal-app'je worden gedownload. De keuze om te kiezen voor een notebook met een Unixachtig operating, is kiezen voor de makkelijke weg. Dit is een type operating systeem wat een veel uitgebreider en krachtiger toolingset standaard in huis heeft. In een terminal-sessie kan een commando gebruikt worden, tcpdump, om alle data die over de netwerkinterface loopt zichtbaar te maken. Met een aantal aan het commando meegegeven variabelen kan de werking van het commando beïnvloedt worden. Zo kan de output gefilterd en/of naar een bestand geschreven worden. Zo kan later bekeken worden wat er ontvangen is, immers het is vaak toch te veel data om dit ter plekke te doen er rolt simpelweg veel te snel en te veel informatie over het scherm. Tenzij er natuurlijk iets heel specifieks gezocht wordt, wat weinig maar veelzeggende output geeft. Vervolgens moeten al die opgeslagen gegevens nog meer gefilterd worden, omdat het meeste onleesbaar is of slechts onderlinge communicatie tussen de apparaten betreft. Wat overblijft is een chaotische en enorme hoeveelheid data van allerhande apparatuur die zich in de nabijheid bevond en met hetzelfde onbeveiligde netwerk verbinding had. Zijn die gegevens afkomstig uit een volle tram of trein, of van een station of ander OV-knooppunt, dan is dat al snel een grote hoeveelheid data. Er zijn passanten geweest die muziek streamden, of video. Via bijvoorbeeld YouTube, itunes, Facebook, of Spotify. Dat geeft een flinke netwerkbelasting en dat zit dus ook allemaal in het log. De kunst is om die regels er tussenuit te halen waarin te zien is dat iemand ergens in gaat loggen zonder encryptie te gebruiken. Dan wordt de gebruikersnaam en het password zichtbaar. , websites, app's. En dat gebeurt helaas véél te vaak. Daarnaast zijn er ook zaken die iets over de aard van de gebruiker onthullen, door het gebruik van app's zoals tinder en grindr. De één zal zich er niet 6

9 voor schamen, maar een ander is plotsklaps chantabel. WiFi hoe gedraagt zich dat? Een apparaat met WiFi is altijd op zoek naar een verbinding. Het gebruikt daarvoor de op het apparaat opgeslagen profielen van netwerken waarmee al eerder verbinding is gemaakt. Zodra het in de buurt komt van een eerder opgeslagen netwerk, gaat het apparaat met die gegevens aan de slag om een verbinding te maken. Daarom maken mobiele telefoons bij thuiskomst van de eigenaar onmiddellijk verbinding met diens WiFi-netwerk. Maar op dezelfde manier maken mobiele telefoons verbinding met het WiFi-netwerk in het OV, een hotel of van een restaurant. Het gebruik van WiFi is altijd gratis, hoewel de toegang ertoe soms betaald moet worden. Dit in tegenstelling tot 3G en 4G wat per bundel of MB betaald moet worden. Om die reden heeft mobiele apparatuur een voorkeur voor WiFi bóven 3G danwel 4G. Normaal gesproken haalt een mobiele telefoon of tablet om de 5 of 10 minuten op, al naar gelang wat de eigenaar heeft ingesteld. Zodra deze mobiele telefoon of tablet echter een WiFi-verbinding maakt, gaat deze onmiddellijk wéér ophalen, vanwege het gratis karakter van de tot stand gekomen WiFi-verbinding. Op deze manier probeert het apparaat het gebruik van 3G danwel 4G te beperken en zodoende de kosten te drukken. Hiervan kan misbruik gemaakt worden door het opzetten van een oneigenlijk access point. Zoals hierboven beschreven, zullen apparaten die even geen WiFi-verbinding hebben gehad, onmiddellijk na het tot stand komen van een WiFi-verbinding statussen, berichten en s op gaan halen. Dat doen deze apparaten zonder dat de eigenaar iets hoeft te doen. Sterker nog, deze merkt het niet eens. Soms moet bij een publiek WiFi-netwerk op een ik ga akkoord -knopje worden gedrukt. Bij een nep-hotspot wordt deze stap overgeslagen. Zodoende maken de mobieltjes, tablets en notebooks geruisloos en onopgemerkt verbinding met het nep-netwerk. Haalt een passant bijvoorbeeld op zonder encryptie ingesteld te hebben, dan word meteen de gebruikersnaam en het wachtwoord zichtbaar. De verschillende methodes Hieronder staan verschillende methodes. De allersimpelste methode vereist slechts een notebook verder helemaal niets. Geen al dan niet speciale randapparatuur, en als het juiste notebook gebruikt wordt hoeft er zelfs geen programma of APP geïnstalleerd te worden. De tweede methode voegt aan de simpelheid weinig toe, het maakt alleen gebruik van een zwakte die anno 2015 veroorzaakt wordt door grote aanbieders, voornamelijk in het Openbaar Vervoer. Tenslotte wordt met een derde methode wat meer techniek uit de kast gehaald, maar ook met slechts simpel gereedschap. Hiermee wordt de zwakte die reeds bij de tweede methode is aangetoond nog eens verder uitgebuit. Er zijn nog meerdere methodes denkbaar, maar die zijn niet simpel meer te noemen en/of daarvoor is speciale apparatuur nodig. Methode 1: de simpelste manier Een notebook voorzien van een WiFi-interface en liefst een Unix-achtig operating systeem is voldoende. Er hoeft niets geïnstalleerd te worden, alle benodigdheden zitten er standaard in. Elk notebook met Linux of OS X is bruikbaar. In of bij een aanbieder van een gratis, onbeveiligde WiFi-hotspot kan ingelogd worden op het aldaar aangeboden gratis WiFi-netwerk. Tik vervolgens één commando in om al het verkeer uit de nabije 7

