Door: Gerben de la Rambelje
Auteur: Fred Steenbergen ● suzefred@gmail.com ● https://www.facebook.com/fred.steenbergen
In de huidige digitale samenleving wil je altijd connected zijn met de wereld. Of je nu geniet van een welverdiende vakantie of aan het werk bent, je wilt altijd beschikken over een internetverbinding. Openbare Wi-Fi-toegang is overal beschikbaar, bijvoorbeeld in cafés, congrescentra en zelfs in het vliegtuig. Je maakt verbinding met ‘Free Wi-Fi’ of een vergelijkbare naam en je hebt toegang tot gratis internet. Wat je als gebruiker van deze zogenoemde ‘hotspots’ vaak niet realiseert, is dat deze verbinding door een hacker kan zijn opgezet. Deze hackers beschikken over de middelen, de vaardigheden en het geduld om de beperkte beveiligingsmaatregelen te omzeilen die sommige hotspoteigenaars hanteren. Als bijvoorbeeld geen codering wordt toegepast op de hotspot die u gebruikt, kan de hacker uw gegevens onderscheppen en alles lezen wat u hebt verzonden, of het nu om een persoonlijke e-mail gaat of de combinatie van een gebruikersnaam en wachtwoord. Het (tijdelijk) aannemen van een valse identiteit in een netwerk, zoals bijvoorbeeld een Wi-Fi hotspot, wordt ook wel ‘Network Spoofing’ genoemd.
Wat ik gedaan heb?
Ik ben op 15 januari jongstleden naar het NBC in Nieuwegein geweest om de ‘thema-avond Netwerk testen’ bij te wonen. Normaal bestaat een thema-avond vooral uit praten over mijn vakgebied, testen, maar deze avond was anders. Vanavond zijn we daadwerkelijk gaan testen. Dynamisch, Agile, Exploratory, individueel en in teamverband.
Het testobject? Het geheel vernieuwde Wi-Fi en glasvezelnetwerk
Volgens de eigenaar van het NBC is dat state-of-the-art en kan het alles aan! Aan ons de mooie taak om dat te beoordelen. Trek alles maar uit de kast, vanuit de door TestNet gehuurde zalen, of vanuit de andere ruimtes, probeer het netwerk maar plat te gooien!
Of dat gelukt is? Ja, dat is gelukt, meerdere collega’s hebben het netwerk meerdere keren platgegooid. De resultaten waren indrukwekkend genoeg om de uitdager aan het denken te zetten. Missie geslaagd.
Maar mijn missie ging nog een stapje verder. Toen ik hoorde dat alle TestNet-leden werden uitgenodigd om alle soorten mobiele telefoons en andere middelen mee te nemen om daarmee het netwerk plat te leggen, was dat voor mij ook een uitnodiging, maar dan voor een iets andere opdracht; hoe veilig werken de TestNet-leden?
Terwijl andere TestNet-leden bezig zijn met het maximaal belasten van het netwerk, start ik een paar programma’s op mijn laptop. Ik zet een nep-hotspot op met de naam ‘NBC2’, en daarvoor gebruik ik de Wi-Fi-toegang van het NBC. Al snel verschijnt de ‘Iphone van Chris’ op mijn scherm. En ‘Monique’ volgt al snel. Binnen een paar seconden zie ik 58 verschillende apparaten op mijn scherm, de apparaten van de TestNet-leden die op dat moment denken dat ze connected zijn via de Wi-Fi van het NBC. Kort daarna verschijnt er weer een telefoon in mijn lijst. ‘Frank’ maakt vanaf nu gebruik van mijn netwerk, in de veronderstelling gebruik te maken van het netwerk van het NBC. Op dat moment gaan de deuren van zijn telefoon open voor me. Eens even kijken met wie ik te maken heb. Frank blijkt een regelmatige bezoeker te zijn van Bol.com. Ik blader door de lijst van gekochte boeken. Daarnaast bestelt hij nog regelmatig cd’s. Het ziet er allemaal netjes en niet zo spannend uit.
Terwijl ik nog wat verder kijk, krijg ik een notificatie, ene ‘Jos’ blijkt zojuist, via mijn netwerk, ingelogd te hebben op zijn mail. Zijn naam en wachtwoord is afgevangen en staan nu tot mijn beschikking. Het is een kleine moeite om meer over hem te vinden. Google geeft al een hoop informatie, maar ik heb ook toegang tot zijn mail, daar kan ik nog veel meer informatie uithalen. Op de gok zoek ik even op Facebook en probeer in te loggen met hetzelfde wachtwoord. En het verbaast me eigenlijk al niet meer, ik kom er meteen in. Onvoorstelbaar hoeveel mensen steeds hetzelfde wachtwoord gebruiken. Het Twitter-account van Jos probeer ik ook meteen even op te starten, maar gek genoeg blijkt hij daar een ander wachtwoord te gebruiken. Ik geef bij Twitter aan dat ik mijn inloggegevens vergeten ben. Binnen een paar seconden ontvang ik in de mailbox van Jos, de mail waar hij zelf al niet meer bij kan, de nieuwe inloggegevens. Zal ik een Tweet sturen dat ‘ik’ bij een TestNet-bijeenkomst ben en dat ik het reuze naar mijn zin heb? Of zal ik Jos om laten roepen met de melding dat iemand zijn digid-account gevonden heeft en dat hij hem kan komen ophalen bij de informatiebalie…
Een gewaarschuwd mens telt voor twee
Gratis Wi-Fi, je ziet het steeds meer, zoals bij Albert Heijn of McDonald’s. Maar kennen we de gevaren daarvan wel? De tijd dat criminelen phishing-mails stuurden met de vraag je wachtwoord in te tikken ligt achter ons, nieuwe gevaren liggen op de loer, gevaren die verder gaan dan een leeg getrokken bankrekening …
NieuwsMagazine