Wifi Beveiliging
Voor de meeste van ons trap ik hier natuurlijk een wijd openstaande deur in.
Iedereen weet dat je je draadloos netwerk moet beveiligen.
Maar is jouw netwerk werkelijk wel veilig?
Ja hoor, want de mijne is beveiligd met WPA en dat kan niet worden gekraakt!
Nou, dan denk ik dat je dit verhaal maar eens goed moet nalezen!
Want ondanks dat WPA op zich best wel veilig is, schat ik dat zo'n 50% van 's lands draadloze netwerken toch met redelijk eenvoudige middelen te kraken zijn.
Noot: In dit verhaal spreek ik steeds over Wifi access points, je weet wel, zo'n ding dat je draadloos netwerk uitzendt. Dit kan zowel een los kastje zijn, wat dus alleen maar een draadloos access point is. Maar het betreft ook de draadloze verbinding die verzorgd wordt door modems en routers. Dus, ongeacht de andere functies van het apparaat, ik praat hier alleen over het Wifi gedeelte ervan. Dan hoef ik dat niet elke keer volledig te vermelden.
Open Netwerken
Ja hoor, je komt ze anno 2024 nog steeds tegen, open draadloze netwerken. Zal ik die maar even overslaan dan? Iemand die vandaag de dag zijn netwerk nog wagenwijd open heeft staan is volgens mij niet meer te redden. Zo iemand zal deze pagina zeker niet lezen. Het is dus vergeefse moeite om die mensen nog te proberen te bekeren.
Met WEP Keys Beveiligde Draadloze Netwerken
OK. Ik begrijp het.
Je was een van de eerste ter wereld met een draadloos netwerk en je hebt het beveiligd met een WEP key, want er was toen niets anders.
Niemand kan nu per ongeluk nog op je netwerk terecht komen.
Dus je mag aannemen dat iemand die toch op jouw netwerk zit er moedwillig op terecht gekomen is.
Hij heeft echt moeite moeten doen om je WEP key te kraken.
Met de juiste apparatuur en een half uurtje tijd is zo'n WEP key namelijk te kraken.
En hopla de indringer is binnen.
Dat heb je natuurlijk liever niet.
Dus doe je zelf een plezier en zet je netwerk om naar het veel veiligere WPA2.
De meeste moderne apparaten kunnen hier tegenwoordig mee overweg.
Alleen hele oude spelletjescomputers en Windows XP zonder service packs komen niet verder dan WEP.
Wil je je netwerk veilig maken en toch die spelletjes kunnen blijven spelen, koop dan een nieuw acces point of een nieuwe router die je op WPA2 instelt.
Sluit je oude access point daarna met een kabeltje op je netwerk aan.
Maar schakel dat slecht beveiligde netwerk uit wanneer je het niet gebruikt.
Want de beste beveiliging is altijd nog een netwerk wat niet aan staat.
Met WPA Of WPA2 Beveiligde Draadloze Netwerken
Nu begint het er op te lijken. Je netwerk is beveiligd met WPA of WPA2 (vanaf nu noem ik dat alleen nog maar WPA). Als je denkt dat je nu helemaal veilig bent dan moet je toch nog even verder lezen. Want ook dit soort netwerken zijn mogelijk te kraken.
Pre-shared key
De gewone huis, tuin en keuken versie van WPA maakt gebruik van pre-shared keys, oftewel van te voren uitgewisselde sleutels.
Zowel het access point als je draadloze apparatuur moeten die sleutel weten, anders is inloggen op dat netwerk niet mogelijk.
De pre-shared key is eigenlijk het enige wat je draadloze netwerk veilig houdt.
Kies daarom een goede, sterke key.
Laat je niet gek maken door de vele berichten op internet over veilige keys met gemixte hoofd en kleine letters, cijfers en rare tekens.
Een veilige key is niet per definitie een key die je met geen mogelijkheid kunt onthouden.