10 omgeving te verzamelen en weg te schrijven naar een bestand wat later bestudeerd kan worden. Ondertussen kan iets anders op het scherm gezet worden, bij voorkeur iets wat geen internet gebruikt. Dat zou immers de verzamelde gegevens vervuilen. Vervolgens is na enige tijd voor uren leesplezier aan opgeslagen materiaal verzameld. Dit is een volstrekt onopvallende manier van werken. Een m/v achter een notebook. Verder niets. Methode 2: met een eigen (mobiele) hotspot Het nadeel van de bovenstaande simpelste manier is dat slechts opvangen kan worden wat het notebook op dat moment kán ontvangen. Het notebook en de passanten gebruiken op dat moment echter een router die zich in de nabijheid maar toch elders bevind. Daardoor worden mogelijkerwijs signalen ontvangen van die router die bestemd zijn voor een apparaat wat zich buiten het bereik van het notebook bevind. Het gevolg daarvan is, is dat er antwoorden opgevangen worden zonder dat in het log staat wat de vraag was. En dat is nauwelijks interessant. Vaak zit de persoonlijke informatie namelijk in de vraag die door het mobiele apparaat verzonden wordt. De oplossing hiervoor is simpel. Met een mobiele Android telefoon kan een draagbare hotspot ingesteld worden die lijkt op de hotspots van desbetreffende locatie. Log het notebook onmiddellijk in op dit nep-hotspot en begin de opname. Al snel valt te zien dat meerdere apparaten deze hotspot gaan gebruiken. Overigens, zonder dat de eigenaars daarvan dat doorhebben. Hun mobiele apparaat denkt namelijk verbinding te maken met het gratis WiFi-netwerk van de locatie waar u bent. Het voordeel is dat zowel het net-hotspot en het notebook ongeveer dezelfde signalen ontvangen. Oftewel met de ontvangen antwoorden én vragen wordt een completer pakket gegevens geregistreerd. Ook dit is een volstrekt onopvallende manier van werken. Een m/v met een notebook en een mobieltje. Dat mobieltje kan bovendien gewoon in een jas of tas opgeborgen worden. Dezelfde methode met hetzelfde SSID kan ook op een andere locatie gebruikt worden. Als verwacht kan worden dat er mobiele apparaten aanwezig zijn die een opgeslagen profiel van dezelfde aanbieder hebben, dan gaan die apparaten ook dáár weer een verbinding met het nepnetwerk maken. Wel moet er wel rekening mee gehouden worden dat de apparaten die een verbinding via deze draagbare hotspot maken, gebruik maken van de databundel van deze mobiele hotspot. Aangezien het veelal passanten zijn die slechts kort verbinding hebben, en de communicatie dus steeds maar kort is, valt het verbruik reuze mee. Uiteraard verschilt dit per keer, per locatie en per moment. Om dit te beteugelen is het verstandig 3G te gebruiken. Immers, de WiFi-verbinding van de passant met het nep-netwerk wordt toch wel gelegd. Wat de gebruikers merken, áls ze het al merken, is dat de verbinding heel even iets langzamer is. Dat is logisch, want er werken immers heel wat mensen over het nep-netwerk. Niemand zal dat verdacht vinden. Methode 3: man-in-the-middle Het nadeel van de eerste twee methodes is, is dat er maar weinig beïnvloeding van de omstandigheden mogelijk is. Ook zijn de mogelijkheden beperkt tot de ontvangstcapaciteit van het notebook en eventueel de mobiele telefoon. Er is ook de mogelijkheid om het notebook een internet-verbinding te laten maken middels de 8

11 mobiele telefoon. Dit kan via WiFi, maar vaak ook via USB of Bluetooth. Deze internetverbinding kunt u dan delen via uw ethernet netwerkinterface, waarop u een router of access point (AP) aansluit. Dit access point moet vervolgens dusdanig ingesteld worden dat het een groot, onbeveiligd netwerk nabootst. Het grote voordeel is dat alle verkeer van dit access point nu via de ethernet poort loopt. Dat heeft in de praktijk een groot voordeel. Over die kabel loopt immers al het verkeer van het access point, en dus zowel het inkomende- als uitgaande verkeer van en naar alle apparaten die er een verbinding mee hebben. Bovendien hoeft er ook nog eens minder gelogd te worden doordat al het onderlinge radioverkeer ten behoeve van identificatie en synchronisatie van alle apparatuur binnen het access point blijft en niet over de kabel gaat. Deze methode wordt ook wel man-in-the-middle genoemd vanwege het feit dat met het access point plaats genomen wordt tussen de gebruiker en een netwerk; in dit geval het internet. Met veel moderne routers kunnen ook nog eens meerdere SSID's tegelijk gebruikt worden. Dit is echter de meest simpele versie van de man-in-the-middle -methode, omdat het verkeer onveranderd doorgelaten wordt. Intussen wordt het slechts geregistreerd. Er is dus geen sprake van phishing, routering of andere aanpassingen van het verkeer (dat zou de simpelheid die in dit document beschreven wordt, overstijgen). Een ander groot voordeel van deze methode is dat er andere, beter op de situatie aangepaste antennes gebruikt kunnen worden. Bijvoorbeeld rondstralers met een betere ontvangst. Of zelfs richtantennes. Bovendien kan er een kabel tussen het access point en de antenne geplaatst worden. Zodoende kan de antenne op een andere plek geplaatst worden als waar het access point zich bevindt. Dat maakt het onopvallend plaatsen van een antenne veel gemakkelijker. Zo kan de antenne beter gepositioneerd worden voor een nog beter bereik. De rondstraler kan met een magneetvoet of zuignap op het dak van een auto geplaatst worden. Met richtantennes kunnen langere afstanden overbrugt of een gebouw gepenetreerd worden met het access point. Soms is er wat praktische kennis, ervaring en fantasie nodig om dit onopvallend te doen. Een richt-antenne kan bijvoorbeeld in een geïmproviseerde radome worden geplaatst. Deze eenvoudige versie van de man in the middle methode vereist toch wat meer apparatuur zoals een router, bekabeling, een vorm van stroomvoorziening en eventueel een externe antenne. Het valt daarom eigenlijk buiten de scope van dit document. De simpelheid van de 9

