Onderzoekers van IBM ISS X-Force onthullen donderdag op Black Hat een nieuw systeem waarmee het mogelijk is om een open draadloos netwerk te versleutelen. Het systeem van IBM richt zich vooral op openbare hotspots. Omdat al het verkeer over zo'n netwerk nu vaak onversleuteld is, zijn gebruikers daarvan kwetsbaar voor aanvallen van mensen die bijvoorbeeld logingegevens aftappen met Firesheep.

Weten wie de beheerder is

IBM wil dat tegengaan door deze hotspots te beveiligen met een digitaal certificaat dat ook wordt gebruikt door versleutelde websites. Zo is het mogelijk om een vertrouwde beveiliging tussen de WiFi-router en een computer op te zetten. Door de beveiliging communiceren gebruikers alleen met de draadloze hotspot waar ze verbinding mee hebben gemaakt.

“In ons voorstel kunnen draadloze netwerken een versleutelde verbinding met hun clients opzetten. Ze doen dat door een digitaal certificaat te tonen dat bewijst dat de beheerder van het access point ook de legitieme gebruiker van het SSID is dat met dat accespoint geassocieerd is", aldus Tom Cross en Takehiro Takahashi op het weblog van IBM.

Certificaten hergebruiken

Omdat de certificaten die IBM gebruikt gelijk zijn aan die van websites, kunnen bedrijven een digitaal certificaat ook hergebruiken. Een aanbieder van een hotspot moet dan simpelweg de domeinnaam op wiens naam het certificaat instellen als SSID. “IBM zou bijvoorbeeld een open netwerk met de SSIDN ibm.com kunnen starten", aldus de onderzoekers.

Zij vervolgen: “Als je dan verbindt, stuurt het access point het certificaat dat ook voor ibm.com wordt gebruikt naar de client en kan de draadloze client een beveiligde verbinding maken". Volgens IBM weet een gebruiker zo ook zeker dat hij verbinding heeft met een draadloos netwerk dat door 'Big Blue' beheerd wordt.

Geen evil twins of Firesheep

Als het certificaat klopt, weten gebruikers dat zij echt verbinding hebben met een draadloos netwerk dat zij kunnen vertrouwen. Zo is er geen risico dat er een verbinding is gemaakt met bijvoorbeeld een 'evil twin'. Dat is een kwaadaardig draadloos netwerk met hetzelfde SSID als een legitiem netwerk met als doel om privégegevens te oogsten.

“Het systeem elimineert het risico op passieve sniffers als Firesheep volledig", aldus Cross in een tweede blogposting. “Het reduceert het risico op kwaadaardige access points door een cryptografische manier om de beheerder van het netwerk waarmee een gebruiker verbinding maakt te identificeren".