De gevaren van gratis wifi
Uw FAQman zit tijdens het schrijven van dit artikel op een terrasje in Frankrijk. Niet zomaar een terrasje, nee, een gratis-wifi-terrasje. Van werkelijk heinde en verre komen de vakantievierende Nederlanders naar deze hotspot voor verbinding met internet, met thuis. En dat is soms levensgevaarlijk, mensen!
Veelvuldig gebruik van wifi met laptop, tablet, mobiele telefoon en soms zelfs complete pc’s heeft vaak alles met internetverslaving te maken. Want wie kan of wil tegenwoordig nog langdurig offline blijven? En naarmate het internetaanbod schaarser wordt, nemen de afkickverschijnselen toe. Met op het buitenlandse platteland (en dat is groot!) ook nog eens een gebrek aan mobiele dekking, nog los van het feit dat internet via de sim-kaart enorm in de prijzen loopt. Dus dan maar op zoek naar een wifi-hotspot waarvan lustig gebruik wordt gemaakt, als die uiteindelijk is gevonden. Herkent u dit? Mooi!
Dan herkent u ook de euforie als na dagen wifi-celibaat de verbinding met internet opeens tot stand is gebracht. De e-mailberichten stromen binnen, op Facebook allerlei nieuwe items, misschien ook even het banksaldo gecheckt. Nog los van Twitter, Spotify, iTunes, enzovoort… Logisch, de belangrijkste dingen als eerste oftewel “First things first”! Zo’n moment van euforie maakt lichtzinnig op het gebied van online veiligheid.
Wifi sniffen
Mogelijk bent u bekend met het verschijnsel wifi sniffen (Engels voor snuffelen). Zoiets gebeurt meestal op een laptop die zich ophoudt in de buurt van een populaire wifi-hotspot. Zo’n laptop moet kunnen beschikken over een wifi-adapter met wat extra mogelijkheden en bijpassende software waarmee al het wifi-verkeer uit de lucht wordt gehaald. Dat verkeer wordt opgeslagen op de lokale harde schijf voor latere inspectie. Natuurlijk, wifi-verkeer is – als gebruikgemaakt wordt van wep, wpa of wpa2 – versleuteld. Dat verandert echter als de wifi-sniffer (via de algemeen bekende toegangscode) eveneens bij dezelfde wifi-hotspot kan aankoppelen. En bij gratis wifi van een horecagelegenheid is dat zéér eenvoudig (lees: een consumptie later) te realiseren. Met andere woorden: dan is uw wifi-verkeer helemaal niet meer versleuteld, dus leesbaar! En dan zijn het de genoemde extra mogelijkheden van de sniffende wifi-adapter die het mogelijk maken dat ook úw wifi-verkeer (dat die sniffende wifi-adapter normaliter niet laat passeren) kan worden vastgelegd! Dit betekent eenvoudig dat het werken met een semi-publieke wifi-hotspot per definitie onveilig is.
Eigen veiligheid
U zult dan ook voor uw eigen veiligheid moeten zorgen en dat doet u door om te beginnen aan te geven dat u niet op een thuisnetwerk, maar op een openbaar netwerk vertoeft (afbeelding). Dit regelt u in het Netwerkcentrum bij de eigenschappen van het Actieve netwerk. U kunt kiezen uit een Thuisnetwerk, een Bedrijfsnetwerk en een Openbaar netwerk. De keuze moet natuurlijk Openbaar netwerk worden, maar daarmee bent u er nog niet. Via het al genoemde Netwerkcentrum en de Geavanceerde instellingen voor delen dient u namelijk ook de specifieke toegangseigenschappen voor Openbaar netwerk te controleren (afbeelding 2). En niet zelden zijn die toegangseigenschappen identiek aan de toegangseigenschappen van het Thuisnetwerk en het Bedrijfsnetwerk… Bij die toegangseigenschappen dient u aan te geven dat andere netwerkgebruikers met geen mogelijkheid in uw pc kunnen kijken en dat doet u onder andere door de bestandsdeling en de printerdeling uit te schakelen. Natuurlijk mag ook de netwerkdetectie niet meedoen, want als dat is ingeschakeld is uw pc wel zéér eenvoudig te traceren door andere netwerkapparaten.