12 eerste twee methodes toont juist het gemak aan waarmee de onbeveiligde WiFi-netwerken misbruikt kunnen worden, terwijl deze derde methode snel te groot wordt... 10

13 De aanbieders Het OV: de tram, bus en metro In deze vorm van openbaar vervoer zijn zéér grote netwerken uitgerold. Gratis WiFi is ter beschikking in tram, bus en metro bij de RET (Rotterdam), de treinen van RandstadRail en in de bussen van R-Net, Schiphol-net, Arriva, Connexxion en waarschijnlijk vele anderen. Ook in taxi-busjes van Connexxion is gratis, onbeveiligd WiFi aangetroffen. U treft er diverse publiek; van schoolgaande jeugd tot ambtenaren en werknemers van uiteenlopend niveau. In de bussen van Schiphol Sternet treft u een zeer gemeleerd internationaal gezelschap. Het OV: de NS Op stations is anno 2015 geen of nauwlijks WiFi beschikbaar, echter in de intercity's wel. Dat heeft enkele grote voordelen. Hiervoor is al uitgelegd hoe WiFi werkt en dan vooral wat er gebeurt als een mobieltje even zijn verbinding kwijt is geweest. Er zijn hier twee mogelijkheden: Plaats nemen in de trein en meeluisteren (zelf hotspot opzetten voegt weinig toe). Op een perron gaan zitten en een eigen mobiele hotspot activeren. Zolang er geen Intercity langs komt, zullen alle wachtende reizigers of voorbijlopers met een opgeslagen profiel voor WiFi in de trein zonder dat ze het doorhebben bij het nep-netwerk aanloggen. In deze intercity's zit een divers pluimage. Van studenten tot forensen met uiteenlopende functies. Ook politici van diverse niveau's bevinden zich in deze treinen (VVD naar eigen zeggen in 1e klas, SP in 2e klas). Tussen Schiphol en Brussel is sinds het Fyra-debacle ook een gewone intercity in gebruik. Hotels en restaurants Ook hier zijn er veel partijen die gratis maar onbeveiligd WiFi aanbieden, vooral de ketens. In de restaurants van grote hotels vinden veel zakelijke bijeenkomsten plaats. Sommige hotels zoals Inntel (Rotterdam) hebben een eigen WiFi-netwerk terwijl anderen zoals Tulip Inn (Bodegraven) gebruik maakt van KPN HotSpot. Het internet-verkeer in deze hotel/restaurants is veel minder massaal en chaotisch als in het OV, maar de gebruikers zijn wellicht voor sommigen interessanter. De brug-restaurants boven de A4 bieden ook onbeveiligd gratis WiFi aan. Hier vinden overdag ook veel zakelijke bijeenkomsten plaats. Campings en bungalowparken Vele campings en bungalowparken bieden WiFi aan, maar zelden gratis. Integendeel. Dat het geld kost wil niet altijd zeggen dat het vervolgens beveiligd is. Het is beveiligd tegen gratis gebruik, maar vaak stopt het daarmee. Bedrijven, ziekenhuizen, instellingen en instanties: guest-netwerken Een aantal bedrijven, instanties, openbare gebouwen, ziekenhuizen, instellingen en accomodaties 11

14 hebben naast een WiFi-netwerk voor eigen personeel, een gratis toegankelijk netwerk voor bezoekers. Hier is iets interessants mee. Het bedrijf of instelling gaat er namelijk van uit dat eigen werknemers geen gebruik zullen maken van het gratis netwerk voor bezoekers. Maar bij het veilige netwerk moet een password of passphrase worden ingevoerd, wat wel eens niet meteen wil lukken. Een enkele werknemer zal vervolgens toch het onbeveilgde netwerk prefereren omdat daar niets ingegeven hoeft te worden. Als deze medewerker vervolgens middels VPN aan het bedrijfsnetwerk aanlogt, is er eigenlijk weinig aan de hand, maar het kan ook gebeuren dat interne informatie onbeveiligd over dat netwerk gaat lopen en zichtbaar gemaakt kan worden. Rookhokjes aan de buitenzijde van het pand kunnen ook een eigenaardigheid opleveren. Net zoals kantines of bedrijfsrestaurants. Als het eigen WiFi-netwerk daar geen of een slecht bereik heeft maar het bezoekers-netwerk wel een goede verbinding biedt, zullen werknemers ook geneigd zijn het onveilige netwerk eens te proberen. Als een medewerker dit ooit gedaan heeft, al is het maar éénmalig, blijft het profiel van dit onveilige netwerk op het desbetreffende apparaat bewaard en daar is vervolgens weer op dezelfde wijze misbruik van te maken. Overigen Sommige supermarkten, fastfood-restaurants, Starbucks, bouwmarkten, speelparadijzen, attractieparken, verenigingen, sporthallen en wijkgebouwen bieden ook gratis maar onbeveiligd WiFi aan. Echter het aantal gebruikers hiervan en daarmee het aantal opgeslagen profielen op hun apparatuur is steeds gering gebleken. Vaak is het zo dat meer succes geboekt wordt met een draagbaar hotspot die een grote aanbieder (veelal het OV) nabootst. De algemene voorwaarden Bij veel zo niet alle gratis WiFi-aanbieders moet na de totstandkoming van de verbinding op een akkoord -knopje worden gedrukt om verder te kunnen gaan. Met het drukken op dit knopje worden de algemene voorwaarden geaccepteerd. Vaak staat in deze voorwaarden dat het netwerk niet gebruikt mag worden voor oneigenlijke doeleinden. Het wrange hiervan is echter vaak, dat voor het meeluisteren geen voorwaarden geaccepteerd hoeven te worden. Het venstertje met het akkoord -knopje kan gewoon blijven staan. Start vervolgens de opname. Er is immers al een verbinding, anders zou dat schermpje niet kunnen verschijnen. Dat is een technisch kip- en ei verhaal. 12

