Hoe een wifi-ananas al je data kan stelen (en wat jij hiertegen kunt doen)

Hoe een wifi-ananas al je data kan stelen (en wat jij hiertegen kunt doen)

En we leren je ook hoe je zelf kunt hacken met dat ding.
29 november 2017, 12:13pm

Het nieuwe seizoen van CYBERWAR laat zien hoe online oorlog, offline net zo verwoestend is. Dit is geen science fiction, maar keiharde realiteit. CYBERWAR gaat langs bij hackende drugskartels, onderzoekt CIA-dodenlijsten en legt overheidsspionage bloot. KLIK HIER VOOR MEER INFO OVER CYBERWAR en kijk elke vrijdagavond om 21.00 uur naar VICELAND voor een nieuwe aflevering.

In de populaire media worden hackers vaak afgeschilderd als een elitegroep van capuchondragende computerexperts die ieder digitaal apparaat kunnen kraken door als een bezetene op een toetsenbord te rammen. Maar wat als ik je zou vertellen dat ook jij bijna ieder apparaat om je heen dat met het internet verbonden is kunt overnemen, ook als je het verschil tussen SSL en SSID niet weet?

Ja, vriend, het apparaat dat je zoekt is een Wi-Fi Pineapple, waarmee iedere noob een hacker kan worden voor het zachte prijsje van maar $99. Aangezien dit ding zo goedkoop en makkelijk te gebruiken is, is het belangrijk om te snappen hoe de Pineapple werkt zodat je jezelf tegen aanvallen kunt beschermen.

De Pineapple is een gaaf apparaatje dat voor het eerst in 2008 werd uitgegeven door Hak5, een bedrijf dat tools ontwikkelt voor penetratietesters, of “pentesters.” Pentesters worden meestal ingehuurd door organisaties om hun eigen netwerken aan te vallen om kwetsbaarheden bloot te stellen voordat die worden ontdekt door mensen met kwaad in de zin (al dan niet met skibril of masker van Guy Fawkes). Met de Pineapple kunnen pentesters heel makkelijk geavanceerde aanvallen uitvoeren op openbare wifi-netwerken om te zien waar die aanvallen toe leiden en hoe je het netwerk kunt beschermen tegen die aanvallen.

Pineapples verschillen niet zoveel van de normale wifi-toegangspunten die je gebruikt om thuis of op je werk verbinding te maken met het internet – ze zijn alleen krachtiger. Ze gebruiken meerdere radio’s in plaats van een enkele radio zoals je in de meeste routers vindt. Dat betekent dat de Pineapple met honderden verschillende apparaten tegelijk kan communiceren, in plaats van maar enkele tientallen. Verder is het van de Pineapple geoptimaliseerd voor het uitvoeren van ingewikkelde netwerkaanvallen.

“Toen ik de Wi-Fi Pineapple uitvond, zag ik dat wifi inherente zwaktes had die het kwetsbaar maakten voor spoofingaanvallen,” zei Darren Kitchen, de oprichter van Hak5. Een spoofingaanval is wanneer een hacker een dienst of apparaat nadoet om toegang te krijgen tot de data van een slachtoffer.

“Veel schimmige types hadden al gebruik gemaakt van deze zwakke plekken, maar de meerderheid van de mensen is zich niet bewust van dit probleem,” voegde Kitchen toe. “Ik dacht dat als infosec-mensen toegang hadden tot een apparaat dat deze zwaktes makkelijk uit kon buiten, het de bewustwording zou vergroten en ervoor zou zorgen dat dingen verbeterd zouden worden.”

Hoewel de Pineapple altijd een zekere cultstatus heeft genoten in hackerskringen, werd het de laatste tijd veel bekender door de series Silicon Valley en Mr. Robot.

In deze shows werd het apparaat gebruikt om respectievelijk een website te spoofen en om een man-in-the-middle-hack uit te voeren bij de FBI. Volgens Kitchen, die technisch adviseur was bij Silicon Valley, ligt de fictionele afbeelding van de Pineapple in deze shows niet ver van de waarheid.

De Pineapple is van onschatbare waarde voor pentesters, maar het apparaat heeft zijn populariteit ook deels te danken aan dat het voor wat meer schimmige doeleinden gebruikt kan worden. Hackers kunnen het apparaat makkelijk gebruiken om gevoelige persoonlijke informatie van nietsvermoedende gebruikers van openbare netwerken te verzamelen.

