Beveiligingsonderzoekers waarschuwen er al een paar jaar voor dat SSID-onderdrukking averechts werkt tegen gerichte aanvallers. In 2003 publiceerde ICSA Labs (de onderzoeksdivisie van Verizon) al een rapport waarin het sterk wordt afgeraden. In discussies op bijvoorbeeld Security.nl wordt ook tegen de methode geageerd, terwijl Microsoft vorig jaar de client-optie om constant een SSID-aanvraag uit te zenden als standaard uitschakelde.

Toch wordt het nog steeds genoemd als valide beveiligingsmaatregel in handleidingen van routers en toegangspunten, zo vertelt Hans van der Looy, beveiligingsconsulent bij Madison Gurkha. "Tijdens cursussen vraag ik mijn cursisten of ze een verhuld wi-fi netwerk kunnen zien op hun apparaten", zegt Van der Looy, "Het antwoord is altijd 'nee', waarna ik mijn laptop omdraai en ze laat zien dat ik al lang en breed ben ingelogd, puur met een tooltje. Dat is nog steeds een eye-opener."

Deze week ageert (de niet geheel oncontroversi├źle) blogger George Ou van ZDNet tegen het fenomeen, en vooral het argument dat met SSID-maskering minder informatie wordt weggegeven over de inloggegevens moet het ontgelden. Maar het probleem is volgens hem dat het hoe dan ook een fluitje van een cent is om achter een verborgen SSID-baken te komen. "Je kunt de SSID niet echt 'verbergen' door de bakens te onderdrukken omdat er nog vier andere mechanismen in de draadloze LAN zitten die de SSID weggeven", schrijft hij. "Het verbergen van de uitzendbakens is daarmee net een poging om een grote militaire installatie te verstoppen." Het risico wordt zelfs alleen maar vergroot omdat het verbergen van de SSID de client dwingt om zich constant kenbaar te maken. Een sniffer kan de aanvraag vervolgens onderscheppen, of zelfs het toegangspunt spoofen, waarmee een hacker de benodigde gegevens in de schoot geworpen krijgt.

Het is Ou vooral een doorn in het oog dat het nog steeds genoemd wordt als valide veiligheidsmaatregel.Als voorbeeld noemt hij de Amerikaanse standaard voor betaalkaarten, de PCI security standard v1.1 uir 2006, die SSID-verhulling nog steeds verplicht stelt.

Beperkte voordelen

Hans van der Looy is iets milder dan Ou over het verhullen van de SSID, maar onderstreept dat het geen volwaardige maatregel is. "Het heeft beperkte voordelen. Zo is het redelijk effectief tegen warriders, die niet gericht zoeken naar het netwerk van een specifiek bedrijf," zegt hij. "Maar een vastberaden hacker heeft het inderdaad zo gevonden."

Het krediet dat verbeging nu nog heeft slinkt nog sneller omdat er nu meer tools beschikbaar zijn die verborgen netwerken opsporen, waardoor de methode het kleine beetje voordeel snel verliest. Voorbeelden daarvan zijn KARMA en FreeRADIUS-WPE, waarmee ook inloggegevens te stelen zijn. Bron: Techworld