15 Bevindingen: websites en APP's Algemene opmerking over veilig Van veilige websites en APP's is het door de encryptie die deze websites en APP's gebruiken (dus onafhankelijk van de gebruikte verbinding) heel moeilijk om persoonlijke gegevens zichtbaar te maken. Echter, het gebruik van deze websites via onbeveiligde WiFi-netwerken is altijd waarneembaar omdat het apparaat eerst moet vragen op welk IP-adres de server zich bevind. Daarvoor moet het eerst een DNS-request doen en dat is altijd waarneembaar. Anders gezegd: het is altijd mogelijk om te zien of iemand een veilige website of APP gebruikt, maar niet wat er vervolgens mee gedaan wordt. Veilige websites Omdat deze websites (in ieder geval zodra er persoonlijke gegevens gebruikt gaan worden) uitsluitend encrypted verbindingen gebruiken, kunnen hieruit niet zomaar gegevens zichtbaar gemaakt worden: Alle websites van grootbanken, verzekeraars en beleggingsbanken Alle websites van de grote postorderbedrijven Alle websites van Google Alle websites van Apple Alle websites die gebruik maken van DigiD Tweakers.net Facebook Telegram Skype Twitter Veilige APP's Omdat deze APP's uitsluitend encrypted verbindingen gebruiken, kunnen hierdoor niet zomaar gegevens zichtbaar gemaakt worden: Alle APP's van grootbanken, verzekeraars en beleggingsbanken Alle APP's van Google Alle APP's van Apple Telegram Whatsapp Facebook & Messenger Skype Twitter Met enige regelmaat is het gebruik van onversleutelde POP3-verbindingen geconstateerd. Dit betrof veelal privé- maar ook zakelijke . Zelfs een zakelijk account met waarschijnlijk het nog steeds 13

16 initiële password secret. Het gebruik van onversleutelde IMAP-verbindingen is ook geconstateerd, zij het in relatief veel mindere mate. Wat zelden voorkomt is het gebruik van SMTP. Er worden mobiel blijkbaar heel wat s gelezen maar slechts zelden verzonden. GeenStijl.nl/Dumpert.nl Tijdens het aanloggen op de website(s) worden zowel de gebruikersnaam als het password onversleuteld via POST-variabelen verzonden en zijn daardoor zichtbaar. De commenter_name is vervolgens telkens zichtbaar in de opgeslagen cookie. Ook de APP verstuurd deze gegevens onversleuteld. GeenStijl pocht graag met hun naar eigen zeggen state-of-the-art webtechnologie en steekt met haar soms tendentieuze artikelen regelmatig de draak met falende overheids-projecten en andere ICTongelukjes. Weliswaar is deze kritiek vaak terecht maar soms ook ongefundeerd. Nergens binnen de verzameling Dumpert/GeenStijl-websites wordt SSL gebruikt tijdens het aanloggen (behalve op dealdumpert.nl, een gelieerde webshop). Wel verscheen op 10 mei 2015 bijvoorbeeld dit tendentieuze artikel over SSL via dochtersite DasKapital: GeenStijl cs blijkt echter zelf nodeloos onveilig. Joop.nl Dit is een website van de VARA. Deze sturen álle persoonlijke gegevens, waaronder woonplaats en geboortedatum, tijdens het registreren geheel onversleuteld via POST-variabelen. Vervolgens versturen ze tijdens het inloggen de gebruikersnaam en het password ook weer geheel onversleuteld. Dat is geconstateerd bij zowel de gewone als de mobile versie van de website. Dat is vreemd, want dit staat in hun disclaimer: De opslag en doorgifte van uw gegevens via internet zijn beveiligd via de huidige gebruikelijke technieken.. Zie Marokko.nl Bij het aanloggen op Marokko.nl is de gebruikersnaam en het password, wat wordt verzonden via onversleutelde POST-variabelen, zichtbaar. phpbb forums Verschillende websites gebruiken een phpbb forum. Deze sturen ook zowel de gebrukersnaam als het password onversleuteld via POST-variabelen. Vervolgens is het aan de website-beheerder of deze gegevens inderdaad onversleuteld verzonden zullen worden via de http-poort, of versleuteld via de https-poort. SecondLove.nl Tijdens registratie worden alle formulier-gegevens onversleuteld en zichtbaar verzonden. Ook 14

