Belgische onderzoekers hebben een ernstig beveiligingslek in de Wifi-beveiliging ontdekt. Door deze kwetsbaarheid in de Wifi-beveiliging kunnen criminelen “meekijken” op een met een wachtwoord beveiligd draadloos netwerk. Volgens de onderzoekers is “ieder Wifi-apparaat kwetsbaar”. Apparaten voorzien van Android 6.0 zijn extra kwetsbaar vanwege een fout in het besturingssysteem.
Aan de hand van dit blog geven wij u meer uitleg over het ontdekte beveiligingslek. Wat de gevolgen kunnen zijn, wat CommITment eraan doet om haar klanten te beschermen en wat u zelf kunt doen om eventuele problemen te voorkomen.
Wat houdt de kwetsbaarheid in de Wifi-beveiliging precies in?
Het beveiligingslek is gevonden in het protocol dat wordt toegepast om draadloze netwerken te beveiligen. Een beveiliging die eigenlijk tot voor kort als zeer veilig bekend stond. De nu ontdekte kwetsbaarheid vindt plaats tijdens de hand-shake. In de beginfase van de communicatie wordt er een beveiligingsniveau afgesproken tussen het apparaat en het draadloze access point. Deze uniek overeengekomen “geheimtaal” kan door criminelen worden onderschept en gemanipuleerd, zo is nu gebleken.
Wat kunnen criminelen met de kwetsbaarheid in de Wifi-beveiliging?
Criminelen kunnen door deze kwetsbaarheid in theorie meekijken met de gegevens die worden verzonden vanaf een laptop, tablet of telefoon. En dat is natuurlijk bijzonder ernstig. Maar wat kunnen criminelen nu precies met deze kwetsbaarheid?
Allereerst moet er sprake zijn van draadloze communicatie. Is dat het geval, dan moeten criminelen zich ook nog binnen het fysieke bereik van het betreffende draadloze netwerk bevinden. Dat kan bijvoorbeeld vanuit een auto op een parkeerplaats, mits daar nog sprake is van Wifi-bereik. Voor een crimineel op een zolderkamer of in het buitenland, buiten het bereik van het Wifi-netwerk, is deze kwetsbaarheid nutteloos.
Heeft een crimineel gegevens onderschept maar zijn deze versleuteld, dan kan hij nog niets met deze gegevens. Gelukkig zijn steeds meer applicaties en websites zelf ook al uitgerust met versleuteling. Zo is bijvoorbeeld het versturen van een WhatsApp bericht wel veilig, ook wanneer deze met de telefoon via Wifi wordt verzonden. Dit komt omdat WhatsApp zelf alle berichten die verzonden worden versleuteld. Hetzelfde geldt voor telebankieren of de communicatie via websites die over een SSL certificaat beschikken (te herkennen aan https). Een crimineel kan dan helaas wel zien met wie u communiceert, maar gelukkig niet zien welke informatie u inhoudelijk uitwisselt.
Een groter risico ontstaat zodra er onveilig wordt gecommuniceerd via een onveilig protocol. Het bekendste voorbeeld zijn http (onveilige) verbindingen zoals bij veel websites. Maar ook de communicatie met uw NAS thuis (waar bestanden, muziek, foto’s en video’s worden opgeslagen) via ftp of SMBv1. En vooral in onbeheerde (lees onbeveiligde) thuissituaties, die toch nog vaker voorkomen dan wenselijk is.
Wat doet CommITment om problemen met het beveiligingslek te voorkomen?
Bij CommITment zorgen wij er actief voor dat het gebruik van onveilige protocollen in uw bedrijfsnetwerken tot een minimum wordt beperkt. Vanzelfsprekend segmenteren wij bedrijfsnetwerken en zorgen we ervoor dat de applicaties, e-mail en VPN versleuteld over (draadloze) netwerken worden verzonden. Met ons ActiveManage programma, ActiveSense monitoring, AntiVirus en Managed Firewall sporen we actief naar nieuwe kwetsbaarheden en blokkeren deze direct (al dan niet preventief).
In dit specifieke geval verwachten wij dat de meeste leveranciers van Wifi hard- en software dit probleem oplossen met een patch (software update). Wij houden dit nauwlettend in de gaten. Zodra er een patch wordt uitgebracht én u gebruik maakt van ons ActiveManage beheerprogramma, dan zullen wij de Windows laptops automatisch bijwerken met deze update. Vanzelfsprekend houden wij ook de access points in de gaten die wij via ons Managed Wifi programma aanbieden. Zodra hiervoor een update wordt uitgebracht, ondernemen wij direct de benodigde acties.
Wat kunt u zelf doen om problemen met het beveiligingslek te voorkomen?
Controleer de komende periode regelmatig op updates voor uw draadloze apparaat. Bedrijfstoestellen die onder ons ActiveManage en MDM-programma (Mobile Device Management) vallen, controleren wij. Als u niet zeker weet of uw apparaat daaronder valt, neem dan contact met ons op.
Internetbankieren is vanwege de SSL-versleuteling nog steeds relatief veilig. Evenals het werken met een ECD (Elektronisch Cliënten Dossier) zoals Nedap, Unit4 Cura of Resident Web of administratiepakketten zoals Exact of Afas. Ons advies blijft desondanks om het verwerken van gevoelige financiële en/of persoonsinformatie via een veilige en bekabelde verbinding uit te voeren.
Draadloos werken brengt altijd een zeker risico met zich mee, zeker in openbare gelegenheden. Zorg er daarom voor dat de communicatie die veilig moet verlopen altijd via SSL/VPN verloopt. Websites herkent u aan het “veilig” symbool in de URL.
Websites met https herkennen aan hangslot
Websites via http, zonder SSL en zonder hangslot
Welke CommITment diensten kunt ik veilig draadloos blijven gebruiken?
Nog niet alles is bekend over de impact van deze hack. Met de informatie die ons nu bekend is, kunt u de volgende diensten nog steeds veilig met WiFi blijven gebruiken:
- SSL-VPN zoals bijvoorbeeld https://login.commitment.nl of https://login.uwdomein.nl
- VDI / VMware Horizon https://login365.commitment.pro
- Hosted Exchange zoals https://webmail.commitment.pro of https://mail.uwdomein.nl
- Filecloud zoals https://files.commitment.nl
- Online backup zoals https://onlinebackup.commitment.nl