Ook draadloze netwerken Nederland slecht beveiligd

Op de site van het TV-programma Nova is een interesante reportage te vinden over het inbreken op draadloze netwerken. In deze reportage wordt door Chris Dee, een beveiligingsexpert, dataverkeer van van de gemeentebelastingen Rotterdam, de Daniël den Hoed kliniek en het ministerie van Sociale Zaken en Werkgelegenheid onderschept. De beveiligingsexpert testte zo'n honderd netwerken, waarvan tweederde niet goed beveiligd bleek te zijn.

Oorzaak bij de eerder genoemde voorbeelden bleek "een professioneel aangelegd netwerk zonder professionele beveiliging", of een netwerkje dat door een klein groepje medewerkers is aangelegd. Daarnaast blijken meerdere bedrijven niet eens encryptie te gebruiken. Een draadloos netwerk is van zichzelf al kwetsbaarder, omdat de ruwe data als draadloze signalen ook buiten het gebouw, zonder een fysieke aansluiting op het netwerk, te verkrijgen zijn.

Opvallend is dat de meeste bedrijven blijkbaar weinig aandacht schenken aan de beveiliging van hun netwerk, ondanks dat er eerder dit jaar al verschillende keren de conclusie werd getrokken dat het slecht gesteld is met de beveiliging van de meeste draadloze netwerken. Dit was de mensen van WebWereld ook opgevallen:

Begin februari stelden onderzoekers van University of California at Berkeley al dat draadloze LAN-netwerken vol met veiligheidslekken zitten. In augustus kwam een ander onderzoeksteam min of meer tot eenzelfde conclusie. Een veel gebruikte encryptiemethode zou gemakkelijk te omzeilen te zijn. Dee stelt in Nova echter dat sommige bedrijven überhaupt geen encryptie gebruiken. Als voorbeelden noemt Nova de redactie van de Telegraaf en 'één van Nederlands meest prominente advocatenkantoren'.

Nadat deze resultaten bekend gemaakt werden aan de betreffende bedrijven, is gelijk een aantal draadloze netwerken uit de lucht gehaald. Bij de den Hoed kliniek was zelfs sprake van een netwerkje dat zonder medeweten van de directie of systeembeheer was aangelegd.

Bedankt voor de tip Negotiator!

Lees meer

IT-banen

Reacties (56)

FMFREAK 5 oktober 2001 09:36

Wat ik even niet snap is als iemand dit thuis doet en de systeembeheerders een mailtje stuurt dat er een lek is, wordt hij een Hacker genoemd.
Als iemand naar NOVA stapt en aan heel Nederland laat zien dat de beveiliging brak is, is het ineens een beveiligingsexpert.... Dat is toch krom....

ThE_ED @FMFREAK • 5 oktober 2001 10:29

Tsja...
Maar volgens mij werd Rop Gonggrijp, welke ook in de uitzending te zien was, ook gewoon hacker genoemd vroeger. Nu stond er 'hack expert' geloof ik.

Verwijderd @ThE_ED • 5 oktober 2001 20:30

Klopt, maar er had moeten staan:

Mediageile hack pervert

Roelant 5 oktober 2001 00:08

Al moet je hier wel één kritische kanttekening bij plaatsen, dat het in deze gevallen niet zo zeer aan de veiligheid van de draadloze netwerktechnologie ligt, als wel de manier waar er mee wordt omgesprongen. Bij alle 'schrijnende' gevallen was het draadloze netwerk unencrypted of slecht beveiligd.

Als je je firewall niet goed afstelt en mensen bij je binnen kunnen komen, dan is 'ie ook niet veilig, maar dan licht dat niet aan de door de firewall gebruikte techniek.

Om een goed beveiligd netwerk binnen te dringen heb je meer nodig dan een laptop, WiFi-kaartje en een kant-en-klaar programmaatje wat op internet gevonden kan worden.

Verwijderd @Roelant • 5 oktober 2001 00:15

Vind ik van niet. De standaard protocollen die bij een draadloos netwerk worden gebruikt in een productie omgeving zouden standaard moeten zijn voorzien van beveiligingstechnieken.