17 tijdens het inloggen wordt de gebruikersnaam en password onversleuteld verzonden. En vervolgens worden ook alle formulier-gegevens tijdens een profiel-aanpassing onversleuteld verzonden. Wat ook zichtbaar is, is dat meteen het -adres verzonden wordt naar tradetracker.net en utd2.com waardoor de gebruikers meteen bij deze marketeers bekend zijn. Tinder Aanmelden en aanloggen gaat via een Facebook account. Dit werkt uitsluitend via versleutelde verbindingen. Het gebruik van deze APP is opzichtig zichtbaar doordat de stroom van foto's middels de gewone http-poort opgehaald worden. Wat er vervolgens door de gebruiker mee gedaan wordt, is niet zomaar te zien. Ook de chats worden geheel versleuteld verzonden. Grindr Zeer populair binnen de actieve homoseksuele gemeenschap, en bij het grote publiek beroemd geworden door een burgermeester. De gegevens worden tijdens het aanmelden en inloggen versleuteld verzonden. Ook hier is op het eerste gezicht alleen het gebruik van de APP aantoonbaar. Echter, vervolgens zijn de chats wél zichtbaar, wat opvallend is omdat deze op Jabber gebaseerde chat-client zeer gemakkelijk versleuteld zou kunnen worden. PostNL en tracktrace.nl De website tracktrace.nl geeft in het antwoord de pakketcode en postcode onbeveiligd mee. De APP alleen de pakketcode. Met deze pakketcode kan vervolgens, indien de postcode bekend is, nagetrokken worden wanneer een pakket afgeleverd wordt, of er getekend moet worden en wie de afzender is. VanDijk.nl Deze boekhandel verstuurd blijkbaar linkjes naar de formulieren waarmee scholieren hun boeken in kunnen leveren. Deze zijn echter verder onbeveiligd. Als een scholier deze link op een onbeveiligd WiFi-netwerk aanklikt, wordt de complete URL zichtbaar. Als het vervolgens in een browser geopend wordt, komt het formulier in PDF in beeld. Hierin staan onder andere NAW-gegevens. Hideman VPN Een APP om middels een VPN de locatie van de gebruiker te kunnen verhullen, alle communicatie te encrypten en blokkeert tevens wat ad-providers. Het verstuurd echter de gebruikersnaam en het password onbeveiligd en leesbaar. IP-camera's Er komen steeds meer IP-camera's in omloop. Gemakkelijk kan via APP's en browsers het huis, bedrijfspand of elk ander object bekeken worden. Deze camera's zijn veelal beveiligd met een gebruikersnaam en password, maar deze worden leesbaar met de URL meegezonden. Vaak om de paar seconden of zelfs meerdere keren per seconde. 15

18 Bevindingen: netwerken en locaties een Landal bungalowpark Voor WiFi moet hier betaald worden. Hier maken ze gebruik van een SternPixel WiFi Hotspot systeem. Elke gebruiker moet per periode een bedrag betalen.er moet ingelogd worden met een gebruikersnaam en password, waarna er toegang verstrekt wordt tot het verder onbeveiligde netwerk. Er kan dus gewoon meegeluisterd worden. Voor alleen meeluisteren hoeft niet betaald te worden. Zodra het scherm om de gebruikersnaam en het wachtwoord in te voeren verschijnt, ís er immers al een verbinding. Echter, ook het aanloggen met de gebruikersnaam en password wat na betalen verkregen wordt, is onbeveiligd. Het inlogscherm verstuurd de gebruikersnaam en password onversleuteld, waardoor dit meteen zichtbaar is. Hier kan zeer eenvoudig misbruik van worden gemaakt. (situatie: mei 2015) een datacenter Het betrof hier een datacenter waar ook werkplekken gehuurd kunnen worden. Deze werkplekken krijgen volgens de advertentie onbeperkt toegang tot het aanwezige draadloze netwerk. Het pand is rondom bereikbaar, er is geen afscheiding. Met een mobieltje kan makkelijk bekeken worden of en welke WiFi-routers aanwezig zijn. De routers voor de werkplekken waren dankzij hun naamgeving snel gevonden. Aan de sterkte van de signalen kon ongeveer bepaald worden waar deze werkplekken zich zouden moeten bevinden. Bovendien kon aan de sterkte van deze signalen de conclusie getrokken worden dat in het gebouw geen enkele HF-werende maatregelen getroffen zijn. Om het pand te penetreren met een oneigenlijk WiFi-signaal was in eerste instantie bedacht om dit vanaf een afstand van zo'n 75 meter vanuit een bestelbus en met een richt-antenne te doen. Daarvoor moest deze bestelbus wel een beetje eigenaardig geparkeerd worden. Echter, bij het naastgelegen bedrijf was het een constant aan- en afrijden van bestelbusjes en kleine vrachtwagens. Het idee ontstond dat het veel onopvallender zou zijn om met een bestelbusje tegen het gebouw en recht onder de ramen van de werkplekken te gaan staan. Met als antenne een kleine rondstraler op een magnetische voet, geplaatst op het dak van de bestelbus. Dat zou minder opvallend zijn dan het oorspronkelijke idee. Ook hier werkte de reeds bewezen methodes. Tijdens de metingen vooraf bleek er ook nog een bedrijf uit de medische sector actief te zijn in het gebouw. Vanwege de waarschijnlijke aanwezigheid van medische gegevens is er geen opname gemaakt, maar is slechts bekeken of er een verbinding tot stand kwam. (situatie: mei en juni 2015) 16

