In de zes jaar dat ik bij Tweakers werk, heb ik aardig wat beveiligingsproblemen voorbij zien komen. Daardoor heb ik ook geleerd dat veel beveiligingsproblemen wijdverspreid, niet bepaald uitzonderlijk en daardoor helaas niet nieuwswaardig zijn.
Toch is het interessant om beveiligingsproblemen die niet direct nieuwswaardig zijn, wel degelijk aan het licht te brengen. Zo werd ik door beveiligingsonderzoekers Mischa van Geelen en Mark Walther op de hoogte gebracht van twee wifi-routers van evenementenhal Ahoy die niet waren afgeschermd. Vanaf buitenaf (dus niet alleen vanaf het netwerk zelf!) kon iedereen zonder wachtwoord inloggen op de routers en de instellingen wijzigen.
Het artikel over de kwestie was al af, maar uiteindelijk besloot ik het nieuws niet te brengen: de kwestie was te klein om een nieuwsbericht op Tweakers te rechtvaardigen. Toch wil ik de wereld deze configuratiefaal niet onthouden.
Twee routers van evenementenhal Ahoy die werden gebruikt om draadloos internet aan te bieden, waren zonder wachtwoord aan internet gekoppeld. Kwaadwillenden konden daardoor inloggen op de router en bijvoorbeeld andere dns-servers instellen om verkeer te onderscheppen.
Het gaat om MicroTik-routers die werden gebruikt om wifi aan te bieden. Via software van fabrikant MicroTik kon zonder wachtwoord en met enkel de gebruikersnaam ‘admin’ worden ingelogd op de routers, wat zorgde voor beheerderstoegang tot de wifi-hotspots. Dat ontdekten beveiligingsonderzoekers Mischa van Geelen en Mark Walther.
Een gebruiker zou daarbij bijvoorbeeld zijn eigen dns-servers kunnen instellen, zodat bezoekers automatisch verbinding maken met die dns-servers en verkeer kan worden onderschept. Ook zou verkeer worden gemanipuleerd: zo zou malware kunnen worden toegevoegd aan websites, die kwetsbare apparaten van bezoekers infecteert.
Ahoy bevestigt dat twee ‘wifi-doosjes’ kwetsbaar waren, en heeft ze na melding van Tweakers van een wachtwoord voorzien. Volgens het evenementenbedrijf gaat het om twee oude hotspots die nog maar zelden werden gebruikt, vooral backstage, en die niet waren bedoeld voor bezoekers van evenementen. Onderzoeker Van Geelen weerspreekt dat. “Er gingen echt heel veel verbindingen over heen”, claimt hij. Tweakers heeft dat niet kunnen verifiëren.
De kwetsbare, niet-beveiligde routers werden geleverd door het bedrijf Wandy. Van dat bedrijf zijn via zoekmachines als Shodan meer kwetsbare apparaten te vinden, die niet zijn beveiligd. Wandy zegt dat het daar zelf niets aan kan doen. “We hebben tussen de tien- en twintigduizend van die apparaten uitgeleverd”, aldus Johan de Stiger van het bedrijf. “Wij zijn niet verantwoordelijk voor de configuratie ervan”, aldus De Stigter. Het zou in dit geval gaan om een installateur die de ‘standaardprocedure niet heeft gevolgd’.