Inrichting Wi-Fi netwerken horeca vaak kwetsbaar
Veel horeca ondernemers bieden tegenwoordig gratis Wi-Fi aan in hun restaurant. Hoewel ik de beveiliging van deze Wi-Fi netwerken de laatste jaren zag verbeteren, is er nog veel ruimte voor verbetering. In positieve zin valt op dat open Wi-Fi netwerken (waar je zonder wachtwoord gebruik van kan maken) minder vaak worden aangetroffen, ten gunste van wachtwoord beveiligde Wi-Fi netwerken (WPA2). Een welkome en noodzakelijke verbetering, maar daarmee zijn we er helaas nog niet. De wijze waarop Wi-Fi netwerken worden ingericht, maakt horeca ondernemers nog steeds kwetsbaar en daar zijn ze zich vaak niet bewust van.
Uit steekproeven in verschillende grote steden (Eindhoven, Utrecht, Rotterdam) blijkt dat de toegang tot Wi-Fi netwerken weliswaar is beveiligd met een wachtwoord, maar dat de inrichting van deze Wi-Fi netwerken zorgen voor situaties die makkelijk te misbruiken zijn. Eenmaal verbonden met een Wi-Fi netwerk kan er vaak zonder beperkingen verbinding worden gemaakt met andere apparaten binnen het netwerk. Dit maakt het zoeken naar te misbruiken kwetsbaarheden erg makkelijk. Technisch gezien is het aanvalsoppervlak vanuit het perspectief van een Wi-Fi gast (waaronder een potentiële aanvaller) te groot en dient dit te worden verkleind. Veel voorkomende kwetsbaarheden die de kans op misbruik vergroten zijn:
- het ontbreken van client isolation (dit zorgt ervoor dat verbonden apparaten alleen met de router kunnen communiceren en niet met elkaar);
- het ontbreken van een scheiding tussen het gasten netwerk en het interne netwerk (gasten dienen alleen maar toegang te krijgen tot het internet en niks anders);
- toegankelijke beheerpagina van de gebruikte router;
- geen ingesteld wachtwoord of gebruik van het standaard fabriekswachtwoord;
- apparaten met een eigen onbeveiligd Wi-Fi netwerk.
Als gevolg van (een combinatie van) dit soort kwetsbaarheden kunnen er makkelijk verstoringen worden veroorzaakt. Hieronder volgen een aantal voorbeelden.
Voorbeeld: muziekinstallatie
Het systeem verantwoordelijk voor het afspelen van muziek kon via het Wi-Fi netwerk voor gasten benaderd worden, waardoor ik in ieder geval de muziek uit/aan kon zetten. Toen ik het demonstreerde was de verbazing bij de restaurantmanager groot, maar hij begreep gelukkig wel dat hier even naar gekeken moest worden.
Voorbeeld: printer met eigen Wi-Fi
Het gasten Wi-Fi netwerk was prima voor elkaar, maar ik ontdekte dat een gebruikte printer ook nog steeds te benaderen was via zijn eigen Wi-Fi hotspot. Door het ontbreken van wachtwoorden voor zowel de ingebouwde Wi-Fi hotspot als voor de beheerpagina van de printer, kon ik onder andere de printhistorie bekijken. Hieruit bleek dat deze printer werd gebruikt voor het afhandelen van bezorgingen door het restaurant. Met de nodige creativiteit (ik kon de prints zelf helaas niet bekijken) had me dit een gratis bezorgde maaltijd op kunnen leveren, maar om het bewustzijn te vergroten besloot ik om onderstaande foto af te drukken vanaf het zonnige terras. Wel grappig om vervolgens aan het bedienend personeel te vragen om mijn printje even van de printer te halen. Na een korte toelichting concludeerde de medewerkster dat de eigenaar hierover geïnformeerd diende te worden.
Voorbeeld: kassabonprinter op gasten Wi-Fi
Met toestemming mocht ik een dagje werken in een leuk restaurant in Rotterdam. Al snel bleek de netwerkscheiding hier ook niet in orde; de netwerkmodule van de kassabonprinter kwam tevoorschijn tijdens een netwerkscan. Na te hebben vastgesteld dat het om een Epson TM-T20II ging, was het een kwestie van de juiste driver downloaden en printen maar. Toch maar even een bedankje achtergelaten via de kassabonprinter. Het aanwezige personeel had de restauranteigenaar al bijna gebeld, maar na een korte toelichting zakte de schrik en werd duidelijk welke verbeteringen nodig waren.
Router zonder wachtwoord
Het niet aanpassen van standaard wachtwoorden komt helaas vaak voor. Ik trof deze router aan die niet voorzien was van een wachtwoord, waardoor ik in kon loggen door het wachtwoordveld blanco te laten. De beheerinterface waarschuwt hier zelfs voor, maar dat is blijkbaar niet eerder opgevallen. In bepaalde gevallen kunnen de gevolgen van misbruik vervelend zijn. Stel je maar eens voor dat het restaurant vol zit en er geen bonnen kunnen worden geprint of betalingen kunnen worden verricht.
Advies
Dus beste horeca ondernemers: laat je Wi-Fi netwerk controleren door iemand met enig verstand van zaken! De gevolgen kunnen heel vervelend zijn en daar zit niemand op te wachten. Zeker niet als je restaurant vol zit met gasten.
Plaats een Reactie
Meepraten?Draag gerust bij!