19 een gemeenteraadsfractie Deze fractie heeft een ruimte aan de zijkant van het gemeentehuis. Dat bleek al snel uit de sterke signalen die waargenomen werden tijdens een wandeling rondom het gebouw. Er kan om het gebouw heen gelopen en tegen de muur gestaan worden, er is geen enkele afscheiding. Deze fractie van een landelijk bekende partij heeft de beschikking over gescheiden WiFi-netwerken voor medewerkers en bezoekers. Beide WiFi-netwerken zijn beveiligd met WPA-PSK. Dat is dus prima geregeld. Onder het raam van desbetreffende fractie is een draagbare hotspot geactiveerd in de vorm van een mobiele telefoon met het SSID zoals een groot OV-bedrijf dat gebruikt. Meteen maakten een iphone en een Android-apparaat verbinding. Of dat van medewerkers of bezoekers was, is onbekend. Er zijn geen gegevens opgeslagen en het experiment is meteen afgebroken. Het was immers slechts de bedoeling de tactiek aan te tonen. Het had wel makkelijk en onopvallend gekund, enkele meters verderop staan voor ieders gemak bankjes... Gezien het gemak waarmee deze poging lukte en de sterkte van de opgevangen signalen van binnenuit kan ook hier geconcludeerd worden dat er geen HF-werende maatregelen in het gebouw zijn getroffen. (situatie: mei en juni 2015) Bij een ander gemeentelijk kantoorgebouw is dit overduidelijk wél het geval, omdat er aan de vooren zijkanten die vanaf de openbare weg toegangkelijk zijn, geen WiFi-signaal waarneembaar was terwijl dit binnen wél aanwezig bleek te zijn. (situatie: juni 2015) een ministerie Dit ministerie staat tussen enkele andere grote kantoorcomplexen. Alles ziet er netjes beveiligd uit, binnenkomen kan niet zomaar. Vanaf een afstand van 100 meter kan het Rijk2Air en Rijk2Air-gast netwerk al ontvangen worden, maar deze zijn beveiligd. Bij de ingang van het naastgelegen station komen honderden forensen die richting de bedrijven, instituten en het ministerie gaan. Een draagbare hotspot met het SSID van een spoorwegbedrijf trok binnen een kwartier tientallen voorbijlopende ambtenaren en werknemers. (situatie: juni 2015) 17

20 Mogelijke gevolgen Misbruik van accounts Met gevonden gebruikersnamen en passwords van accounts kan desbetreffend account (vaak langdurig) in de gaten worden gehouden. Met alle gevolgen van dien. Betreft het een persoonlijke adres, dan kunnen in de loop van de tijd meerdere persoonlijke gegevens en soms andere account-gegevens worden aangetroffen. Is het een zakelijk account, dan kunnen de gevolgen voor het bedrijf aanzienlijk zijn: vertrouwelijke informatie, voorkennis, persoonlijke- en klantgegevens en financiële gegevens kunnen aangetroffen worden. Bovendien komt het vaak voor dat het password óók voor andere accounts gebruikt wordt. Misbruik van gedragingen Een voorbeeld: tijdens het monitoren van een gratis, onbeveiligde netwerk verschijnt er een Grindrchat. Zonder te weten welk persoon het is, zijn MAC-adres staat ook in het log. Forensen in het OV reizen vaak op dezelfde tijd en via dezelfde weg. Dus kan een dag later rond hetzelfde tijdstip gemonitoord worden of hetzelfde MAC-adres voorbij komt. Zo raakt iemand identificeerbaar, vooral als er meerdere gegevens zichtbaar worden vanaf het apparaat met dit MAC-adres. Als het apparaat dan ook nog verleid kan worden om verbinding te maken met een oneigenlijk en liefst mobiel access point, nemen de mogelijkheden voor identificatie nog verder toe. Afhankelijk van de persoon, kan deze plotsklaps chantabel zijn. Uiteraard is dit niet beperkt tot het gebruik van Grindr. Indien er eenmaal één of meerdere MACadressen gevonden zijn waarop gefocused kan worden, kunnen gegevens zichtbaar worden waar misbruik van gemaakt kan worden. Zo kunnen beveiligingsmedewerkers van een kantorencomplex tijdens hun lunch bij een naastgelegen filiaal van een fastfoodketen zichzelf meer blootgeven dan gewenst. Dat zijn ze zich blijkbaar zelf niet bewust. Maar door gebruik te maken van het onbeveiligde WiFi van dit fastfoodfiliaal kunnen ze informatie over zichzelf of over hun beroep prijs geven. De persoon in kwestie, het beveiligingsbedrijf of diens klant kan hierdoor ernstig gecompromitteerd raken. Met mogelijke gevolgen die uiteenlopen van pesterijen tot afpersing. Misbruik van website-accounts Als gebruikersnamen van websites waarop reacties geplaatst kunnen worden zo makkelijk zichtbaar zijn, kan dat een complexe bron van problemen blijken. Er kunnen namens geheel onschuldige mensen reacties geplaatst worden met een ongewenste inhoud. Haatdragende of seksueel getinte teksten zijn daar maar voorbeelden van. Met of zonder afbeeldingen erbij. Zulke praktijken heten identiteits-roof. De slachtoffers daarvan hebben vaak de grootste moeite om hun onschuld te bewijzen en lijden vaak grote schade. Zowel emotionele als materiële schade. Misbruik van IP-camera's Met deze vaak goedkope camera's houden mensen van alles in de gaten. Straten, huizen, garages, en diverse ruimtes. Doordat de complete URL's inclusief gebruikersnaam en password zichtbaar 18

