Alle Wifi Netwerken Zijn Lek!
Ja, echt waar, ook die van jou.
Lees dit verhaal maar eens en bepaal zelf of je eigen Wifi nog wel veilig is.
Persoonlijk ben ik al vele jaren verlost van het Microsoft juk en ben ik een trouwe Pinguïn volger geworden.
Ik vind het soms zelfs leuk om andere mensen te zien worstelen met hun veiligheid op hun eigen computer met Windows erop.
Met al zijn veiligheidsupdates die van overal vandaan gehaald moeten worden en je steeds lastig vallen met meldingen, popups en verplichte machine herstarts.
Virus scanners die je halve systeembronnen aan het opsnoepen zijn.
De computer die niet wil uitschakelen omdat hij nog 134 updates wil installeren.
Malware scanners die nog meer beslag leggen op je computer.
Rommel die mee geïnstalleerd wordt met software die je graag wilt hebben.
Echt hilarisch allemaal.
Daar heb je als Linux gebruiker allemaal weinig mee te maken.
Maar nu heeft Microsoft iets bedacht waar we allemaal last van gaan krijgen als we niet opletten, zelfs als je zelf Linux gebruikt.
De Boosdoener
Wifi-Sense heet het systeem wat voor grote veiligheidsproblemen gaat zorgen in de nabije toekomst.
Wat is Wifi-Sense eigenlijk? De bedoeling is simpel, het vereenvoudigt het verbinden van mobiele apparaten met Wifi netwerken. Wie wil dat nu niet? Bij open netwerken wordt onthouden wat je allemaal moet doen om verbinding te maken, zoals het accepteren van voorwaarden of het invoeren van je gebruikersnaam en wachtwoord bij voorbeeld. Deze informatie wordt zelfs gedeeld met je vrienden, zodat die ook vanzelf op het het netwerk kunnen, zonder eerst de algemene voorwaarden te hoeven accepteren bij voorbeeld.
Maar jammer genoeg kan Wifi-Sense nog meer. Stel je bent bij familie, vrienden of kennissen en je wilt daar gebruik maken van Wifi om op het internet te komen. Wifi-Sense logt je volautomatisch in. Zelfs zonder dat de eigenaar van het netwerk daar toestemming voor gegeven heeft, je hoeft niet eens om de WPA sleutel meer te vragen. Negen van de tien keer weet de eigenaar van een Wifi netwerk zijn eigen WPA sleutel toch niet eens en moet deze worden opzocht. Ja je leest het goed, je wordt automatisch met Wifi verbonden, zelfs zonder dat de eigenaar van het Wifi netwerk daar ook maar iets voor hoeft te doen. Geen gedoe meer met moeilijke WPA sleutels die je van je internet aanbieder gekregen hebt. Gewoon in de buurt komen van het Wifi netwerk is al voldoende om het internet op te kunnen.
Makkelijk toch?!
Ho Eens Even!
Maar niet met mijn netwerk! Ik bepaal altijd zelf nog wie ik toe laat tot mijn netwerk. Maar dankzij Wifi-Sense raak ik de controle over mijn eigen netwerk kwijt en moet ik nu zelf actie ondernemen om mezelf te beveiligen tegen apparaten die met Wifi-Sense zijn uitgerust.
En niet alleen ik moet daar voor opletten. Iedereen moet daar zeer voorzichtig mee worden, anders zorgt Microsoft er wel voor dat jouw netwerk wagenwijd open komt te liggen.
Hoe Werkt Het Eigenlijk?
Het principe is redelijk simpel.
Als ik me op mijn eigen Wifi netwerk aanmeldt met een Wifi-Sense apparaat dan wordt mijn WPA sleutel verstuurd naar Microsoft en in de USA ergens opgeslagen.
Wanneer nu een van mijn Outlook.com, Skype, of Facebook vrienden bij mij komt haalt zijn/haar Wifi-Sense apparaat volautomatisch mijn WPA sleutel van de Microsoft server op en geeft zichzelf daarmee toegang tot mijn Wifi netwerk.
Merk op, Outlook.com is de opvolger van Hotmail, Live mail en MSN. Dus ook alle Hotmail, Live mail en MSN vrienden doen automatisch mee.
Whatsapp is van Faceboook, maar of ook zij deel uit maken van de ongenode gastenlijst weet ik niet.
Het zou me niets verbazen.
Hoe het precies werkt weet ik niet, want ik zie hier een kip/ei probleem. Het kan zijn dat elk Wifi-Sense apparaat alle WPA sleutels van bevriende Wifi netwerken reeds heeft gedownload. Want hoe kunnen ze anders die informatie krijgen als ze nog geen toegang hebben tot het internet?
Maar dit is in ieder geval het principe.
Microsoft claimt dat de WPA sleutel encrypted wordt verstuurd en opgeslagen.
En dat de Wifi-Sense gast geen toegang heeft tot jouw netwerkbronnen.
Zo'n gast kan alleen maar naar het internet.
Je Wifi gasten weten dus je WPA sleutel niet en kunnen deze dus ook niet doorgeven aan hun vrienden.
