Het was iets waarvan ik al vaker gehoord had dat het gevaarlijk was: het maken van een verbinding met een “onbeveiligd” draadloos netwerk. Windows wil er standaard niet eens verbinding mee maken, geeft een waarschuwingsicoontje en een waarschuwingsbericht als je het toch doet. En terecht. Want het gevaar van een open verbinding is een stuk groter geworden. Je hoeft niets van hacken te weten om er misbruik van te maken.
Je hoeft alleen Firefox te installeren en een eenvoudig te downloaden plugin genaamd Firesheep. Windows gebruikers moeten daarnaast nog het eveneens gratis te downloaden Winpcap installeren en je bent klaar om je net uit te gooien.
Nou kom ik niet zo vaak onbeveiligde netwerken tegen, maar een test op mijn eigen laptop was al veelzeggend genoeg.
Ik had Google Chrome 7 draaien en Firefox met Firesheep en Winpcap. Firefox was een portable versie die ik vers gedownload had. Er waren dus geen gebruikersnamen en/of wachtwoorden opgeslagen in de browser.
Met de Google Chrome browser bezocht ik een aantal sites en Firefox probeerde ze “op te vangen”. En het lukte veel te vaak.
Zoals je in de screenshot kunt zien wist Firesheep mijn inlogsessie op te vangen voor:
- WordPress (en dan in combinatie met het ICT en Onderwijs weblog)
- Amazon.com
- Flickr
- Bit.ly
- Tumblr.com
- Foursquare
De accounts verschijnen gewoon automatisch in de menubalk links en als hacker hoef je maar dubbel te klikken op een getoond account om als die persoon in te loggen. Angstaanjagend eenvoudig.
Gelukkig waren er ook een paar sites waar het niet bij lukte:
- Dropbox.com
- Live.com
Alleen deze drie sites bleken immuun voor de tool en ik heb niet eens een account bij alle sites die in het lijstje staan.
Zijn er oplossingen?
Ja, er is heel veel tegen te doen. De eenvoudigste oplossing is als de sites er voor zorgen dat ze https:// gebruiken voor de verbindingen. Een andere eenvoudige oplossing is er voor zorgen dat alle Wifi verkeer versleuteld is. Dat is wellicht een beetje meer werk bij het maken van een verbinding, maar lost het hele probleem ineens op. Zeker thuis is dat natuurlijk de moeite waard, je hoeft het immers maar één keer in te stellen.
Daarnaast kun je er dus maar beter voor zorgen om geen verbinding te maken met een onbeveiligd draadloos netwerk. Natuurlijk je kunt een VPN opzetten of een SSH-tunnel, maar dat is voor de meeste gebruikers een brug te ver.
Gelukkig is er voor Firefox een add-on die dat ook voor je kan regelen: http://www.antoinevandinter.nl/weblog/2010/10/26/kijk-uit-bij-het-gebruik-van-openbare-draadloze-netwerken/
Voor Google Chrome is er KB SSL Enforcer, maar ook die biedt niet altijd een oplosssing. Zo staat er bij de extensie: “Facebook seems to disable the chat on the encrypted version. This is not a bug in the extension, but you can blacklist http://www.facebook.com in the options if you want to use the non-encrypted site where the chat is enabled.”
Zodra je dat dan weer doet om op Facebook te kunnen chatten ben je toch weer kwetsbaar.
Weet je of dit ook werkt bij een Mac of iPad? Tijdens congressen wordt vaak gebruik gemaakt van niet versleutelde netwerken. Dit is een behoorlijke beperking als je tijdens een congres online wilt zijn..
Zo te zien in ieder geval zeker wel op de Mac, The Unofficial Apple Weblog. Als ik het verhaal (en het principe) goed begrijp, dan zijn ook iPhone en iPad kwetsbaar op zo’n netwerk.
Dank voor de snelle reactie. Voorzorgsmaatregelen nemen, en veilig surfen dus.
De kop van het artikel is helemaal fout. Het hele internet is net zo onbeveiligd als dat laatste stukje draadloos waar nu zo’n gedoe over is. De juiste reactie is: alle draadloze netwerken moeten open zijn, en de applicaties en apparaten moeten beveiliging gebruiken als ze gevoelige informatie versturen.
@Stephan Mooi dat er tenminste één iemand over de titel valt. 🙂
Maar je hebt niet helemaal gelijk. Voor de rest van dat “hele internet” is het voor mij als gewone gebruiker een stuk moeilijker om data af te vangen als dat het voor dat laatste stukje is. En ja, je hebt gelijk dat het probleem niet zou bestaan als alle sites en applicaties beveiliging van data serieus zouden nemen.
@zonnetje8321 Hier http://t.co/yt0QHRsW lees je hoe eenvoudig het is een twitter account te misbruiken op een onbeveiligd nw. Oppassen dus.