Achtergrond

"WiFi achilleshiel bedrijven, ook met WPA2" (interview)

dinsdag 17 juli 2012, 15:53 door Redactie, 9 reacties

WiFi is al jaren een beveiligingsprobleem binnen bedrijven, maar door de komst van Bring Your Own Device (BYOD) wordt het alleen maar groter. In eerste instantie waren het alleen "echt paranoïde" organisaties die de veiligheid van WiFi-netwerken aanpakten, zoals banken, overheden en grote ondernemingen. "Grote zakelijke omgevingen met IT-budgetten en auditors die het probleem in de laptopwereld wisten te vinden", zegt David King van Airtight Networks tegen Security.nl. King sprak tijdens het Maturing Business Information Security event van B-able in Lent. Nu Bring Your Own Device overal plaatsvindt zal het probleem volgens de WiFi-expert ook overal komen bovendrijven.

Bedrijven die eerst beperkt WiFi aanboden, bijvoorbeeld alleen voor gasten, rollen het nu binnen de gehele onderneming uit en krijgen er ook op grotere schaal mee te maken. "Wat ze ontdekken is dat het lastig is om alle onbeheerde apparaten te beheren die in hun omgeving opduiken", stelt King.

Dreigingen zoals rogue accesspoints, waarbij aanvallers een vals access point neerzetten om zo nietsvermoedende gebruikers er verbinding mee te laten maken of werknemers die op deze manier proberen in te loggen, verkeerd geconfigureerde apparaten en client phishing, vinden volgens de expert nu op regelmatige basis plaats."

Achilleshiel
En dat is niet zonder risico. Eén van de grootste datadiefstallen in de geschiedenis vond deel via slecht beveiligde WiFi-netwerken plaats. Het was creditcarddief Albert Gonzalez die via draadloze netwerken bij verschillende organisaties wist in te breken om zo toegang tot netwerken en vertrouwelijke databases te krijgen.

"WiFi is één van de meest kwetsbare onderdelen van bijna elk bedrijfsnetwerk." Tijdens security audits en penetratietests blijkt dat WiFi vaak de achilleshiel is, of de "soft underbelly" zoals King het noemt. "Bijna altijd zijn netwerken aan te vallen via een rogue apparaat."

"Je Windows 7 laptop heeft een ingebouwde access point functionaliteit." Dit softwarematige access point wordt niet altijd gedetecteerd. "Veel gebruikers die hun iPhone thuis gebruiken en er verbinding met het bedrijfsnetwerk mee willen maken, kunnen dat op twee manieren doen. Of ze spoofen de inloggegevens van de Windows 7 laptop en loggen in als client, en als dat wordt geblokkeerd, kunnen ze Windows 7 in een access point veranderen en zo verbinding maken." Dit soort rogue access point duiken nu overal op, laat King weten.

Encryptie
Menig onderneming denkt zolang ze WPA2 gebruiken het WiFi-netwerk veilig is, maar dat is een misconceptie benadrukt King. "Rogue access points, soft access points en client miss association mogen niet vergeten worden. Werknemers die hun eigen persoonlijke access point naar de bedrijfsomgeving meenemen. Je hebt dan apparaten die gelijktijdig met het bedrijfsnetwerk als met het eigen access point zijn verbonden, dat weer verbinding met een extern netwerk maakt. Het is eigenlijk een bridge buiten het netwerk dat niet gedetecteerd wordt." De WiFi-problemen zijn nu veel groter dan een paar jaar geleden.

Volgens King moeten bedrijven beseffen dat WPA2 een goed begin is, maar dat dit alleen op de authenticatielaag plaatsvindt en er nog allerlei andere beveiligingslagen zijn toe te voegen. "WPA2 is gewoon niet voldoende, er zijn zeker een dozijn aanvalsvectoren en honderden mogelijke lekken die bestaan, omdat WiFi niet goed aan de bedrade kant wordt gedetecteerd."

Deze blinde vlek op het WiFi-netwerk is een reëel probleem. "Bedrijven denken omdat Cisco en de grote netwerkleveranciers vertellen dat WPA2 je voldoende bescherming biedt, ze veilig zijn, maar ze beseffen niet dat ze slechts 5% tot 10% bescherming krijgen. Het is hetzelfde als het kopen van een switch zonder firewall. Netwerkproducten alleen geven je niet voldoende bescherming. Je moet er meerdere beschermingslagen omheen bouwen."

Juridische vraag: collega kijkt zomaar op mijn computer

Juridische vraag: zijn lekke websites strafbaar?

Reacties (9)

17-07-2012, 16:15 door yobi

David King is CEO bij Airtight Networks. Zij leveren een aantal producten, die een Wifi-netwerk veiliger moeten maken. De cijfers vind ik een beetje uit de lucht komen vallen en niet onderbouwd. Wifi heeft inderdaad veel aanvalsvectoren. Door gebruikers hiervan kennis te laten nemen, kunnen veel problemen worden voorkomen.

Voorbeelden:
Gratis internet van hotels, vliegvelden enz enz.
Voorkeursnetwerk is niet de sterkste, maar de laast toegevoegde (onbeveiligde).
Uitdelen van netwerksleutels aan anderen (of op whiteboard meedelen).

