Beveiligingsexpert Roel Schouwenberg van Kasperksy Labs reageert negatief op een test waarmee computerblad Computer Idee het risico van publieke draadloze netwerken wilde illustreren.

"Ik kan het niet eens zijn met de methodologie die gebruikt is," zegt Schouwenberg in een reactie tegen Webwereld. "Naast de, door Computer Idee zelf al aangegeven, juridische bezwaren zijn er duidelijke ethische bezwaren."

De beveiligingsexpert reageert op een test van het weekblad waarbij redacteuren op Schiphol een nep WiFi-access point opzetten met de naam "Schiphol Free Internet Access". Het netwerk bood een werkende internetverbinding. Reizigers logden in op het netwerk en surften op die manier over het web en verzonden email. De redactie sloeg deze data op.

Citaten uit privé-correspondentie

Emailberichten die via het netwerk worden verzonden, kunnen eenvoudig worden afgeluisterd. Ook versleutelde data zoals wachtwoorden of creditcard gegevens zijn in theorie te kraken, al is de test niet zo ver gegaan. Om de beveiligingsrisico's te illustreren, citeert de redactie uit de correspondentie en surfgedrag van reizigers.

Juridische overtreding

Het blad beging een overduidelijke juridische overtreding door de informatie op te slaan, erkent hoofdredacteur Edwin Ammerlaan. Hij verwacht echter geen gevolgen omdat de publicatie in de eerste plaats dient om het probleem te signaleren, zegt Ammerlaan in een reactie.

Daarnaast kleven er sterke ethische bezwaren aan de test. Computer Idee had de risico's van nep-WiFi ook kunnen bewijzen zonder privé-gegevens op de slaan en privéconversaties publiek bekend te maken, waarschuwt Schouwenberg.

"Om de test ethisch minder bezwaarlijk te maken had er bijvoorbeeld alleen gekeken kunnen worden hoeveel mensen verbinding probeerden te maken met het access point," zegt Schouwenberg. "De inhoud van de onderschepte data is namelijk helemaal niet relevant."

Slechte methodologie

Het blad had zich beter kunnen richten op de vraag of gebruikers die op het netwerk inlogden gebruik maakten van een zogenaamd virtual private network (vpn). "Maar dan bevinden we ons al op erg glad ijs," waarschuwt Schouwenberg. Omdat een vpn al het dataverkeer versleutelt, is het lastiger om de conversaties af te luisteren.

Tot slot wijst Schouwenberg erop dat Computer Idee de afgeluisterde gegevens mogelijk onvoldoende heeft beveiligd om verder uitlekken te voorkomen voordat deze werden verwijderd. "Kan er gegarandeerd worden dat de vergaarde data niet is uitgelekt?" vraagt Schouwenberg zich af.

Ammerlaan ontkent dat een afgezwakte test had volstaan waarbij gebruikers alleen verbinding hadden gelegd met het access point. "Dan is meteen de volgende vraag die we ons stelden, wat dan? Kan je dan aan gegevens komen?"

Niet gehouden aan beveiligingsethiek

Bovendien ontkent de hoofdredacteur dat hij gehouden is aan de ethische normen van beveiligingsonderzoekers. Die bepalen dat onderzoekers wel problemen mogen aantonen, maar geen schade mogen aanrichten of vertrouwelijke informatie mogen opslaan.

Ammerlaan acht de test verantwoord omdat de journalistiek een signalerende en waarschuwende functie heeft, zeker omdat het opzetten van het nep-netwerk en afluisteren van het verkeer erg eenvoudig bleek.

"Het ging om het aan de kaak stellen van deze mogelijkheid, en vooral hoe onachtzaam gebruikers met WiFi omgaan."

Bekend probleem

De test is verre van uniek. Beveiligingsbedrijven hebben al diverse malen als publiciteitsstunt tijdens beurzen nep-netwerken opgezet om het risico van onbekende draadloze netwerken te illustreren. Dergelijke tests leveren gegarandeerd succes, omdat er juist op beurzen en in publieke ruimtes als vliegvelden altijd wel mensen op zoek zijn naar een gratis internetverbinding.

Vorig jaar december waarschuwde Kasperky al dat zich op Schiphol een aantal verdachte WiFi netwerken bevonden met namen als 'Free Public Wi-Fi' en 'US Airways Free Wi-Fi'. Bij nep-WiFi gaat het doorgaans om ad-hoc netwerken die worden aangeboden door een computer. Deze zijn daardoor eenvoudig te herkennen. Het weekblad had bij zijn test een echt access point ingezet, waardoor de oplichting minder eenvoudig te doorzien was.