Verwijderd 5 oktober 2001 00:15

Draadloos is dus echt niet onveiliger dan "normaal" -- het is alleen wat makkelijker erop binnen te komen.

We hebben toch allemaal wel eens een laptopje op het netwerk van de universiteit, of van de baas gezet? Gewoon een kwestie van de kabels omwisselen.

Het is erg vervelend dat dit weer wordt gepresenteerd als een nadeel van draadloze netwerken, beter is het, de nadruk te leggen op dat veel bedrijven het gewoon verzuimen om een goede beveiliging te installeren.

Beaves @Verwijderd • 5 oktober 2001 00:20

Draadloos is dus echt niet onveiliger dan "normaal" -- het is alleen wat makkelijker erop binnen te komen.

Het is niet onveiliger dan normaal maar het is toch makkelijker om binnen te komen? Wat klopt niet aan die zin

Als je je draadloze netwerk goed configureerd dan is er bijna niet in te komen.

Je kan bijvoorbeeld alleen de MAC adressen toelaten van laptops die binnen het bedrijf gebruikt worden, je kan encryptie gebruiken, je kan er voor zorgen dat er regelmatig van frequentie wordt gewisseld en je kan er natuurlijk voor zorgen dat niemand dicht genoeg bij het gebouw kan komen om de signalen te kunnen ontvangen.

Het is dus puur de onwetenheid en de luiheid van de meeste sysbeheerders dat het zo gemakkelijk gaat.

We hebben toch allemaal wel eens een laptopje op het netwerk van de universiteit, of van de baas gezet? Gewoon een kwestie van de kabels omwisselen.

En dan? Ik kan me niet voorstellen dat je op die manier op servers kan inloggen, dus je kan alleen maar een beetje rondkijken op zo'n netwerk.

Het is erg vervelend dat dit weer wordt gepresenteerd als een nadeel van draadloze netwerken, beter is het, de nadruk te leggen op dat veel bedrijven het gewoon verzuimen om een goede beveiliging te installeren.

Precies, en dat duurt weer een tijd voordat de gemiddelde systeem beheerder dat ook gaat begrijpen, kijk maar eens hoeveel IIS servers er nog steeds niet gepatched zijn.

Aetje @Beaves • 5 oktober 2001 15:07

Op de duurdere draadloze LAN adapters is de MAC instelbaar.. Dus de MAC als identificatie is niet voldoende veilig.

Vastloper @Beaves • 5 oktober 2001 00:51

Je vergeet wel iets natuurlijk je hebt het over inlogprocedures en alleen bepaalde mac adressen toelaten op servers maar daarbij ontgaat jouw dat je helemaal niet officieel hoeft in te loggen om vertrouwelijke data te bemachtigen. Besef wel dat alle informatie die naar een ingelogde vertrouwde pc gaat in het netwerk van bijvoorbeeld de directeur naar de server gewoon door de lucht gaat en _altijd_ is te ontvangen/afluisteren het maakt helemaal niks uit of jouw ontvanger geauthenticeerd is bij de server want je hoeft alleen mee te luisteren. Bij een kabelnetwerk moet je een fysieke verbinding maken met het netwerk en dan een sniffer erop loslaten voor hetzelfde resultaat mits je nog binnen hetzelfde segment zit natuurlijk. Dat is al 10x moeilijker dan gewoon een antenne plaatsen en domweg meeluisteren zeker als er nog enigszins beveiliging in het bedrijf aanwezig is en je geen toegang hebt tot het gebouw. Daarom is encryptie bij draadloze netwerken eigenlijk nog pure noodzaak terwijl het bij een utp netwerk vaak overbodige luxe is. Er komt gewoon een hoop meer kijken bij draadloze netwerken en al heb je nog zo'n mooie inlogprocedures en encrypted paswoorden dat is bij draadloze netwerken absoluut geen garantie voor veiligheid. Het is gewoon een vrij nieuwe techniek en niet alle systeembeheerders zijn bekend ermee en ook nog niet alle software/besturingssystemen hebben er volledig op ingespeeld.

