Trusted Wireless Environment streeft standaard voor wifi-security na

De huidige aanpak rond wifi-security werkt niet. Dat is de stellige overtuiging van Ryan Orsi. Hij is director of product management bij WatchGuard. “Wat hebben we aan een beveiligingsmethode als WPA2 als ik met een eenvoudige pentester in vrijwel ieder ‘beveiligd’ draadloos netwerk binnen kan komen?”, vroeg hij zich retorisch af tijdens een bezoek aan Nederland. Het wordt tijd dat we wifi-security serieus gaan nemen, meent hij. Daarom is Orsi gestart met een project dat luistert naar de naam ‘Trusted Wireless Environment’, een poging om samen met alle relevante spelers in de wifi-wereld tot een serieuze standaard voor wifi-security te komen.

“De wifi-industrie heeft veel te lang voorrang gegeven aan prestaties boven veiligheid”, stelt Orsi. “Het is tijd om de status quo te veranderen. Want al jaren maken cybercriminelen gebruik van de gaten in de wifi-beveiliging om geld en gegevens te stelen van zowel bedrijven als consumenten.”

Kinderlijk eenvoudig

Hoe zij dat doen is vaak kinderlijk eenvoudig, meent Orsi. Ten eerste zijn er op de markt volstrekt legale apparaten als pentesters te koop. Daarmee kan iedereen een serieuze poging doen om een draadloos netwerk binnen te komen. “Ook in dit hotel lukte dat, net als in vrijwel ieder andere wifi-omgeving die ik test”, vertelt Orsi tijdens zijn bezoek aan ons land. “Terwijl ook hier weer het wifi-netwerk zogenaamd beveiligd is.”

Ryan Orsi van WatchGuard: “Het blijkt niet mee te vallen om de industrie hierin mee te krijgen.”

Wellicht nog erger zijn rogue access points. Hierbij wordt gebruikgemaakt van een aanpak die ook wel ‘evil twin attack’ wordt genoemd en die vooral in openbare ruimtes populair is bij cyber­criminelen. Het gaat om access points die in alle opzichten lijken op officiële wifi-basisstations, terwijl zij dit niet zijn. Met name op stations en vliegvelden komen we deze veel tegen. Doordat veel gebruikers denken dat het om een officieel netwerk gaat, vertrou­wen zij erop dat deze wifi-netwerken goed beveiligd zijn. Vaak gaat het echter om een access point dat door criminelen is opgezet, met als doel malware op de aangesloten apparaten te plaatsen en zo inloggegevens en andere waardevolle informatie te stelen. Maar ook het vertrouwen dat mensen hebben in zogenaamd wel goed beveiligde draad­loze netwerken klopt dus niet, meent Orsi. Zoals zijn pentester-voorbeeld wel laat zien.

Beweging

Hier moet iets aan gebeuren, vindt hij. Maar het blijkt niet mee te vallen om de industrie hierin mee te krijgen. Of dat een kwestie van commerciële belangen is of andere prioriteiten, durft Orsi niet te zeggen. Feit is in ieder geval wel dat hij nauwelijks fabrikanten tegenkomt die roadmaps hebben opgesteld waarin het verder verbeteren van wifi-security een prioriteit is. “Terwijl dit voor de afnemers - zowel bedrijven, overheden als consumenten - uitermate belangrijk is.”

Daarom is Orsi op het idee gekomen om - zeg maar - het publiek te mobiliseren. Dat doet hij via de zogeheten Trusted Wireless Environment Movement. Dit moet letterlijk uitgroeien tot een beweging die de fabrikanten prikkelt of zelfs onder druk zet om security serieus te gaan nemen. Wie dit thema belangrijk vindt, kan dit laten weten via de website https://www.watchguard.com/wgrd-solutions/join-the-movement.

Nieuwe standaard

Doel van Orsi is om te komen tot een standaard op het gebied van wifi-security. Die standaard beschrijft wat hem betreft waaraan apparatuur moet voldoen als het gaat om beveiliging tegen wifi-dreigingen. Dat geldt voor zowel netwerk hardware zoals access points en routers, als voor de apparatuur die via het wifi-netwerk contact legt. Denk aan tv’s, laptops, smartphones, beveiligingscamera’s, koelkasten en domotica.

Volgens Orsi is de opvolger van de huidige Wifi 6-standaard (IEEE 802.11ax) een prima kans om veiligheid een prominente plek te geven. “Ik ben blij als we in Wifi 7 echte security hebben ingebakken”, zegt hij. Daarnaast moeten ook niet-technische gebruikers veilige wifi-netwerken volgens hem direct gemakkelijk kunnen herkennen. “Bijvoorbeeld met eenvoudige iconen.”

WPA3 geen goed antwoord

In de loop van dit jaar komen producten op de markt die WPA3 ondersteunen, een nieuwe standaard voor de versleuteling van draadloos netwerk­verkeer. Deze standaard is een goede ontwikkeling, maar volgens Orsi beslist geen ultieme oplossing.

Zo biedt WPA3 volgens Orsi standaard geen weerstand tegen een evil twin-aanval. Daarbij zetten aanvallers een wifi-netwerk op met een naam die sterk lijkt op die van het originele wifi-netwerk. Zo verleiden ze gebruikers met dat netwerk contact te leggen. Eenmaal verbonden kunnen de aanvallers het netwerkverkeer eenvoudig onder­scheppen en op die manier bijvoorbeeld wachtwoorden en creditcardgegevens achterhalen. WPA3 biedt daar geen enkele bescherming tegen.

WatchGuard heeft inmiddels zelf het voortouw genomen en een raamwerk ontwikkeld voor veilige wifi-netwerken: het Trusted Wireless Environment-framework. Dit framework biedt bescherming tegen wat Orsi de 6 belangrijkste wifi-bedreigingen noemt: rogue AP’s, evil twin AP’s, neighbour AP’s, rogue clients, ad-hoc networks en verkeerd geconfigureerde AP’s.