icon-menu logo_footer preds symbol-afrader symbol-bestekoop symbol-besteuittest
De beste zorgverzekering, die wil jij toch ook? |

Vergelijk en stap over

zorgicoon-45x45px

Bescherm je tegen het 'WPS-lek'

Veel draadloze routers die gemaakt zijn vóór 2013 zijn kwetsbaar door een gevaarlijk lek in de WPS-functie ('Wifi Protected Setup'). Daardoor loop je het risico door een buurman te worden gehackt, draadloos en ongemerkt! Lees of jij ook risico loopt en wat je moet doen.
Dennis Pronk
Dennis Pronk

Expert Elektronica

Gepubliceerd op:  27 december 2012


Het wifiwachtwoord van minstens een half miljoen routers - waaronder modellen van KPN, UPC en Ziggo - is te kraken. Dit wifi-lek is al bekend sinds eind 2011 maar komt nog steeds voor, blijkt uit onderzoek door de Digitaalgids (editie 1/2013). In deze video geven we meer informatie over het lek in de Wifi Protected Setup (WPS) van moderne routers en leggen we uit wat de risico's van een gehackt wifi-wachtwoord zijn. In de 'veelgestelde vragen' hieronder vind je meer informatie, zoals welke provider(modem)routers met het probleem te kampen hebben en wat je als consument kunt doen.

Bekijk ook onze andere beveiligingstips voor je wifi-netwerk.

Waarom zijn veel wifi-netwerken lek?

In moderne, draadloze (modem)routers die draadloze wifi-netwerken verzorgen, zit een ontwerpfout. Deze routers hebben de functie 'Wifi Protected Setup' (WPS), maar WPS is lek.  Een kwaadwillende hacker in de buurt van het draadloze netwerk kan dit WPS-lek misbruiken en binnen enkele uren toegang krijgen tot het netwerk. Als slachtoffer merk je daar niets van.

Wat is 'Wifi Protected Setup' (WPS) precies?

wps-logo'Wifi Pro wps-logotected Setup' (WPS) is een in 2007 geïntroduceerde methode om simpel een apparaat aan het draadloze netwerk toe te voegen. Druk het WPS-knopje op de router en druk op het WPS-knopje van een randapparaat en tussen die twee apparaten wordt automatisch een veilige draadloze verbinding gemaakt.

Wat is er mis met WPS?

Wps-kraak-reaverWifi Protected Setup heeft een gevaarlijk achterdeurtje. Randapparatuur kan ook met een bepaalde WPS-pincode draadloos worden aangemeld. De pincode bestaat uit een serie van slechts 8 cijfers. De laatste is een controlegetal en de hacker krijgt ook nog eens een seintje als de Wps-kraak-reavereerste 4 cijfers goed zijn. Binnen maximaal 11.000 keer raden weet die hacker dus de pincode.

Dat achterelkaar raden kan met het Linux-programma Reaver (zie afbeelding). Binnen een paar uur levert Reaver de pincode van WPS maar ook het wachtwoord van het draadloze netwerk. Hoe sterk, lang en uniek dat wifiwachtwoord ook is.

Wat is het risico van het WPS-lek?

Het risico zit 'm in een hackende buurman die binnen het bereik van is van je draadloze netwerk, zeg zo'n 30 meter van je huis. De hack werkt namelijk alleen door lokaal contact te zoeken met jouw wifi-netwerk. De hack werkt niet niet via internet.

Wat is het gevaar van het WPS-lek?

Een hacker die het wifiwachtwoord weet kan de internetverbinding misbruiken voor allerlei strafbare zaken, zoals up- en downloaden van illegale content.

De hacker kan waarschijnlijk ook inloggen als beheerder op de router, want het beheerwachtwoord wordt vaak niet aangepast. Dan is nog veel meer mogelijk: je kunt bijvoorbeeld laten bijhouden welke websites worden bezocht, je kunt het telefoonverkeer bestuderen en je kunt netwerkapparaten uitschakelen (zoals beveiligingscamera's). De mogelijkheden hangen af van de mogelijkheden van de router.

