Je staat er vaak pas bij stil als je in een ver land in de buurt van een universiteit bent en plotseling gratis wifi hebt zonder in te loggen: Eduroam. Honderdduizenden studenten en onderwijsmedewerkers gebruiken het netwerk dagelijks, zonder dat ze er echt bij stil staan. Daarom is het des te opmerkelijker dat ethische hackers onlangs een zeer serieus veiligheidsprobleem ontdekten in Eduroam.
Zet een hacker een wifispot op met de naam Eduroam, dan zouden nietsvermoedende gebruikers per ongeluk daarmee verbinding kunnen maken en zomaar hun gebruikersnaam en wachtwoord doorsturen naar de hacker. Dat is op zich al een serieus veiligheidsprobleem, maar nog erger is dat de inloggegevens van Eduroam overeenkomen met de inlog van bijna alle andere ict-voorzieningen die studenten en medewerkers gebruiken, zoals de computers, e-mail en intranet MyEUR.
Onlangs vroeg de Erasmus Universiteit alle gebruikers van Eduroam hun wachtwoord te veranderen. Ze kunnen niet meer zomaar een nieuw wachtwoord kiezen. Chief Information Security Officer Rory O’Connor legt uit wat er precies is gebeurd.
Hoe konden hackers wachtwoorden van Eduroam-gebruikers achterhalen?
“Hackers konden Eduroam spoofen en zo de gebruikersnamen en wachtwoorden buitmaken. Goed beveiligde telefoons en laptops zouden de geldigheid van het certificaat moeten controleren om er zeker van te zijn dat het om een echte Eduroam-wifispot van de EUR gaat. Maar om dit te kunnen doen is een internetverbinding vereist. Daarmee beland je in een catch-22: je zou een werkende netwerkverbinding moeten hebben om een certificaat te kunnen krijgen, dat je nodig hebt voor een werkende verbinding. Vooral bij Android-telefoons ontbreken er allerlei veiligheidscontroles.”
Zijn medewerkers of studenten van de EUR, of andere academici over de hele wereld, ook echt het slachtoffer geworden van identiteitsdiefstal, voor zover u weet?
“We hebben geen aanwijzingen dat iemand zo EUR-wachtwoorden heeft gestolen, maar er zijn wel gedetailleerde beschrijvingen van ethische hackers te vinden die uitleggen hoe je gebruikersgegevens zou kunnen stelen.”
Stel dat die inloggegevens daadwerkelijk gestolen waren, kunt u dan beschrijven wat de mogelijke gevolgen zouden zijn geweest?
“Gestolen inloggegevens worden gebruikt voor phishing-aanvallen, gegevensdiefstal en het imiteren van iemands identiteit. Sommige internetdiensten die gratis zijn voor studenten, zijn erg handig voor hackers.”
De universiteit genereert nu unieke wachtwoorden voor je Eduroam-account, wat betekent dat hackers buitgemaakte wachtwoorden niet meer kunnen gebruiken om in te loggen op universiteitsaccounts. Maar zijn de Eduroam-wachtwoorden nog net zo makkelijk te stelen als eerst, of is dat ook opgelost?
“Na een zeer grondige studie van het gevonden veiligheidsprobleem en mogelijke oplossingen kwamen we tot de conclusie dat het veel beter beveiligen van Eduroam de dienst moeilijk te configureren zou maken, het aantal ondersteunde apparaten zou beperken, en een einde zou maken aan Eduroam als dienst die je wereldwijd in onderwijsinstellingen kunt gebruiken. Door aparte wachtwoorden te gebruiken heeft het hacken nog zeer beperkte waarde. Zij kunnen geen toegang krijgen tot de ERNA-accounts met het voor Eduroam unieke wachtwoord.”
Gaat de EUR diceware invoeren op meer plekken waar wachtwoorden nodig zijn, zoals ERNA?
“Wij zullen in de nabije toekomst geen diceware gebruiken bij ERNA-accounts, omdat de ERNA-inlogsystemen dit niet ondersteunen. We zijn bezig om deze systemen te upgraden en werken aan modernere wachtwoord-standaarden.”
Voor 10 december
De EUR gebruikt nu diceware om het wachtwoord te genereren (‘wachtzinnen’ van vier willekeurige woorden in plaats van de gebruikelijke wachtwoorden van letters, cijfers en tekens). Diceware wordt door veel experts gezien als een veiliger en beter te onthouden methode. Je kunt je wachtwoord aanpassen via MyEUR. Doe je dat niet, dan kom je vanaf 10 december niet meer op Eduroam.