Vooralsnog is het dus nog geen olievlek die zich ongecontroleerd verspreidt, nog niet.
Veiligheids Problemen
Maar ik zie toch een aantal grote veiligheidsrisico's:
- De WPA sleutels worden encrypted verstuurd volgens Microsoft. Maar dat wil niet zeggen dat ze encrypted blijven zodra ze op de Microsoft servers in de USA staan. De NSA heeft dus direct toegang tot mijn WPA sleutel. En niet alleen die van mij. Maar ook die van mijn werk. En aangezien Wifi-Sense alleen werkt als je locatie doorgegeven wordt, weten ze bij Microsoft dus ook precies waar ze moeten zijn om binnen het bereik van het betreffende Wifi netwerk te komen.
- Niet alleen jouw netwerk wordt gedeeld met al je vrienden, ook andere netwerken waar jij de WPA sleutel van in je computer hebt staan worden gedeeld. Dus ook netwerken van andere mensen die dus zelf geen zicht meer hebben op wie nu wel en wie geen toegang heeft tot hun eigen netwerk.
- De WPA sleutels worden automatisch op de Wifi-Sense apparaten van je gasten verwerkt. De gasten zelf krijgen deze WPA sleutels dus niet te zien. Maar dit wil niet zeggen dat er in de toekomst niet een slimmerik komt die de encryptie kan kraken en aan de haal gaat met mijn WPA sleutel.
- Toekomstige virussen kunnen actief op zoek gaan naar WPA sleutels op de computer van een ex-gast van je. Het is dus niet alleen de gebruiker van een computer die jouw WPA sleutel te weten kan komen, maar ook compleet vreemden weten straks hoe ze bij jouw op je netwerk moeten komen. Je bent dus volledig de controle kwijt over je eigen netwerk.
- Het Wifi-Sense apparaat van mijn gast zit vrijwillig gevangen in een zelf opgerichte firewall zodat het geen toegang heeft tot mijn netwerkbronnen en dus alleen maar naar het internet kan.
Maar dat is een kwestie van tijd totdat er weer een slimmerik komt die die firewall kan afbreken zodat iedereen zomaar alles kan doen op MIJN netwerk.
Ook hier bestaat het gevaar dat toekomstige virussen op die manier mijn netwerk gaan scannen en infecteren. - Nu zijn alleen computers waarop je de WPA sleutel van je netwerk actief hebt ingetypt de enige verspreiders van jouw WPA sleutel. Wifi-Sense gasten en hun vrienden kennen jouw sleutel officieel niet en kunnen deze dus ook niet verder verspreiden onder hun vrienden. Maar ook hier is het wachten op iemand die de sleutels kan achterhalen en op nog grotere schaal kan gaan misbruiken.
- Stel, de buren hebben een Ziggo modem met een Wifi bereik van ruim 1.5 meter.
En ik heb toevallig wel geïnvesteerd in een fatsoenlijke Wifi access point en heb dus overal in huis uitstekend signaal.
De kids van de buren zitten boven te internetten, op mijn netwerk natuurlijk, want dat is het enige netwerk wat binnen bereik is.
En omdat ik de buren op Facebook in de gaten wil houden kunnen die kids fijn via mijn netwerk hun illegale filmpjes downloaden.
Je moet ook niet kwaad worden op die kids, want ze weten waarschijnlijk niet eens dat ze op jouw netwerk zitten. Hun computer doet dat gewoon uit zichzelf. Het enige wat ze wellicht opmerken is dat ze ineens wel fatsoenlijk kunnen internetten. - Ik voorzie vooral problemen bij bedrijven in het MKB segment waarbij gasten op het netwerk toegelaten worden met bovenstaande lekken tot gevolg. Dit is bijna niet dicht te houden. Want het vereist veiligheidstechnisch inzicht van ALLE officiële gebruikers van je netwerk.
Wifi-Sense Apparatuur
Wat zijn eigenlijk Wifi-Sense apparaten? Gelukkig zijn Windows phones een flop geworden. Er is dus nog maar een kleine kans dat je die in het wild tegenkomt. Maar als een van je vrienden nog zo'n ding heeft zou die wel eens zo op je netwerk kunnen zitten. En dan zijn er natuurlijk de Windows 10 en Windows 11 computers. Nog een geluk dat die dingen niet zo vaak mee op en neer gesjouwd worden.
Tegenmaatregelen
Wat kan ik doen om mezelf te beveiligen tegen deze ongein?
- Je kunt je SSID (de naam van je Wifi netwerk) wijzigen en de tekst _optout toevoegen aan het einde van de naam. De Wifi-Sense apparaten beloven dan niet automatisch in te loggen. En Microsoft zal dan echt jouw WPA sleutel niet op hun server opslaan. Ja, ja, als je dat gelooft kunnen ze je alles wijsmaken.
- Nooit meer je WPA sleutel aan iemand afgeven. Want als je dat doet bij een Windows 10 gebruiker dan wordt hij/zij automatisch de verspreider van jouw WPA sleutel. Al zijn/haar vrienden kunnen dan bij jou komen internetten. Gezellig toch?!