Vastloper @Vastloper • 5 oktober 2001 20:13

Als je gaat quoten doe het dan goed ik zei namelijk:

terwijl het bij een utp netwerk vaak overbodige luxe is

Overigens wilde ik vooral duidelijk maken dat er behoorlijke verschillen zijn tussen draadloze netwerken en normale utp netwerken.

wimmi 5 oktober 2001 10:33

En daar zit je dan als systeembeheerder, je moet zo'n netwerk aanleggen, maar je hebt weinig resources, hebt zelf nauwelijks tijd om een goed plan op te stellen etc

Ehm, het lijkt me een deel van de taken van systeembeheer om de beveiliging en performance van een netwerk te bewaken.

Het opzetten van een WLAN zonder encryptie en firewall is dus gewoon 'je werk niet doen'.

In zo'n geval hoort systeembeheer te weigeren een dergelijk apparaat aan te sluiten, tenzij performance en beveiliging op een acceptabel niveau is gemaakt.
(PPTP is al een stuk betere beveiliging TOV het standaard encryptie protocol.).

ThE_ED @wimmi • 5 oktober 2001 11:33

Je kunt het wel aanleggen, maar dan moet je je management er wel goed van doordringen dat het dus niet veilig is en dat als ze het ondanks dat toch nu snel willen dat dat onder hun verantwoordelijkheid is.

fritz_2000 5 oktober 2001 13:09

Waarom heeft iedereen het toch over beveiliging en niet over het hoe?
De standaard (zelfs als je die junk van KPN koopt) is een static WEP (Wireless Encryption Protocol) key.
Dit is makkelijk te breken door de hiervoor al genoemde 'hacker-in-de-auto-voor-de-deur'.

Echter in hetzelfde doosje (of met een upgrade) is een dynamic WEP key te configureren waardoor de beveiliging veel moeilijker te breken is.
Dan is die man in de auto buiten al lang opgemerkt hoor !

Als iedereen die denkt hier verstand van te hebben nou eerst even alle documentatie doorleest en dan pas wat gaat roepen zou deze (en andere) threads heel wat korter worden

Verwijderd @fritz_2000 • 5 oktober 2001 14:42

Ook een betere optie is een VPN over die wireless LAN. Dus de firewall ertussen. Net als NASA dat gedaan heeft

Gewoon de LAN in feite als publiek als het internet beschouwen.

Beaves 5 oktober 2001 00:15

Bij de den Hoed kliniek was zelfs sprake van een netwerkje dat zonder medeweten van de directie of systeembeheer was aangelegd.

Dan mag je het woord "beheer" wel weg laten bij de systeem beheerders, als je al niet eens merkt dat er een netwerk is aangelegd mogen ze je van mij meteen ontslaan.

De meeste bedrijven gebruiken pc's met een intrusion alarm die afgaat wanneer de pc open gemaakt word waardoor je niet onopgemerkt de pc kan uitbreiden en steld de rechten van de pc zo in dat de gebruiker niets kan installeren zonder medeweten van de beheerder.

Als ze dat gedaan hadden, had zo'n draadloos netwerk nooit gekund.

Standeman @Beaves • 5 oktober 2001 08:16

Tja.. maar als dat netwerkje niet aan de rest hangt (dus er geen servers bijkomen), tja.. dan kan het wel even duren voordat je erachter bent. Staat er namelijk niet bij hoe lang dat netwerk al functioneert.

offtopic:
Tja.. en nix kunnen installeren zonder medeweten van de beheerder werkt volgens mij alleen maar vertragend. (tenzij je gebruikers alleen maar office gebruiken ofzo). Ik ben systeemontwikkelaar en ik moet er niet aan denken om elke keer naar systeembeheer te lopen en formuliertjes in te gaan vullen. Zal me een hoop tijd kosten dat ik beter voor iets anders kan gebruiken!

Rukapul @Standeman • 5 oktober 2001 19:24

Daarom hebben we in het bedrijf waar ik werk 2 netwerken: een productie netwerk voor office / mail / etc. en een R&D netwerk waarbij testsystemen en developmentsystemen staan.