Een veilige key is gewoon een hele lange key... punt.
Gewoon een hele lange zin waarvan je bijvoorbeeld de woorden met koppelstreepjes aan elkaar plakt.
Zo is "Probeer-deze-WPA-sleutel-maar-eens-te-kraken" vele male veiliger dan "Ud8a0%Vu".
Momenteel is brute force (gewoon een voor een alle combinaties nagaan) nog de enige manier om een WPA sleutel te achterhalen.
Dus hoe langer de sleutel is, des te langer ze er over doen om hem te raden.
De hacker weet niet of je alleen normale letters gebruikt, dus moet hij toch alle mogelijke letters, cijfers en tekens gebruiken tijdens het raden.
Stel dat er zo'n 80 verschillende letters, cijfers en tekens per positie mogelijk zijn, dan is het eerste voorbeeld in 80 ^ 45 keer te raden, terwijl het tweede voorbeeld "al" in 80 ^ 8 keer te raden is.
Voor de wiskundigen onder ons: dit klopt natuurlijk niet.
Het is nog veel moeilijker want de hacker weet immers niet dat de WPA sleutel van voorbeeld een uit 45 tekens bestaat, dus moet hij eerst 80 keer 1 teken proberen, dan 80 keer 80, dan 80 keer 80 keer 80 ........
Maar ik hoop dat je het plaatje snapt.
Hoe langer de key is, hoe moeilijker hij te raden is, zelfs al maak je gebruik van alleen maar kleine letters.
Gebruik vooral geen op zichzelf staande woorden uit het woordenboek.
Op zichzelf staande woorden kunnen opgezocht worden in een woordenboek.
Stel dat er 250.000 woorden in het woordenboek staan en een daarvan is jouw WPA sleutel, dan is jouw WPA sleutel in 250.000 keer te raden als we gewoon elk woord uit het woordenboek proberen.
Gebruik ook geen namen van geliefden, of van huisdieren.
Persoonlijke gegevens zijn dingen die je buren zo kunnen raden, of kunnen aflezen op je feesboek.
Denk niet te snel dat je een foefje uitgevonden hebt waar een ander nog nooit aan heeft gedacht.
Bijvoorbeeld de letter e vervangen door de 3, dat is echt uniek, daar heeft echt nog nooit iemand aan gedacht!
Kortom, je WPA sleutel is net zo veilig als dat je hem zelf kiest. Er is slechts een simpele stelregel: "Hoe langer, hoe beter".
Maar alleen met een veilige WPA sleutel zijn we er nog steeds niet. Ook hele veilige WPA sleutels zijn kraakbaar.
Speedtouch En Thomson Modems
Een van 's lands oudste telecom bedrijven, je weet wel, die met die drie letter naam, heeft deze modems jaren lang aan zijn klanten verstrekt.
En ze waren hun tijd ver vooruit, want die modems waren af fabriek al beveiligd bij de klant afgeleverd.
Uhm, maar dan moet je niet de sleutel onder de deurmat laten liggen.
De netwerknaam (bijvoorbeeld: SpeedtouchABCDEF, of ThomsonABCDF) stond namelijk in een vaste relatie tot de WPA sleutel.
Dus als je de naam van het netwerk weet, kun je zo de WPA sleutel uit een zogenaamde Rainbow table aflezen.
Zo'n WPA sleutel is daarmee in een paar seconden gekraakt.
Nee, dat zeg ik verkeerd.
Hij is niet gekraakt, hij is gewoon opgezocht.
Heb je zo'n modem dan kun je jezelf heel simpel beschermen tegen dit soort inbraken.
Gewoon de netwerknaam en/of de WPA sleutel wijzigen en daarmee is de vaste relatie tussen die twee al verbroken.
Het is trouwens sowieso verstandig om de standaardinstellingen van je apparatuur te wijzigen, maar daarover later meer.
Een van 's lands oudste telecom bedrijven, je weet wel, die met die drie letter naam, heeft deze modems jaren lang aan zijn klanten verstrekt.
En ze waren hun tijd ver vooruit, want die modems waren af fabriek al beveiligd bij de klant afgeleverd.
Uhm, maar dan moet je niet de sleutel onder de deurmat laten liggen.
Leren Ze Het Dan Nooit?!
Bovenstaande methode om standaard WPA2 codes te herleiden aan de hand van de standaardnaam van het draadloze netwerk is mogelijk met Speedtouch en Thomson modems die tussen 2008 en 2010 door KPN aan hun klanten zijn uitgedeeld.
Je zou denken dat ze wel wat geleerd hebben van dat avontuur.
Niet dus.
Halverwege 2015 kwamen drie onderzoekers van de Radbout Universiteit met een onderzoek naar buiten waarin zij verschillende merken modems hebben onderzocht.
Ze hebben daarbij vastgesteld dat veel modems, waaronder die van Ziggo, KPN en Tele2, nog steeds een vaste relatie kennen tussen netwerknaam, serienummer en WPA2 code.
Als je eenmaal die vaste relatie kent kun je die netwerken ook weer in luttele minuten binnen komen.
Vooralsnog zijn die algoritmes nog niet publiekelijk bekend, maar dat is natuurlijk slechts een kwestie van tijd.
Het verslag van het onderzoek is wel openbaar. Het is nu dus wachten op een paar slimme jongens die dit om weten te zetten in een gemakkelijk te gebruiken tool.
Dus ongeacht welk type modem je ook hebt, altijd je netwerknaam en WPA2 code wijzigen! Dan heb je geen last meer van deze zwakheden.
WPS Levens Gevaarlijk!
Dit is heel belangrijke informatie!
Als ik zo in mijn omgeving kijk is zo ongeveer 70% van internettend Nederland en België kwetsbaar.
Dus dikke kans dat jouw netwerk ook binnen enkele uurtjes volledig open ligt!
Dit is geen theorie, dit is praktijk!
Veel routers en draadloze access points die na 2007 geproduceerd zijn hebben een nieuwigheidje.
WPS (Wireless Protection Setup).
Hiermee wordt het voor de leek gemakkelijker gemaakt om zijn Windows computer of ander WPS bekwaam apparaat in het netwerk op te nemen.
Over het nut van WPS valt te discussiëren, want hoe moeilijk kan het zijn om een WPA sleutel in een veldje in te voeren?
Echter eind 2011 kwam een groot beveiligingsgat in de WPS techniek aan het licht.
In een notendop komt het er op neer dat WPS werkt met een 8 cijferige PIN code die in maximaal 11000 keer te raden is.
Dus als je er de tijd voor neemt om alle codes een voor een te proberen dan kun je zo de WPA code van het draadloze netwerk aflezen.
Met een speciaal daarvoor geschreven programma is dat in gemiddeld 6 uur volautomatisch te doen.
En zodra je de WPA code hebt kun je natuurlijk zo op het betreffende draadloze netwerk inloggen.
Echter eind 2011 kwam een groot beveiligingsgat in de WPS techniek aan het licht.
In een notendop komt het er op neer dat WPS werkt met een 8 cijferige PIN code die in maximaal 11000 keer te raden is.
Dus als je er de tijd voor neemt om alle codes een voor een te proberen dan kun je zo de WPA code van het draadloze netwerk aflezen.
Met een speciaal daarvoor geschreven programma is dat in gemiddeld 6 uur volautomatisch te doen.
En zodra je de WPA code hebt kun je natuurlijk zo op het betreffende draadloze netwerk inloggen.
Ik zal het principe even in Jip en Janneke taal uitleggen:
Stel, je hebt een hele moeilijk na te maken sleutel van een hele dure kluis.
Die kluis is echt onkraakbaar en is alleen met die hele speciale sleutel te openen.