Is het WPS-lek een nieuw lek?

Nee, het WPS-lek is al sinds december 2011 bekend, maar in kleine kring. In november 2012 gingen onderzoekers van de Consumentenbond er nog eens goed naar kijken. De recent geteste draadloze routers werden opnieuw bekeken. Ook werden modemrouters van providers gecheckt. De onderzoekers schrokken nogal: veel van de routers bleken (nog) kwetsbaar voor het lek en zijn dus binnen enkele uren te kraken.

Hebben alle draadloze routers het WPS-lek?

Nee, niet alle routers hebben het lek. Als routers na een beperkt aantal inlogpogingen een pauze inlassen, duurt het erg lang om de WPS-pincode (en daarmee ook het wifi-wachtwoord) te raden. Veel wifi-modems en routers die na 2013 zijn gefabriceerd doen dit. Bij de routers van o.a. Fritzbox staat WPS standaard uit. Andere routers zijn vaak wel kwetsbaar je WPS niet uitgeschakeld. Bij elke router die we testen controleren we of WPS standaard uit staat.

Heeft de modemrouter van mijn provider ook het WPS-lek?

In december 2012 vroegen wij de belangrijkste Nederlandse internetproviders of hun draadloze modemrouters 'lek' zijn.

KPN geeft aan dat ze het WPS-lek al een tijdje kennen en 2012 hebben gebruikt om drie van hun vier modemrouters veilig te maken via een zich automatisch installerende software-update. De vierde (de Experia ZTE H220N) volgt in januari 2013. Inmiddels heeft KPN een uitgebreidere toelichting op zijn site gepubliceerd.

Ziggo meldt dat diens twee modemrouters kwetsbaar zijn. De Ubee evw3200 (350.000 exemplaren) is zeker lek. De Consumentenbond vermoedt echter dat de Cisco EPC3925 (150.000 exemplaren) van Ziggo minder kwetsbaar is door een vertraging of maximaal aantal pinpogingen bij het inloggen. Ziggo wil klanten gaan helpen het gat te dichten maar bestudeert nog hoe ze dat gaan doen (in januari/februari 2013).

De UPC Horizon was in december 2012 in minder dan 2 uur te kraken en te beheren met het standaard beheerwachtwoord (zie foto), dus deze tvdecoder met draadloze router geïntegreerd was in ieder geval kwetsbaar. UPC heeft het lek verholpen, als we afgaan op een speciale pagina over de kwestie op de site van UPC. Wij citeren: 'Op de Horizon Mediabox en de Thomson TWG-850 heeft UPC de WPS-functionaliteit uitgeschakeld. Op de Cisco EPC3925 is een beveiliging ingebouwd die ervoor zorgt dat het modem na 10 inlogpogingen automatisch de WPS-functionaliteit uitschakelt. WPS wordt dan pas weer geactiveerd als het modem door de gebruiker wordt gereset door deze van de stroom te halen en daarna weer aan te sluiten. Deze beveiliging geldt ook voor de Thomson TWG-870.' UPC vat het samen: 'Als u een modem van UPC heeft, dan is deze al beveiligd of wordt hij in week 2 van 2013 beveiligd tegen het WPS beveiligingsprobleem.'

XS4All: de XS4all-modemrouter (Fritzbox) heeft het lek niet, meldt een XS4All-woordvoerder.

Tele2: de Tele2-modemrouters hebben het lek niet, aldus de woordvoerder van Tele2.

Caiway: kwetsbaar, aldus de woordvoerder. Caiway meldt snel een volautomatische update te installeren die het verhelpt.

T-Mobile Online: T-Mobile Online overlegt nog met leveranciers. De woordvoerder geeft aan dat zeker één type waarschijnlijk wel kwetsbaar is. T-Mobile Online wil getroffen abonnees gaan helpen met updates en / of informatie. 