- Een speciaal geïsoleerd gasten netwerk opzetten. Goede modem/routers kunnen dat. En dan regelmatig de WPA sleutel van het gasten netwerk wijzigen. Dan mag je die WPA sleutel met een gerust hart aan je Windows 10 gasten geven. Want via dat gasten netwerk kunnen ze toch al niet bij je netwerk bronnen komen, al zouden ze het willen. Maar houd de WPA sleutel van je privé netwerk dan wel goed geheim.
- Als alternatief voor een geïsoleerd gasten netwerk kun je een Raspberry Pi als TOR Wifi router inzetten. Dit is handig voor het geval jouw modem niet voorzien is van een gasten netwerk. Als bonus kan door je gasten illegaal gedownload materiaal nooit meer naar jouw netwerk herleid worden.
- Je kunt een tweede Wifi access point gebruiken voor je gasten en dat access point alleen maar aan zetten wanneer er bekende en vertrouwde gasten zijn.
- Bij alle Windows 10 machines die je zelf in huis hebt en die via Wifi aan je netwerk hangen de optie uitschakelen om de WPA sleutels te delen met je Outlook.com, Skype en Facebook vrienden. In de hoop natuurlijk dat Microsoft dan ook werkelijk je WPA sleutel niet stiekem toch opslaat.
- Let op dat Microsoft zich niet persé genoodzaakt hoeft te voelen om informatie die ze reeds van je hebben te wissen wanneer je achteraf pas bovenstaande opties uitschakelt.
- Je eigen Windows 10 machines niet aanmelden op een Microsoft account. Ook hier geldt dat ik geen garantie kan geven of Microsoft niet stiekem toch je WPA sleutel opslaat, ook al is het dan niet gekoppeld aan jouw account.
- Regelmatig je WPA sleutel wijzigen. Ik weet het, het is lastig om alle aangesloten apparaten opnieuw te moeten instellen. Maar dit is de enige manier om je echt goed te wapenen tegen oneigenlijk gebruik van je Wifi netwerk als je af en toe niet kunt voorkomen dat een Windows 10 machine inlogt op je netwerk.
- Stel zelf de WPA sleutel in op de computers van je kinderen zodat zij die sleutel zelf niet te weten komen. Op die manier kunnen ze de code niet doorgeven aan hun vriendjes. Je weet hoe naïef ze soms kunnen zijn.
- Stoppen met andere mensen in de gaten te willen houden via Facebook. Dat scheelt al een hele boel potentiële ongenode gasten. Maar ja, Zij Die Gehoorzaamd Moet Worden vindt Facebook te leuk om er mee te stoppen, zucht.....
Nooit meer je WPA sleutel aan iemand afgeven.
Want als je dat doet bij een Windows 10 gebruiker dan wordt hij/zij automatisch de verspreider van jouw WPA sleutel.
Al zijn/haar vrienden kunnen dan bij jou komen internetten.
Gezellig toch?!Nu was ik al heel voorzichtig met gast computers die ik af en toe mag ontdoen van allerhande rommel. Die kwamen toch al niet op mijn privé netwerk, of dat nu via Wifi of via een kabeltje is. Maar door de komst van Wifi-Sense is extra waakzaamheid geboden en moet je voortaan goed nadenken wat je wel en wat je niet toelaat op je netwerk. Een moment van onachtzaamheid en je WPA sleutel is bij iedereen bekend.
Oeps....
Ik heb een foutje gemaakt, ik heb even niet op zitten letten en nu vermoed ik dat iedereen mijn WPA sleutel heeft. Wat nu?
Simpel, wijzig je WPA sleutel op je netwerk en al je eigen apparaten en de oude sleutel is waardeloos geworden. Dit is echt de enige manier om er zeker van te zijn dat je geen ongenode Wifi-Sense gasten meer krijgt, totdat je die weer geeft aan de volgende Windows 10 gebruiker natuurlijk.
Maar Mag Het Eigenlijk Wel?
Strikt volgens de Nederlandse wet mag ik niet bij iemand, die zijn Wifi niet beveiligd heeft, voor zijn deur gaan staan internetten.
Dat zou digitale huisvredebreuk zijn.
En nu komt Microsoft met een geweldig idee en niemand maakt er zich ineens druk over.
Ik ben geen jurist, maar het zou leuk zijn om het eens uit te laten zoeken.
Straks blijkt iedereen met een Windows 10 machine ineens strafbaar te zijn, lachen!
Ik ben in ieder geval onschuldig, want ik gebruik Linux.
Kapot Volgens Ontwerp
Merk op dat Wifi-Sense niet per ongeluk je WPA sleutel lekt door een foutje in het ontwerp.
Wifi-Sense is simpelweg ontworpen om je WPA sleutel te lekken.
Het is gewoon een levensgevaarlijk feature.
Ik vraag me stellig af of er ooit een beveiligingsexpert naar het ontwerp van Wifi-Sense heeft gekeken.
Elke zichzelf respecterende beveiligingsexpert hoort zo'n systeem meteen van tafel te vegen.
Dit had nooit een feature mogen worden.
Kortom, ik vertrouw het voor geen meter. En we zijn er met z'n allen mooi klaar mee.