Het is belangrijk om te onthouden dat alleen omdat je alles met een Pineapple digitaal kunt ownen, dat niet betekent dat je dat ook moet doen. Het bezitten van een Pineapple is legaal, maar geld opnemen van een bankrekening nadat je iemands onversleutelde wachtwoord hebt gestolen, is dat niet. De Pineapple maakt het alleen makkelijker om van die onversleutelde wachtwoorden die via wifi worden verstuurd uit de lucht te plukken. Ik ben geen advocaat, maar over het algemeen is het geen goed idee om zonder expliciete toestemming van de eigenaar een Pineapple op een netwerk te gebruiken.

Dus nog een keer voor de duidelijkheid: het kan zijn dat je illegaal bezig bent als je de Pineapple gebruikt op een netwerk wat je niet als pentester aan het onderzoeken bent. Zelfs als je niet wordt betrapt, ben je nog steeds een klootzak als je dat doet. Dus doe het maar gewoon niet.

Deze gids is een informatief kijkje in de wereld van het pentesten van netwerken en ook als reminder voor het belang van goede beveiliging. Nadat ik je een paar manieren heb laten zien waarop de Pineapple jou digitaal kan pownen, laat ik je ook een paar simpele stappen zien waarmee jij ervoor kunt zorgen dat je nooit doelwit wordt van een Pineapple-aanval.

Hak5 maakt een paar verschillende versies van de Pineapple. Voor dit artikel heb ik de goedkoopste variant gebruikt, die ik op de DEF CON-hackconferentie heb gekocht voor het schrijven van dit artikel. Ik heb de Pineapple Nano geconfigureerd op een Windows-computer, maar hij werkt ook met iOS en Linux.

De eerste installatie is een eitje. Je hoeft het ding alleen maar in de USB-poort van je computer te pluggen, te navigeren naar het IP-adres van de Pineapple en dan gaat de rest vanzelf. Nadat je je inloginformatie hebt geüpdatet voor de Pineapple, ben je klaar om wat exploits te proberen.

EXPLOIT #1: WALL OF SHEEP

Ieder jaar host het Packet Hacking Village op DEF CON, een van de grootste hackconferenties ter wereld, de Wall of Sheep. Dit is eigenlijk een soort doorlopende lijst met apparaten die zich hebben verbonden met een onveilig netwerk op DEF CON. De lijst wordt meestal weergegeven op een groot projectiescherm, waar iedereen niet alleen de ID van het apparaat kan zien, maar ook de websites die het probeert te bereiken en andere belangrijke persoonskenmerken.

Het is een luchtige manier om mensen te shamen om beter met hun eigen informatie om te gaan, en ook jij kunt makkelijk je eigen Wall of Sheep maken met een Pineapple.

Al deze exploits voor de Pineapple zijn gratis verkrijgbaar als downloadbare modules op het dashboard van de Pineapple. Er is meestal niet meer dan een enkele klik nodig om ze te downloaden en op het apparaat te installeren. Als je eenmaal de Wall of Sheep-module (genaamd ‘DWall’) hebt geïnstalleerd op je Pineapple, zendt elk apparaat dat zich ermee verbindt in feite hun internetverkeer naar jou toe.

De uitzondering hierop is natuurlijk als het slachtoffer in spe een Virtual Private Network (VPN) gebruikt om hun webverkeer te versleutelen of alleen pagina’s bezoekt die zijn beveiligd met een Secure Hypertext Transfer Protocol (HTTPS). Dit protocol versleutelt de data die heen en weer wordt verstuurd tussen de servers van een website en jouw apparaat. Daardoor kunnen afluisteraars in feite niet zien welke websites je bezoekt. HTTPS helpt ook om je webgewoontes af te schermen van je internetprovider, die alleen het bovenste domein van zijn gebruikers kan zien (bijvoorbeeld, dat je Motherboard bezocht hebt, maar niet dat je op dit artikel hebt geklikt).

Hoewel inmiddels meer dan de helft van het complete web is overgegaan naar HTTPS, bleek uit een enquête van Google dat bijna 80 procent van de top 100 websites niet standaard HTTPS gebruikt. Dat betekent dat iedereen die zich onverhoopt met een Pineapple verbindt en dan naar een HTTP-versie van een site gaat, eigenlijk al zijn of haar activiteit op die site openbaar maakt. Bezochte pagina’s, zoektermen, alles is in te zien voor iemand met een Pineapple.

Veel websites hebben zowel een HTTP- als een HTTPS-versie, wat zoals we zo zullen zien, een veiligheidsrisico is dat je met een Pineapple makkelijk uit kunt buiten.

De originele Pineapple uit 2008. Foto: Darren Kitchen/Hak5

EXPLOIT #2: MAN-IN-THE-MIDDLE + EVIL PORTAL

Man-in-the-middle-aanvallen zijn de belangrijkste reden dat pentesters dit apparaat aanschaffen.

MITM-aanvallen zijn een manier om een gebruiker af te luisteren door een Pineapple tussen het apparaat van de gebruiker en het legitieme wifi-toegangspunt (niet letterlijk ertussen, maar in de zin van hoe de gegevens door het netwerk worden geleid) te plaatsen. De Pineapple doet dan alsof het een legitiem toegangspunt is zodat het alle informatie die verstuurd wordt kan zien.

Een andere manier om een MITM-aanval te zien is, als je een brief op de post doet, een vreemdeling die brief openmaakt en leest, en die brief daarna weer terug in de brievenbus doet om zodat de brief alsnog bij de originele ontvanger terecht komt.

Dus hoe maakt een Pineapple jouw apparaat wijs dat het een legitiem toegangspunt is? Er zit een functie op de Pineapple die scant naar service set identifiers (SSID) – de namen van wifi-netwerken die worden uitgezonden vanaf apparaten in de buurt.

Iedere keer dat je je telefoon of computer met een wifi-netwerk, slaat je apparaat het SSID van dat netwerk op, voor het geval je ooit nog een keer met dat netwerk wil verbinden. Maar dit gemak kent een grote prijs.

Laten we zeggen dat je verbinding maakt met een draadloos netwerk bij je favoriete koffietent, en het netwerk heet “Kopje_wifi”. Nadat je die plek verlaten hebt, begint je telefoon of laptop met het uitzenden van een signaal dat min of meer aan andere netwerken vraagt of ze “Kopje_wifi” zijn. Dit doet het voor ieder netwerk waar je ooit verbinding mee hebt gemaakt.

“Een snelle reality check is meestal het enige dat nodig is om te zien of iemand met een Pineapple je probeert te hacken”

Pineapples kunnen gebruik maken van deze functie door te zoeken naar alle SSID’s die worden uitgezonden door apparaten in de omgeving. Het zendt deze SSID’s dan opnieuw uit, zodat het telefoons en computers wijs kan maken dat het een toegangspunt is waar het in het verleden verbinding mee heeft gemaakt. Om het bovenstaande voorbeeld te gebruiken: de Pineapple kan zien dat jouw telefoon vraagt “Is dit netwerk ‘Kopje_wifi’?” en zendt dan een eigen signaal uit dat zegt “Ja, ik ben ‘Kopje_wifi’, maak verbinding met mij.”

Om het anders uit te leggen: het zou zijn alsof je op straat rondloopt met je huissleutels op zak en iedere voorbijganger vraagt of ze je huisgenoot zijn. In de meeste gevallen zeggen die mensen “Nee”, maar je loopt ook het risico dat je een kwaadwillende vreemdeling tegenkomt die liegt en zegt, “Ja, natuurlijk ben ik je huisgenoot. Laat me binnen,” en dan al je spullen jat.

Maar apparaten verbinding laten maken met een Pineapple is nog maar het halve werk van een MITM-aanval. Een aanvaller moet ook nog de gegevens die doorgesluisd worden kunnen lezen met de Pineapple. Er zijn een paar manieren om dat te doen.

Je kunt een Pineapple gebruiken om een “Evil Portal” te maken. Daarmee maak je feitelijk een nepversie van een website om gebruikersnamen, wachtwoorden, creditcardgegevens en andere gevoelige data te onderscheppen.

Dit doet de aanvaller door een lokale server te maken. Op die server wordt een webpagina gehost die eruit ziet als een normale inlogpagina voor een drukbezochte site, zoals Gmail of Facebook. Deze pagina’s zijn makkelijk na te maken met gratis online tools.

De aanvaller stelt z’n Pineapple dan zo in dat wanneer apparaten die ermee verbonden zijn naar een website als Gmail of Facebook willen gaan, ze automatisch worden doorgestuurd naar de neppagina op de computer van de aanvaller. Als het slachtoffer informatie invoert op deze pagina, krijgt de aanvaller de gebruikersnaam en het wachtwoord te zien zonder dat de gebruiker ook maar weet dat-ie te grazen is genomen.

Een andere manier om met een MITM-aanval informatie te verzamelen over iemands surfgedrag is door modules voor de Pineapple te gebruiken die geforceerde HTTPS-encryptie blokkeren en de data te lezen die anders veilig zou zijn geweest.

Neem bijvoorbeeld een website als Motherboard, die wel beveiligd is met HTTPS. Als je simpelweg “motherboard.vice.com” intikt in je browserbalk en op enter drukt, dien je een HTTP-verzoek in bij de servers van VICE. Die servers bekijken dat verzoek dan en reageren door jouw apparaat door te sturen naar een veilige HTTPS-versie van de site. Dit werkt hetzelfde bij veel grote websites, zoals Twitter.

Gebruikers naar een HTTPS-versie dwingen is een goede manier om de veiligheid van een website te verbeteren, maar het is dat HTTP-verzoek aan het begin die je met een Pineapple kunt uitbuiten. Een module genaamd SSLSplit kan HTTP-verzoeken vanaf een apparaat in de gaten houden als het verbonden is met een Pineapple. Het stuurt dit verzoek dan door naar de juiste server, maar wanneer die server reageert met de veilige HTTPS-link, “stript” de Pineapple die veilige laag eraf en stuurt een HTTP-versie van die site terug naar de gebruiker.

Op dit punt is de gebruiker feitelijk aan het browsen in een onveilige versie van de site, die er bijna precies hetzelfde uit ziet. Het enige verschil is dat het kleine sloticoontje niet meer te zien zal zijn in de linkerbovenhoek van het scherm.

Check altijd of je dit slotje ziet in je browser.

Deze aanval laat het belang van versleutelde communicatieprotocollen als HTTPS duidelijk zien. Zonder die protocollen is al het dataverkeer tussen het apparaat en het toegangspunt makkelijk leesbaar voor iedereen met een Pineapple.

HOE JE JEZELF KUNT BESCHERMEN TEGEN KWAADWILLENDE PINEAPPLE-GEBRUIKERS

De hierboven besproken hacks zijn nog maar het topje van de ijsberg. Gelukkig zijn er een paar simpele dingen die je kunt doen om te ver voorkomen dat je digitaal helemaal wordt uitgekleed door een klootzak met een veredelde ananas.

PAS OP MET OPENBARE WIFI-NETWERKEN

Het makkelijkste dat je kunt doen, is om alleen verbinding te maken met netwerken die je kent en vertrouwt. Je thuisnetwerk is bijvoorbeeld bijna zeker afgeschermd voor een Pineapple-aanval. Dit is omdat een Pineapple ook toegang moet hebben tot het netwerk waarop het informatie wil stelen. Tenzij een aanvaller dus toegang heeft tot jouw thuisnetwerk, kunnen ze je niet hacken met een Pineapple.

Hetzelfde geldt voor je wifi op kantoor. Tenzij jouw kantoor natuurlijk een pentester heeft ingehuurd om het netwerk te testen. Het echte gevaar van een Pineapple-aanval is op openbare netwerken. Plekken als je lokale koffietentje of het vliegveld zijn allemaal goede plekken voor een aanval. De meeste mensen kijken niet of het “free_airport_wifi”-toegangspunt wel echt is en maken verbinding zonder na te denken.

Als het gaat om veiligheid van netwerken, is waakzaamheid het allerbelangrijkste. De veiligste optie is om nooit openbare netwerken te gebruiken. Dat is alleen een heel gedoe en jaagt je waarschijnlijk enorm op de kosten in je dataverbruik. (Voor wat het waard is, je mobiele dataverkeer is ook niet veilig, maar ik dwaal af).

