Door een beveiligingsissue bij WiFi-routers van Ziggo, zijn login-credentials van klanten die de publieke hotspots gebruiken te bemachtigen. Deze zijn vervolgens te gebruiken op alle Ziggo-hotspots.
Iedereen kan in theorie gebruikmaken van het WiFi-project van Ziggo vanwege het beveiligingsriscico dat Webwereld vanochtend meldde. Omdat certificaten niet worden gevalideerd, kan een valse server de wachtwoordhashes van klanten opvangen. En met een gekraakt wachtwoord, wat niet zo lastig is om te doen, is vervolgens in te loggen op andere Ziggo-hotpots van het openbare WiFi-netwerk voor Ziggo-klanten.
Onveilige verbinding
WiFi-hotspots Ziggo gebruiken geen certificaten om zich te authenticeren bij clients, terwijl deze nodig zijn zodat smartphones zeker weten dat ze communiceren met een legitieme Ziggo-hotspot. Volgens de provider levert het gebruik van CA’s gebruiksonvriendelijke situaties op - omdat klanten deze zouden moeten goedkeuren - en is daarom gekozen voor het gebruik van PEAP met MS-CHAP v2.
Deze methode wordt als onveilig gezien, omdat het niet ingewikkeld is om zelf een server op te zetten die zich voordoet als Ziggo-server. Diverse onderzoeken hebben aangetoond dat PEAP met MS-CHAP v2 zonder validatie van certificaten de beveiligde verbinding tussen client en server onveilig maakt. Overigens biedt ook deze optie geen garanties dat de verbinding onveilig is, maar het biedt een extra zekerheidslaag.
Publieke WiFi te kapen
Door het ontbreken van deze validatie is het mogelijk zelf een access point op te zetten waarop een valse RADIUS-server is geconfigureerd. “Op deze manier kan niet alleen al het verkeer doorgerouteerd worden, maar ook wachtwoordhashes zijn op te vangen”, vertelt security-specialist Oscar Koeroo. Zo kan iedereen met zo’n hotspot vervolgens inloggen bij de gratis WiFi-functionaliteit die Ziggo aan klanten beschikbaar stelt.
De provider kondigde in april aan de functionaliteit van de gratis hotspots na een succesvolle pilot in Groningen uit te breiden naar andere steden in Nederland. Het publieke WiFi-netwerk is een opt-in-systeem waarbij klanten hun router beschikbaar stellen voor andere klanten die op straat van het netwerk van Ziggo gebruik willen maken.
Door het SSID aan te passen naar Ziggo en een RADIUS-server op te zetten – een functionaliteit die tegenwoordig standaard mogelijk is in veel moderne routers, vertelt Koeroo – is zo verkeer op te vangen van Ziggo-klanten die gebruik maken van het publieke WiFi-netwerk.
Geen SSL meer
Ziggo noemt een certificatensysteem gebruiksonvriendelijk. “Bovendien is dat systeem ook niet waterdicht”, licht Ziggo-woordvoerder Erik van Doeselaar toe. Hij wijst op de Diginotar-affaire waarbij certificaten op straat kwamen te liggen. “Natuurlijk kijken we wel of het in de toekomst nodig is om certificaten te gebruiken.”
Koeroo vindt de argumentatie dat certificaten gebruiksonvriendelijk zijn belachelijk. “Met deze argumentatie kun je net zo goed geen https meer gebruiken, bijvoorbeeld voor veilig online-bankieren.”, zegt de securityspecialist. “Je kunt een certificaat dat Ziggo aanbiedt door de gebruiken laten accepteren en deze handelingen duidelijk uitschrijven. Dit proces kan je ook automatiseren middels provisioning. Of je neemt een betaalde CA die impliciet wordt vertrouwd.”
Het idee dat certificaten ook geen garantie bieden en daarom niet nodig zijn, vindt Koeroo een verkeerde inschatting van Ziggo. Het idee achter SSL is dat de server en client elkaar kunnen vertrouwen en dat ze van elkaar weten wie ze zijn. “Met deze redenatie kun je net zo goed kaal op internet gaan zonder SSL."