Op het R&D staat dan geen gevoelige info. Beide netwerken staan achter verschillende firewalls en vanuit R&D kun je niet naar het productienetwerk, maar wel andersom. Het productie netwerk bestaat uit NT/2000 achter Firewall en Intrusion Detect Systemen etc.

Verwijderd @KMK • 5 oktober 2001 11:08

ja maar jij vergeet dat aan die anderekant van die upt soket waarschijnlijk nog niks hangt, omdat dat voor uitbreidingen is aangelecht, en er dus nog geen hub of switch achter hangt. dus daar gaat je mooie verhaaltje

jp @KMK • 5 oktober 2001 10:58

Hmm.... jij laat een accespoint van meer dan 1K gulden daar onbeheerd achter? Lijkt me ook niet de meest slimme manier om van je geld af te komen.

bertje @Beaves • 5 oktober 2001 08:06

volgens mij helpt intrusion alarm niet echt...je hebt namelijk ook externe kits..

Verwijderd @Beaves • 5 oktober 2001 20:26

Wat dacht je dan van een laptopje of PDA meenemen naar kantoor en die aansluiten op een werkende walloutlet (bijv die van je eigen PC).
Dat kan je wel (enigzins) voorkomen door alleen bepaalde MAC adressen toe te staan, maar de administratie daarvan is zo enorm dat het bijna nooit gebeurt.
Firewall en IDS worden over het algemeen alleen gebruikt om een "aanval" van buitenaf te voorkomen.

Dat is nou juist het gevaarlijkst: denken dat je "veilig" bent. Trust no one...

Aetje @Beaves • 5 oktober 2001 15:06

Erm... USB?

Verwijderd 5 oktober 2001 00:38

Leuk die draadloze netwerkjes. Vreemd dat sommige mensen nog steeds schijnen te denken dat draadloze netwerken net zo veilig te maken zijn als die met kabel.
Basisregel 1 in beveiliging: Zorg dat onbevoegden NOOIT toegang tot je fysieke netwerk hebben.
Een kabeltap in een gebouw maken is veel lastiger dan draadloos aftappen.
Bovendien draadloos verkeer is altijd wel te sniffen.
Zodra je dataverkeer te sniffen valt is het vroeger of later te kraken.

DennisBoom 5 oktober 2001 09:56

Draadloze netwerken zijn natuurlijk ontzettend handig en nuttig. Alleen worden ze te pas en te onpas aangelegd. Bedrijven willen voorop lopen in de techniek, want 'het is hip dus wij moeten het ook hebben'. Zonder fatsoenlijk na te denken over consequenties. Systeembeheerders spelen vaak maar een kleine rol in het besluitproces. Mannen in pakken verzinnen iets, het mag uiteraard niet te veel geld kosten en het moet snel af. En daar zit je dan als systeembeheerder, je moet zo'n netwerk aanleggen, maar je hebt weinig resources, hebt zelf nauwelijks tijd om een goed plan op te stellen etc. En dan krijg je dit soort zaken. De put wordt pas gedempt als het kalf verdronken is.

[off-topic]
Deze keer was het trouwens echt, want alle IP-adressen waren in ieder geval geldig (Remember The Net met octets groter dan 255

)
[/off-topic]

Bor Coördinator Frontpage Admins / FP Powermod 5 oktober 2001 11:18

..Vind ik van niet. De standaard protocollen die bij een draadloos netwerk worden gebruikt in een productie omgeving zouden standaard moeten zijn voorzien van beveiligingstechnieken.....

Daar komt nog eens bij dat de gebruikte encryptie ook niet echt sterk is te noemen. Op packetstorm staan al geruime tijd tools om deze te kraken. Het enige dat hier voor nodig is is het sniffer van ongeveer 1 Gieg aan dataverkeer. Lijkt me niet zo moeilijk in de auto met een laptop. Verder vraag ik me af in hoeverre het macadres op dit kaartjes te configureren is...

Bor Coördinator Frontpage Admins / FP Powermod 5 oktober 2001 12:12

En de link is hier:

http://airsnort.sourceforge.net/

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (56)

Sorteer op:

Weergave: