Datapakketjes door de lucht

Update 12 – Hack- Wifi-Zomer 2011

Je bent aan het wachten op je vlucht met een kopje koffie erbij of je zit bijvoorbeeld in je hotelkamer en merkt dat er gratis wiFi aanwezig is. Dat is handig, kun je alsnog bij je zakelijke e-mail, internet bankieren, Facebook en andere zaken waar je je dagelijks mee bezig houdt. Maar hoe veilig is het nu om je privé- en werkgegevens over publieke netwerken te versturen als een handig persoon met een draadloze netwerkkaart eenvoudig mee kan luisteren?

Wat kan er gebeuren?
Herinnert u zich nog het artikel “Lucratieve handelswaar” uit Update 11? Hierin beschrijf ik wat er met persoonsgegevens kan gebeuren zodra deze in verkeerde handen valt. Deze persoonsgegevens gaan vaak grotendeels onversleuteld over het publieke WiFi-netwerk. Leesbaar voor eenieder die met minimale IT-kennis een sniffer-tool kan starten om vervolgens al het verkeer af te luisteren. Wanneer je gebruik maakt van onversleutelde protocollen zoals HTTP (voor het browsen), POP en SMTP (voor e-mailverkeer), Telnet en FTP (voor communicatie naar servers), dan gaat alle verkeer in leesbare tekst door de lucht. Die handige tooltjes op uw smartphone voor het versturen van berichtjes, opvragen van het saldo, inloggen bij webdiensten etc., versleutelen die het verkeer? Hier heeft u vaak geen invloed op en is het een kwestie van vertrouwen dat alles veilig wordt verzonden.

De Volkskrant voerde enige tijd geleden een onderzoek uit naar de veiligheid van publieke draadloze netwerken. Een VWO-leerling toonde toen aan dat het mogelijk is om al het verkeer van en naar de hotspots over zijn laptop om te leiden. Vervolgens kon hij met andere software HTTPS-verkeer meelezen. Binnen enkele minuten leverde een sniff op het gratis WiFi-netwerk van Schiphol Plaza wachtwoorden van ING, Facebook en Gmail op. Er wordt in de media aandacht geschonken aan het feit dat WiFi-netwerken vaak onveilige configuraties bevatten, maar zijn de gebruikers zich bewust van deze gevaren en doen ze er ook iets mee?

Is het strafbaar?
Dat is een vraag waar meerdere antwoorden en ideeën over bestaan. IT-jurist Arnoud Engelfriet heeft het op zijn weblog www.isusmentis.com beschreven. Hij zegt het volgende:

Het opzettelijk en wederrechtelijk met een technisch hulpmiddel aftappen of opnemen van gegevens die voor iemand anders bedoeld zijn, is een strafbaar feit: 1 jaar cel, 16.750 euro (art. 139c lid 1). Dit wordt soms gegevensdiefstal genoemd, alhoewel dit formeel gesproken onjuist is: gegevens kunnen niet worden gestolen zoals fietsen of geld. Daarnaast zijn er speciale regelingen over het afluisteren, opnemen of aftappen van gesprekken tussen mensen. In een woning of besloten ruimte mogen geen gesprekken worden opgenomen zonder toestemming. Gesprekken daarbuiten mogen niet heimelijk en met een technisch hulpmiddel opgenomen of afgeluisterd worden.“

Een uitzondering op deze wet zijn de “vrije signalen”.

Het ontvangen van vrije signalen uit de ether is niet verboden, tenzij je een `bijzondere inspanning’ moet leveren om de signalen te kunnen interpreteren. De bovengenoemde strafbepaling over het aftappen of opnemen van datacommunicatie geldt niet altijd. Er is een uitzondering gemaakt voor het opvangen van door middel van een radio-ontvangapparaat ontvangen gegevens (art. 139c lid 2). Het ontvangen van vrije signalen uit de ether is immers een Europees grondrecht (art. 10 van het Europees Verdrag voor de Rechten van de Mens (PDF)). Wordt “een bijzondere inspanning” geleverd, of een niet toegestane ontvanginrichting gebruikt, dan is er echter toch sprake van strafbaar afluisteren. Een bijzondere inspanning kan bijvoorbeeld zijn het afluisteren van de encryptie-sleutel of het zich voordoen als de werkelijke ontvanger (denk aan het spoofen of vervalsen van een MAC-adres).