21 worden, kan daar op vele manieren misbruik van gemaakt worden. Zijn er mensen thuis? Staat de auto er, is het hek open? Ook intieme of andere persoonlijke momenten, al is het maar omkleden, kunnen vastgelegd worden. Als de URL eenmaal bekend is, kan er langdurig gebruik gebruik van worden gemaakt. Zowel in een browser als in daarvoor bestemde APP'jes kan overal ter wereld worden meegekeken. Soms kan de camera zo zelfs bestuurd worden, al is daar dan wel het risico om opgemerkt te worden. Gewoontes en tijden waarop mensen naar hun werk of naar bed gaan kunnen worden geïnventariseerd. Of zijn de bewoners op vakantie? Dit is allemaal informatie waar vooral types met slechte bedoelingen baat bij hebben. Terwijl de eigenaars ervan ze juist geïnstalleerd hadden om hun veiligheid of in ieder geval hun veiligheidsgevoel te vergroten. Monitoring of surveillance op MAC-adres Als een specifiek apparaat gezocht wordt, kan gemonitoord of zelfs gesurveilleerd worden op het MAC-adres ervan. Aan de ontvangen gegevens met betrekking tot de signaalsterkte kan ook afgeleid worden of dit apparaat richting de (antenne van) de hotspot toe of er juist vanaf beweegt. Dit kan voor allerlei nuttige vormen van opsporing worden gebruikt, maar ook door kwaadwillenden. Het vergt wel iets meer inzicht in de materie om dit goed te doen, maar met de hier beschreven simpele methoden kan in ieder geval het principe aangetoond worden. 19

22 Oplossingen Bewustwording van de gebruiker Het allerbelangrijkste is dat de WiFi-gebruikers zich bewust zijn of worden van de risico's die er aan WiFi verbonden zijn. Veel mensen hebben WiFi altijd aan staan op hun mobiel, tablet of notebook. Zij zijn ten allen tijden vatbaar voor misbruik. Gebruikers zouden hun instellingen voor accounts moeten controleren. Staat TLS of SSL aan? Als ze even geen gebruik maken van een onbeveiligd WiFi-netwerk, zouden ze het profiel ervan uit hun instellingen moeten verwijderen. Ook als zij in een hotel of bungalowpark van een dergelijk netwerk gebruik hebben gemaakt, zouden ze na vertrek het profiel ervan uit hun apparatuur moeten verwijderen. Zo voorkomt men dat er later misbruik van gemaakt kan worden. Zakelijke gebruikers zouden op zijn minst via een VPN moeten werken. Daardoor is álle verkeer meteen versleuteld. Zodoende hoeft zo een bedrijf zich eigenlijk weinig zorgen meer te maken. Bovendien, als ze altijd via een VPN werken lopen ze ook weinig tot geen risico's als ze gebruik maken van het WiFi-netwerk bij hun klanten. Een eventueel bijkomend voordeel van een VPN is dat men toegang heeft tot het intranet van het bedrijf. Wel moet een werkgever een manier verzinnen het gebruik van het VPN op hun apparatuur af te dwingen. Als werknemers ook zonder gebruikmaking van VPN op internet kunnen, zullen ze deze mogelijkheid ook benutten omdat anders facebook zo langzaam laadt.... Bij navraag bedoelden ze uiteraard LinkedIn. Het gebeurt. Vast staat dat er zo nu en dan een laag besef van risico leeft. Ten slotte zou het voor sommige personen, al dan niet vanwege hun zakelijke, bestuurlijke of persoonlijke positie, verstandiger zijn geen gebruik van Gratis WiFi te maken en de rekening voor hun databundel voor lief te nemen. Voor hun laptop kunnen deze mensen een eigen, beveiligd hotspot aanmaken op hun smartphone (3G of 4G). Vanuit de WiFi-aanbieders Waarom staat gratis bijna altijd gelijk aan onbeveiligd en onversleuteld? Iedereen die gebruik wil maken van het aangeboden netwerk moet dit eerst vanuit de instellingen selecteren en vervolgens op een akkoord -knopje drukken. Waarom kan hier niet nog één stapje tussen: het éénmalig invoeren van een password of passphrase ten behoeve van WPA-PSK? Dit hoeft slechts 8 letters en/of cijfers lang te zijn. Een simpel password als dankuwel is al voldoende. Het gebruikte password wordt opgeslagen bij het profiel wat sowieso al wordt opgeslagen voor het desbetreffende netwerk. Dat alle gebruikers het password kennen, is geen enkel probleem. WPA-PSK of WPA2-PSK werkt namelijk als volgt: er worden tijdens het tot stand brengen van de verbinding in totaal 4 sleutels ( handshakes ) heen en weer gestuurd tussen het access point en het apparaat van de gebruiker. Slechts als al deze 4 sleutels bekend zijn, is het moeilijk maar mogelijk om het verkeer van dat ene apparaat te decoderen. Dus ook al is de passphrase dankuwel bekend, dan nog is het maar de vraag of het decoderen lukt. Er is dus veel geluk, kennis en kunde nodig om het verkeer van één enkel apparaat leesbaar te maken. Dat staat in schril contrast tot het simpele en massaal afluisteren van vele gebruikers tegelijk 20

