WatchGuard: 5G legt kwetsbaarheid wifi-netwerken bloot

WATCHGUARD BEVEILIGT DRAADLOZE NETWERKEN IN OPENBARE RUIMTES

Op de website van securityspecialist WatchGuard staat een petitie die oproept tot een wereldwijde standaard voor wifi-security. Niet voor niets: de risico’s van het gebruik van wifi worden onderschat.

Toen Ryan Orsi, die zich al vijftien jaar bezighoudt met alle vormen van draadloze communicatie van 3G via bluetooth tot wifi, in 2015 gevraagd werd om Director of Product Management bij WatchGuard Technologies te worden, reageerde hij in eerste instantie verbaasd. “Een cybersecurity-specialist die werk wil maken van het beveiligen van wifi? Wat is er mis met die techniek dat een dergelijk bedrijf er interesse in heeft?”

Het antwoord werd Orsi snel duidelijk: wifi is een kwetsbare techniek, en juist de opkomst van 5G maakt het noodzakelijk fors te investeren in wifi-security. “Dat klinkt paradoxaal, maar wie weet hoe mobiele netwerkproviders omgaan met grote hoeveelheden data herkent het gevaar”, is de overtuiging van Orsi. “We weten nu al dat bij het 4G-netwerk 59 procent van het dataverkeer van smartphones uiteindelijk via wifi-accesspoints gaat. De providers hebben simpelweg slechts een beperkte hoeveelheid bandbreedte. Dus zodra data via wifi-hotspots kan worden afgevangen, dan ontlast dat het netwerk.”

Orsi legt uit dat smartphones en andere mobiele devices continu naar accesspoints zoeken, bijvoorbeeld in winkelcentra en op luchthavens. “De gebruiker merkt er niets van.” De introductie van 5G zal zorgen voor een forse toename van het dataverkeer. “We verwachten dat straks 71 procent van het verkeer via wifi wordt verwerkt.” Dat is, stelt Orsi, een duidelijk signaal naar de cybercriminelen in de wereld. “Er zullen meer gelegenheden zijn om connecties tussen mobiele telefoons en het wifi-accesspoint te onderscheppen.”

‘De gebruiker merkt er niets van’

Evil twin

Ryan Orsi

Een veel gebruikte manier om in te breken in een netwerk is gebruik te maken van wat een ‘evil twin’ genoemd wordt, een door hackers opgezet parallel netwerk dat de functie van het hoofdnetwerk overneemt. “Criminelen gebruiken daar een klein apparaat voor, dat we de wifi- pineapple noemen. Als mobiele apparaten in een kantoor of openbare ruimte dit accesspoint benaderen en langer dan tien seconden verbinding maken met het zogenaamde layer 2 van het wifi-netwerk, dan weet de hacker dat er geen evil-twinbeveiliging is. Hij kan dan al het verkeer aftappen, gegevens stelen, wachtwoorden aanpassen, et cetera. Dit, zonder dat de gebruiker er iets van merkt.”

Continu monitoren

WatchGuard concentreert zich bij het beveiligen op het voorkomen van security problemen op juist het eerder genoemde Layer 2 van het wifi-protocol. “Ons accesspoint monitort continu of er pogingen gedaan worden in te breken op het netwerk. Stel dat er een wifi- pineapple wordt gevonden, dan zorgt ons accesspoint voor heel veel verkeer, een soort Denial of Service-attack op de evil twin. Geen enkel toestel kan dan nog verbinding maken met dit accesspoint.” Het accesspoint van WatchGuard kan zelf ‘gewoon’ functioneren als hotspot voor wifi-toegang, maar kan ook worden ingezet in combinatie met apparatuur van andere fabrikanten in een wifi- netwerk. “In dat geval gebruik je ons accesspoint uitsluitend voor monitoring, als extra wapen tegen kwaadwillenden. Dus ook in een dergelijke omgeving biedt WatchGuard een sterke oplossing
tegen evil-twins.

[Dit artikel is eerder gepubliceerd in ChannelConnect magazine 1-2020]

Lees het artikel hier in PDF