Het afluisteren van onversleuteld internetverkeer lijkt dus tussen wal en schip te belanden. Het lijkt strafbaar omdat het afluisteren van persoonsgegevens betreft, maar volgens de wet valt het net buiten het strafbare gebied. Het vonnis zal uiteindelijk bij een rechter liggen of het strafbaar is of

Hoe doen ze het?
Er zijn diverse open source tools die vrij beschikbaar zijn waarmee het mogelijk is om eenvoudig het draadloze verkeer te sniffen. Ik zal enkele voorbeelden geven. Frans Kollée schreef in Madison Gurkha Update 11 over het opzetten van ‘valse’ netwerken om gebruikers te lokken. Dit kan met de set tools die samen het KarMetasploit-framework vormen. Zodra gebruikers verbonden zijn met het netwerk is het kinderlijk eenvoudig om het verkeer af te luisteren. Om deze moeite te besparen is het ook mogelijk om met het grafische programma Wireshark al het draadloze verkeer binnen het bereik van je netwerkkaart af te luisteren en op te slaan. Het is dan wel noodzakelijk dat je
je draadloze netwerkkaart in een zogenoemde ‘promiscuous’ mode brengt waardoor deze naar al het verkeer luistert in plaats van alleen naar het verkeer dat voor hem bestemd is. Je krijgt nu alle datapakketjes te zien die door de lucht gaan. Hierin kun je vervolgens zoeken en sorteren totdat je de gegevens ziet die je graag wilt hebben.

In 2010 bracht Eric Butler het tool Firesheep uit. Dit deed hij uit protest tegen de grotere webdiensten omdat zij hun gebruikers niet goed zouden beschermen. Het tool is een FireFox-addon die je kunt installeren en vervolgens op het netwerk snifft naar ingelogde gebruikers op onder andere de volgende applicaties: Amazon, Cisco.com, Cnet, Facebook, LinkedIn, Flickr, Foursquare, Google, Gowalla, Live, Twitter, Vimeo, Wordpress, Yahoo en anderen. Fireheep geeft aan wanneer een gebruiker op het netwerk is ingelogd op één van de eerder genoemde pagina’s en vervolgens kun je door opde melding te dubbelklikken de sessies overnemen. Je hebt dan niet direct de gebruikersnaam en het wachtwoord in handen, maar je bent wel ingelogd als deze gebruiker.

Hoe kun je het voorkomen?
Er zijn diverse oplossingen om veilig op een publiek netwerk te internetten. Eén van deze oplossingen is met behulp van een VPN-tunnel. Je zet dan een versleutelde verbinding op naar een computer die je vertrouwt, bijvoorbeeld bij je thuis. Over deze versleutelde verbinding verstuur je de data zodat deze niet te sniffen is vanaf het netwerk. Dit vergt enige configuratie, maar je hoeft er geen expert voor te zijn. Op het internet staan diverse handleidingen over hoe je een VPN-tunnel op kunt zetten naar je thuiscomputer. Mocht je geen VPN-oplossing voor handen hebben en toch gebruik moeten maken van een publiek netwerk, denk dan goed na over wat je doet op het internet. Nieuws kijken is geen probleem, maar log beter niet in bij je persoonlijke data zoals webmail en internet bankieren. Let altijd goed op dat wanneer je toch moet inloggen, je gebruik maakt van een HTTPS-verbinding. Dit herken je aan het slotje in je browser. Klein detail: controleer wel of je een HTTPS-verbinding hebt met het juiste systeem.