Nu koop je in de speelgoedwinkel een plastic kluisje met een cijferslot erop en legt die hele speciale sleutel in dat kluisje.
Een inbreker hoeft alleen maar even alle mogelijke cijfercombinaties te proberen en hij heeft jouw hele speciale sleutel al te pakken.
Dit is eigenlijk precies wat WPS met je WPA sleutel doet.
Mijn advies is dan ook om WPS in je router of access point uit te schakelen. Helaas bestaan er ook routers waarbij dat niet eens mogelijk is. De enige manier om je dan nog veilig te voelen op je eigen netwerk is door een andere router aan te schaffen.
Heb je geen zin om een ander modem of router te kopen, verander dan regelmatig je WPA sleutel EN je WPS PIN code! Als je buurman namelijk eenmaal je WPS PIN code weet kun je de WPA sleutel veranderen wat je wil, hij kan hem elk moment opnieuw uitlezen, dankzij WPS.
De gemakkelijkste manier om een WPS code te kraken is een iso bestand te downloaden van Kali Linux, voorheen Backtrack Linux.
Dit is een bekende zo genaamde pentest distributie die normaal gebruikt wordt door IT mensen om de veiligheid van hun systemen mee te controleren.
Het programma wat je nodig hebt om WPS codes te kraken heet reaver.
Je kunt op Google vele recepten vinden hoe je met reaver WPS codes kunt kraken.
Daarom ga ik dat hier niet verder herhalen.
Verander De Standaard Instellingen
We zagen net al dat er bij diverse modems een vaste relatie bestaat tussen de netwerknaam en de WPA sleutel. Andere merken gebruiken misschien ook een vaste relatie tussen die twee, maar daarvan is dat nog niet publiekelijk bekend. Maar als dat eenmaal bekend gemaakt, ben je al snel de sigaar.
Daarom is het belangrijk om de netwerknaam en de WPA code zelf te veranderen.
Voor de netwerknaam mag je kiezen wat je wil.
Het enige waar je op moet letten is dat de naam die je kiest nog niet bij jouw in de buurt gebruikt wordt.
En ik zou je ook af willen raden om je eigen naam te gebruiken.
Niemand hoeft te weten achter welke deur het netwerk verstopt zit.
Over het kiezen van een geschikte WPA sleutel hebben we het al gehad.
Gewoon hoe langer hoe beter.
Maar je hoeft het ook niet te overdrijven.
De meeste apparaten hanteren een maximum lengte van zo'n 64 tekens, langer heeft dus geen zin.
En zeg nou zelf, welke WPA code kun je gemakkelijker onthouden?
"Mijn-WPA-code-is-supergehiem", of de standaard code die je van je provider gekregen hebt?
Er is nog een andere reden om je netwerknaam te wijzigen.
De standaard netwerknaam verraadt namelijk welke apparatuur je gebruikt.
En als de hacker dat weet is hij al half binnen.
Hij weet dan alles over de bekende zwakheden van die apparaten, en hij weet de standaard wachtwoorden al.
Geef de hacker daarom zo min mogelijk informatie en wijzig je netwerknaam.
Over wachtwoorden gesproken. Wijzig ook het wachtwoord van je router.... uhm al je netwerk apparatuur. Stel dat iemand toch inbreekt op je netwerk, en je hebt je wachtwoord nooit gewijzigd. Dan kan de onverlaat zo maar je wachtwoord wijzigen zodat jij niet meer op je eigen spullen kunt inloggen. OK, je kunt de zaak een harde reset geven, waarmee alle instellingen verloren gaan. Maar het is simpeler om van begin af aan je eigen wachtwoorden op je apparatuur in te stellen.
Schakel UPnP Uit!
UPnP staat voor Universal Plug and Play, oftewel stekker er in en spelen maar.
Ideaal voor de leek.
Je koopt een printer, een NAS of een TV, je hangt het ding aan je netwerk en hopla, als bij toverslag werkt alles.