Door aan te geven dat u op een Openbaar netwerk zit en door de toegangseigenschappen van een Openbaar netwerk zo strak mogelijk aan te trekken, zorgt u ervoor dat er alleen netwerkverkeer ontstaat dat door ú wordt aangezwengeld. En dat netwerkverkeer is dan het gangbare internetverkeer via de browser, de e-mailclient en alle andere internetservices die u hebt draaien. Intussen voorkomt u dat andere eenvoudig uw pc kunnen traceren en doorzoeken! Over internetservices gesproken… Het is zaak dat u op een openbare hotspot uw gevoelige internetverkeer tot een minimum beperkt. Wist u bijvoorbeeld dat er voip-sniffers bestaan die een voip-telefoongesprek kunnen afluisteren? En een p2p-client die vanaf uw laptop ook bestanden op internet zet, is uiteraard uit den boze! Immers, zo zijn al de nodige privé-foto’s en -video’s in de openbaarheid gekomen!
Accountgegevens kijken
Neem aan dat de sniffer kan meekijken met uw internetverkeer. Dat internetverkeer is met behulp van een zogeheten packet analyzer zichtbaar te maken en in geval van http- en pop3-verkeer kan dan letterlijk worden meegelezen. Dat wil zeggen, uw accountgegevens komen open en bloot langs. Url, accountnaam en wachtwoord zijn in één keer binnen voor misbruik! Ware het niet met de wetenschap dat de hacker moet beschikken over de juiste hardware, software en kennis. Voor de absolute leek is de informatie die de packer analyzer verstrekt volkomen koeterwaals maar voor de kwaadwillende kenner een snoepwinkel!
Ssl en tsl
Maar gelukkig zijn er ook nog dingen als ssl (Secure Sockets Layer) en tls (Transport Layer Security). We praten dan over mechanismen die ervoor zorgen dat internetverkeer versleuteld wordt overgeseind. U kent dat wel van het https-protocol (http Secure) waarmee de gegevens tussen een webserver en een browser versleuteld worden overgeseind. En dan moeten we zo eerlijk zijn om u te vertellen dat er ook https-sniffers bestaan, maar die hebben het erg moeilijk als u met wifi werkt. Ze kunnen (in tegenstelling tot de diepgaande wifi-sniffer) namelijk niet meteen aanhaken bij het langskomende draadloze internetverkeer. Altijd https gebruiken dus… In geval van uw browser betekent dat slechts dat u via https:// bij uw webmail – en bij andere zaken – aanmeldt en niet via http:// (zie afbeelding). En dat is nog niet alles, want uw browser moet ook het groene licht geven voor wat betreft het gebruikte ssl-certificaat. En via https versleuteld valt er weinig meer mee te kijken door de hacker.
U weet het misschien niet, maar er zijn ook ssl-varianten voor e-mailserver. In geval van Gmail bijvoorbeeld, kunt u uw standaard e-mailclient laten werken via pop3 en smtp. Normaal gesproken gebruikt u dan de onbeschermde tcp-poorten 110 en 25. Bij Gmail pleegt u pop3 via ssl over tcp-poort 995. Smtp kan via ssl over tcp-poort 465 en via tsl over tcp-poort 587(zie afbeelding). Met als gevolg dat uw accountgegevens en de e-mailberichten, net als bij https, keurig worden versleuteld!
Versleutelen is de truc
Waarmee we u hebben verteld wat in feite de truc is: versleutelen! Al het internetverkeer dat vertrouwelijk is, moet en zal worden versleuteld als u het gevoel hebt dat iemand kan meekijken met uw draadloze én uw bekabelde netwerkverbinding. Gewoon bij u thuis zal het wel loslopen, maar in openbare gelegenheden verdient het aanbeveling om bij de les te blijven. En thans weet u om welke les het gaat! Opgemerkt dat u het ssl- en tsl-verhaal ook meeneemt naar de smartphone en de tablet!
Tekst: John Vanderaart