17-07-2012, 18:58 door [Account Verwijderd]

[Verwijderd]

17-07-2012, 21:13 door intrax

Kwestie van mensen bang maken, zodat je met je Airtight bedrijfje lekker omzet kan gaan draaien. Tsja de schoorsteen moet ook roken ! Beetje doorzichtig. Voorlopig is WPA2 nog wel veilig aangezien de bekende aanvalsmethodes nog te omslachtig en tijdrovend zijn, maar hoelang zal dit nog duren ? Niet zo heel lang waarschijnlijk...

18-07-2012, 10:09 door Anoniem

Wij maken gebruik van 802.1x op het volledige netwerk + afscherming van administrator privileges op alle endpoints.
Vrij adequate bescherming voor dit soort problematiek.

18-07-2012, 11:50 door Anoniem

Door intrax: Kwestie van mensen bang maken, zodat je met je Airtight bedrijfje lekker omzet kan gaan draaien. Tsja de schoorsteen moet ook roken ! Beetje doorzichtig. Voorlopig is WPA2 nog wel veilig aangezien de bekende aanvalsmethodes nog te omslachtig en tijdrovend zijn, maar hoelang zal dit nog duren ? Niet zo heel lang waarschijnlijk...

Ik vrees dat je jezelf een beetje meer moet inlezen wat betreft roque accespoints. Een roque accespoint doet zich als een regulier accespoint voor en de gebruiker weet niet beter dat deze op het juiste accespoint zit. WPA2 heeft hier totaal niets mee te maken. Via de Pineapple constructie beantwoord een roque accespoint de vraag van een device als deze op zoek is naar een bekend netwerk
Wat helpt tegen roque accespoints is het gebruik van encryptie, hoewel er ook al gevallen zijn van mtm attacks via roque accespoints. Maar de gebruiker zou ten alle tijden via een VPN moeten connecten of in ieder geval via SSL moeten surfen.
Maar als een device ook nog eens besmet is met iets als Zeus dan wordt het erg lastig om te kunnen vertrouwen op SSL.
Bedrijven zouden een andere strategie moeten gaan hanteren bij het gebruik van devices die via Wlan willen communiceren. Ervan uitgaan dat dergelijke apparaten per definitie onbetrouwbaar/besmet zijn en dat deze geen rechtstreeks toegang krijgen tot het bedrijfsnetwerk helpt al flink. Een separate Internetaansluiting welke via een separate switch (geen VLan op een switch in het bedrijfsnetwerk) binnenkomt en waarop accespoints staan aangesloten, houdt het bedrijfsnetwerk in ieder geval een stuk veiliger en biedt de gebruikers in ieder geval een aantal mogelijkheden.
Aanvullend zullen er dan nog wel tools moeten zijn om veilig te kunnen mailen en bestanden uit te kunnen wisselen maar dat zou geen grote problemen mogen vormen.

18-07-2012, 20:37 door Anoniem

dan onderschat jij de Aanvaller. en mensen zoals jij is juist waar zulke gasten op zitten te wachten.
Als in jouw bedrijf veel geld om gaat, en de Aanvaller weet dat, maar geen toegang heeft tot het netwerk van buiten af, is Wifi dé mogelijkheid waar hij op zit te wachten. WPA2 zal niet lukken, maar sites o.a: routerpwn,com biedden zulke exploits aan, waar hij het overheeft en default WPA2-keys generators etc. je mogelijkheden lopen in de honderden. en altijd wel 1 die werkt. ookal is het tijdrovend, de aanvaller is geduldig.

veel gebruikte sploits zijn auth bypass, default key flaws, password disclosures, xss, denial of services uhm nou ja, een paar van de honderden mogelijkheden.

je er een keer in verdiepen kan nooit geen kwaad, zeker als je een eenmans bedrijf runnt. als grotere bedrijven zou ik adviseren om wat pentestertjes bijelkaar te roepen en ze even wat tijd te geven om jouw bedrijf te testen.

dit is een goed artikel, ik hoop dat het mensen hun ogen opent. (zal wel niet zo als gewoonlijk.)

19-07-2012, 02:43 door Richard F.

Niet alleen op werk maar ook "op het terras" moet je tegenwoordig oppassen.
Zeker als je bedenkt dat Vodafone onlangs de fout maakte om gevoelige data als gebruikersnaam en wachtwoord als plain text op te slaan en te verzenden.

Kan altijd nog aan de VPN, of gewoon even je WIFI uitlaten als je buiten de deur bent.

Op de werkvloer is het helaas anders, zal je toch vaker je "eigen" netwerk opzoeken en gebruiken. (Heeft dezelfde naam, dus zal vast hetzelfde zijn).

19-07-2012, 11:32 door Security Scene Team

Anoniem 20:37 was een reactie van mij, ik was vergeten in te loggen :)

17-07-2013, 21:52 door Anoniem

Omslachtig en tijdrovend ? na installatie van de Portable Penetrator (SecPoint.com) is het kwestie van enkele uren voordat die WPA2 gekraakt is, Nee heb geen belang maar gebruik de tool om aan te tonen dat het simpel is en dat men iets meer moet doen zoals eerder aangegeven met 802.1x

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Is geen nieuwe auto krijgen ook al schade onder de AVG?

20-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik las in een recent arrest dat een garagebedrijf onder de AVG(!) aansprakelijk werd gehouden voor een ...

12 reacties

Lees meer