Ja leuk.
Maar zo kan ook een malafide programma op je PC de voordeur wagenwijd open zetten zonder dat je dat merkt.
Of je NAS hangt, zonder dat je het zelf in de gaten hebt, aan het internet.
En dat met de standaard wachtwoorden, je bent immers niet voor niets een leek.
Dus de hele wereld kan bij je vertrouwelijke bestanden.
De hele wereld kan je bestanden wissen of vervangen door ongewenste troep, zoals virussen of andere schadelijke rommel.
UPnP staat voor Universal Plug and Play, oftewel stekker er in en spelen maar.
Ideaal voor de leek.
Je koopt een printer, een NAS of een TV, je hangt het ding aan je netwerk en hopla, als bij toverslag werkt alles.
Dat wil je niet. Mijn advies is daarom ook UPnP uit te schakelen. Iets kan maar beter niet werken omdat je niet weet hoe het moet, dan dat het vanzelf wel werkt terwijl je niet weet dat je de deur voor iedereen open laat staan.
Let vooral op met entertainment apparaten zoals TV's en media players.
Van Samsung Smart TV's is bijvoorbeeld bekend dat ze poorten naar het internet open zetten, terwijl de service die achter die poorten draait beveilingingslekken heeft.
Lekken in PC software worden doorgaans actief gedicht.
Je kunt er echter van uitgaan dat lekken in TV software zelden of nooit gedicht worden.
En dat geldt natuurlijk voor meerdere multimedia apparatuur.
Hackers zouden zo maar de camera van je TV aan kunnen zetten en je bespieden als je lekker met je benen op tafel TV ligt te kijken.
De enige manier om je hier tegen te wapenen is UPnP gewoon helemaal uit te schakelen. En dan handmatig alleen die poorten open zetten die echt noodzakelijk zijn en waarvan je redelijkerwijs kunt aannemen dat de service die er achter draait ook veilig is en veilig gehouden wordt.
Vergeefse Moeite
Sommige mensen denken hackers buiten te kunnen houden door de naam van hun draadloze netwerk verborgen te maken, of door het toepassen van MAC adres filtering.
Of ze schakelen de DHCP server uit, zodat een vreemde computer geen netwerkinstellingen ontvangt.
Maar helaas, dit houdt een hacker misschien maximaal 5 minuten langer buiten de deur.
Je kunt je daarom af vragen of het ongemak wat je er zelf mee hebt opweegt tegen deze schijnveiligheid.
Want als je bijvoorbeeld MAC filtering gebruikt moet je, elke keer als je een nieuw apparaat op je netwerk toelaat, handmatig het MAC adres van dat apparaat aan het filter gaan toevoegen.
Het is veel verstandiger om een goed sluitende voordeur te nemen dan deze minimaal effectieve foefjes toe te passen.
Gast Netwerk
Een modern access point heeft tegenwoordig de mogelijkheid om een gastnetwerk op te zetten.
Dat is een tweede draadloos netwerk, wat gescheiden is van je privé netwerk.
Zo'n gast netwerk heeft dan zijn eigen beveiliging.
Stel daar dus een andere WPA sleutel in, die je gemakkelijk kunt onthouden.
Deze tweede WPA sleutel geef je dan aan gasten die je vertrouwt op jouw internet verbinding.
Die gasten kunnen dan wel het internet op, maar kunnen niet op jouw privé netwerk komen.
Door je gasten een aparte aansluiting te geven blijft je eigen netwerk veiliger.
Want stel dat je gast, zonder dat hij het zelf weet, met een virus rondloopt.
Je moet er toch niet aan denken wat voor ellende je daar mee in huis haalt.
Wifi-Sense
Tot slot wil ik nog even wijzen op Wifi-Sense, een nieuw feature waarmee Microsoft sinds de komst van Windows 10 iedereen zijn Wifi netwerk mee lek weet te prikken. Tenzij je erg op je hoede bent!