VIRTUAL PRIVATE NETWORKS

Als je toch gebruik moet maken van een openbaar netwerk, is de veiligste optie om gebruik te maken van een VPN. VPN’s zijn een veilige manier om op het internet te surfen door eerst verbinding te maken met een VPN-server voordat je het web op gaat. De server versleutelt je data voordat het die doorstuurt naar zijn bestemming, waardoor je in feite een beschermlaag op je data hebt die het onleesbaar maakt voor nare types. Dus ondanks dat een aanvaller misschien kan zien dat jouw apparaat verbonden is met een Pineapple, kan hij je data niet zien als je een VPN gebruikt.

“Een VPN gebruiken is nog steeds het beste advies,” zei Kitchen. “Als je een VPN gebruikt, ziet iedereen die in je data spiekt alleen maar een versleutelde rotzooi. Dat geldt voor iedere bespieder – of het nou een Pineapple is, je internetprovider, een werkgever of zelfs onze fantastische overheid.”

Het kiezen van de juiste VPN kan nogal een uitdaging zijn. Hier is een simpele gids met een paar suggesties.

ALLEEN HTTPS

Een andere goede vuistregel is om alleen websites te bezoeken die beveiligd zijn met HTTPS (zoals Motherboard!) Vandaag de dag zijn de meeste websites die je dagelijks bezoekt beveiligd met dit protocol, dankzij een goed afgestemde poging om HTTPS de standaard te maken. De algoritmes van Google geven bijvoorbeeld de voorkeur aan sites die op deze manier beveiligd zijn boven sites die dat niet zijn. Maar je moet er dus wel rekening mee houden dat modules voor de Pineapple je apparaat kunnen dwingen om verbinding te maken met een onveilige variant van de site als je niet expliciet https:// voor de domeinnaam typte.

“Helaas gebruiken te veel websites nog altijd geen HTTPS, en veel die dat wel doen zijn nog altijd kwetsbaar voor downgrade-aanvallen,” zei Kitchen. “Als je buiten de bewandelde paden gaat, zou ik je af willen raden om dit als je enige verdedigingslinie te gebruiken. Het is nog steeds belangrijk om waakzaam te blijven en te checken voor HTTPS, maar gebruik ook een VPN.”

Kortom: check altijd de URL's van websites die je bezoekt om er zeker van te zijn dat ze HTTPS gebruiken. Browsers als Chrome, Firefox en Opera maken dat checken gemakkelijk met een klein hangslotje aan de linkerkant van de adresbalk en door gebruikers te waarschuwen voordat ze een onveilige site bezoeken.

ALTIJD VERGETEN

Verder is het ook belangrijk dat als je klaar bent met een openbaar netwerk, je je telefoon of computer instelt om dat netwerk te ‘vergeten.’ Op deze manier zendt je apparaat niet constant SSID's uit van netwerken waar het in het verleden de verbinding mee heeft gebroken, wat dus gespooft kan worden door een aanvaller met een Pineapple. Er is helaas geen makkelijke manier om dit te doen op een Android-toestel of iPhone, dus moet je ieder netwerk handmatig vergeten in het “Beheer Netwerken”-tabblad van je instellingen.

Een andere simpele oplossing is om je wifi uit te doen als je het niet gebruikt – hoewel dat niet op alle apparaten nog even makkelijk is – en je apparaat geen toestemming te geven automatisch verbinding te maken met openbare netwerken.

Hoewel het makkelijk is om paranoïde te worden en je af te vragen of er een Pineapple op de loer ligt om je te hacken wanneer je verbinding maakt met een netwerk. Toch kun je de meeste ongein met een Pineapple simpel vermijden door goed op te blijven letten bij je netwerkinstellingen en je internetgedrag. Al hun vaardigheid in het manipuleren van elektronica ten spijt, toch zijn hackers nog steeds erg afhankelijk van menselijke fouten voor hun werk. Dus zorg dat jijzelf niet de zwakste schakel bent.

“De Wi-Fi Pineapple is erg goed in het nadoen van wifi-netwerken waar je in het verleden verbinding mee hebt gemaakt,” zei Kitchen. “Als je in een park bent en je apparaat meldt dat het verbonden is met het netwerk van een vliegveld, is er iets niet aan de haak. Een snelle reality check is meestal het enige dat nodig is om te zien of iemand met een Pineapple je probeert te hacken.”