23 zoals hierboven is beschreven. En het enige wat er nodig is voor deze veel grotere mate van veiligheid is het éénmalig invoeren van een password of passphrase wat heel Nederland mag weten. Uiteraard is er ook hiervoor weer een tactiek beschikbaar die dit geheel kan omzeilen, maar dat zou toch al weer een stuk verder voeren dan de simpele methodes die eerder in dit document worden beschreven. Beveiligde gratis WiFi-netwerken zijn aangetroffen bij de Belastingdienst, sommige ministeries (het Rijk2Air-gast netwerk), BIOS Taxi-busjes, een Centrum voor Jeugd en Gezin en diverse bedrijven. Tegen het lokken van gebruikers met een oneigenlijk mobiele hotspot of access point, zouden de OV-bedrijven kunnen overwegen om per rijtuig een ander SSID in te stellen. Dit maakt de gebruikte SSID's uniek. Dit is aangetroffen bij bussen van Arriva en taxi-busjes van Connexxion. Het heeft veel minder nut om een access point in de lucht te brengen met een dergelijk SSID, want de kans dat er iemand een profiel voor dat ene rijtuig opgeslagen heeft is veel kleiner. Dat staat in schril contrast tot de intussen honderdduizenden apparaten waarop een (mis-)bruikbaar WiFi-profiel is opgeslagen van één of meerdere grote aanbieders uit het rijtje SSID's zoals beschreven in de inleiding. Vanuit de web- en app-developers Te zien was, dat een aantal websites en apps persoonlijke informatie onversleuteld over het netwerk versturen. Dat is niet alleen onnodig maar ook al lang niet meer van deze tijd te noemen. Zij zouden gebruik moeten maken van reeds lang bestaande technieken. Vanuit de providers Enkele providers voor zowel de zakelijke als particuliere markt staan nog steeds toe dat s onversleuteld opgehaald kunnen worden. Terwijl alle in omloop zijnde -clients dit óók middels SSL of TLS kunnen. Daarom zouden deze providers kunnen overwegen het versleuteld ophalen af te dwingen. Zij kunnen simpelweg de mogelijkheid om onversleuteld mail op te halen uitzetten. Overigens zijn er blijkbaar ook ICT-afdelingen van enkele bedrijven, instellingen en instanties die dezelfde fout maken. De gevolgen van gelekte -accounts kunnen in potentie grote gevolgen hebben. Andere protocollen, zoals FTP, zouden ook vaker gebruik moeten maken van SSL of TLS. Sommige clients vragen er om, maar krijgen het gewoonweg niet van de serverzijde: 21

24 Disclaimer Dit dokument is gemaakt op initiatief van Teunissen Enabling. Er is geen sprake van een opdrachtgever of sponsoring. De objectiviteit is zodoende onafhankelijk van financiële verplichtingen of prikkels. Genoemde websites, APP's, locaties en omstandigheden zijn gekozen uit het oogpunt van algemene bekendheid, belang en gebruik. Er is nooit sprake geweest van het opzettelijk beschadigen of belasteren van enig bedrijf of diens reputatie. Tijdens deze experimenten zijn vele gegevens verzameld en in logs opgeslagen. Deze logs waren de brongegevens voor het verdere onderzoek. In deze logs bleken persoonlijke en zakelijke gegevens voor te komen. Hierover het volgende: Alle logs zijn gewist. Alle notities voor wat betreft zowel persoonlijke als zakelijke gegevens zijn gewist. Met aangetroffen gebruikersnamen en passwords is nooit getracht ergens in te loggen. Met de zichtbare inhoud van s, chats en postings is, behalve de technische analyse ervan, niets gedaan. Er is met de gevonden gegevens niet getracht meerdere gegevens over deze personen te vinden, danwel de informatie te linken aan personen, danwel meerdere soorten gegevens aan een persoon of diens apparatuur te linken. Er is niets ondernomen met aangetroffen zakelijke informatie, van welke aard dan ook. Diverse details, zoals de exacte locatie en omstandigheden er omheen, omtrent gevoelige objecten zijn onvermeld gebleven in dit document. Daar waar geëxperimenteerd is rondom bestuurlijke, politieke, commerciele of anderzijds gevoelige plekken, is er niet gelogd waardoor de gegevens niet zijn opgeslagen. Er is uitsluitend bekeken óf er apparatuur van binnen uit verbinding met een onechte hotspot wilde maken. Zodra dat vastgesteld was, zijn de experimenten steeds gestaakt. Tot slot Sommige gevonden gegevens zouden gevoelig kunnen zijn. Zowel vanuit de privé-sfeer als vanuit zakelijk oogpunt. Blijkbaar zijn desbetreffende personen, soms in de rol van werknemer, zich totaal niet bewust van de risico's die ze nemen. Daar waar het om zakelijke gegevens gaat, gaan de mogelijke consequenties natuurlijk veel verder dan de persoon in kwestie alleen. Vandaar als afsluiting de welgemeende tip aan bedrijven om toch nog eens te kijken of hun mail-server uitsluitend versleutelde verbindingen accepteert, en om te checken of initiële passwords inderdaad gewijzigd worden. Wat dat laatste betreft is één van de oudste ICT beveiligingsproblemen blijkbaar nog steeds niet opgelost. Alle experimenten zijn uitgevoerd met (rand-) apparatuur en accessoires uit de kwaliteitsklasse home. Er is geen gebruik gemaakt van dure, specialistische, professionele en/of moeilijk verkrijgbare onderdelen. Vaak wordt de verwachting gewekt dat speciale apparatuur nodig is, zoals een pineapple. Dat blijkt helemaal niet waar te zijn. Met dank aan de grote aanbieders, bevinden zich nu in heel Nederland honderdduizenden apparaten met een opgeslagen profiel waar met het grootste gemak en de simpelste methoden misbruik van gemaakt kan worden. 22

25 Kan het nog gekker? Ja, véél gekker zelfs. Met SSID's van de vier grootste OV-aanbieders tegelijk, bijvoorbeeld. Met richt-antennes, routers met een groter vermogen en nog meer trucs om mensen naar een nepnetwerk te lokken. Met of zonder WPA/PSK. In vaste of mobiele opstelling, zelfs in draagbare vorm. Nog steeds zonder speciale hard- of software. Hoe precies, blijft in de trukendoos. Wat ook in de trukendoos blijft, is speciale hardware. Want die bestaat ook. Meer informatie? Voor meer informatie, demonstraties of advies kunt u contact opnemen met: Jeroen Teunissen Teunissen Enabling E: informatie@teunissenenabling.nl T: Om begrijpelijke redenen is het zinloos om informatie te vragen rondom gevonden informatie, locaties, materiaal, tactieken en technieken, tenzij u een relevante betrokkenheid bij dat specifieke onderwerp aan kunt tonen. 23