ZeelandNet/Delta: kwetsbaar. 'We gaan klanten informeren hoe het lek te verhelpen.'

Telfort: Het WPS-lek wordt nog bestudeerd door de provider. Zodra er meer informatie is, publiceren we dat hier.  

Solcon: geen reactie ontvangen.

Wat moet ik doen als mijn router (mogelijk) het WPS-lek heeft?

Het beste is wachten op instructies van de provider en niet zelf gaan rommelen met instellingen. Want wie geen ervaring heeft met het beheren/updaten van zijn draadloze router maakt snel verkeerde keuzes, waardoor het hele thuisnetwerk in de war kan raken.

Het kan zijn dat de provider automatisch updates doorvoert in de software van de router en daar geen melding van maakt.

Mijn router komt uit de winkel. Wat moet ik weten of doen?

De kans is redelijk groot dat een na 2007 uit de winkel gekochte router (zonder aanpassingen of updates) het WPS-lek heeft. Of een router lek is (of niet), is voor de gewone consument echter lastig vast te stellen. Je kunt kijken op de website van de producent bij de supportsectie, maar de Consumentenbond heeft gezien dat de informatie over het lek daar vaak erg summier is.

De veiligste keus is WPS in de router uit te zetten. Soms is er voor oude routers nieuwe firmware (nieuwe software voor de router) nodig die WPS laat uitzetten of die WPS veiliger laat werken (zodat WPS in principe wel ingeschakeld kan blijven). Die firmware moet dan wel worden geïnstalleerd. Het is sowieso een goed idee firmware te installeren.

Een praktisch stappenplan is dus:

  1. log in als beheerder ('administrator') van de router,
  2. installeer nieuwe firmware indien deze beschikbaar is
  3. schakel tot slot WPS uit voor absolute zekerheid

Hoe in te loggen als beheerder van de router om WPS uit te schakelen en / of firmware te installeren staat in de handleiding bij de router.

Ik ben de handleiding van mijn router uit de winkel kwijt, wat nu?

Je kunt de handleiding of manual van een router vrijwel altijd downloaden van de website van de fabrikant (of zoek even met Google naar handleiding+merknaam+routermodel).

Zijn er draadloze routers waarin het WPS-lek niet is te dichten?

routerVoor veel Linksys-routers die van 2007 tot 2011 op de markt zijn gekomen is er momenteel (december 2012) geen oplossing beschikbaar. WPS kan niet worden uitgeschakeld - het blijft aan staan, ook al lijkt het te zijn uitgezet -  en er is geen officiële update beschikbaar. Het gaat om de Linksys types E1000 (zie foto hiernaast), E2000, E3000, de WAG-serie en de WRT-serie.

Hebben de door de Consumentenbond geteste routers het WPS-lek?

De Consumentenbond test draadloze routers van winkels en modemrouters van providers. Van de eind 2012 geteste 'winkelrouters' blijken bij nadere studie de Sitecom N300 X4 WLR-4000, de Belkin N600 DB en de Sweex LW321 kwetsbaar voor het WPS-lek. Er is is wel een oplossing: WPS uitschakelen.

De Linksys E2500, E3200 en E4200 zijn al gelijk minder kwetsbaar als de nieuwste firmware wordt geïnstalleerd.

Voor de andere routers in de test moet firmware worden geïnstalleerd. Daarna kan WPS worden uitgeschakeld.

Voor de draadloze modemrouters van providers zie het antwoord bij de vraag 'Wat moet ik doen mijn router (mogelijk) het WPS-lek heeft?'.

Veilig Online

Geïnteresseerd in nog veel meer tips waarmee je kwaadwillenden buiten de deur houdt? Kijk dan eens naar ons boek 'Veilig Online'. Het biedt een volledig overzicht van bedreigingen én praktische oplossingen om hackers te slim af te zijn. Inclusief handige stappenplannen voor diverse apparaten (tablet, laptop, pc & smartphone) en systemen (Windows, Mac OS, iOS & Android).

veilig online

Lees meer over routers