Bluetooth

Er kwam een interessante lezersvraag binnen: is het veilig om een draadloos toetsenbord te gebruiken?

De gedachte achter die vraag is helder: een draadloze verbinding kan onderschept worden. Een aanvaller kan zien wat er over zo’n verbinding heen en weer gaat, en daarnaast kan hij eigen data in de verbinding injecteren. Als iemand op de verbinding met je toetsenbord kan inbreken, dan kan hij dus zien wat je typt. Bijvoorbeeld wachtwoorden, of vertrouwelijke tekst in documenten en mailtjes. Alsof hij een camera op je vingers heeft gericht. En hij zou ook zelf iets kunnen typen als jij even een kop thee gaat halen. Maar lees even verder, want dit is nog lang niet het complete antwoord op de gestelde vraag.

Draadloze apparaten maken verbinding via Bluetooth en soortgelijke protocollen, die data verzenden via radiofrequenties. Als ik om mij heen kijk, zie ik nogal wat draadloos verbonden spullen: toetsenbord en muis voor de besturing van de laptop, oortjes die ik zowel met de telefoon als met de iPad verbindt, een horloge dat informatie van de telefoon weergeeft en informatie over mijn sportieve activiteiten terugstuurt, en het toetsenbord van de iPad. Daarnaast maakt ook de auto verbinding met de telefoon en zijn er nog een paar draadloze speakers in huis. Allemaal Bluetooth.

Het Bluetooth-protocol kent verschillende beveiligingsniveaus. Het probleem voor de gebruiker is dat je daar nauwelijks invloed op hebt: je koopt een apparaat dat Bluetooth op een bepaald niveau praat, klaar. Als je een ander niveau wilt, moet je een ander apparaat kopen. Maar zo werkt het natuurlijk niet: je wilt díe oortjes omdat die voor jou het meest geschikt zijn, je wilt dát toetsenbord omdat het zo fijn typt. Niet omdat je hebt gelezen dat het gebruikmaakt van de nieuwste Bluetooth-versie en AES-versleuteling toepast. Maar het is wel degelijk zinvol om Bluetooth te beveiligen: door de jaren heen zijn er diverse aanvalsmogelijkheden ontdekt, met namen als Blueborne Attack, Bluebugging, Bluesnarfing en Bluejacking.

Het is een geruststellende gedachte dat Bluetooth-signalen zo zwak zijn, dat hun reikwijdte beperkt is. Tien meter, wordt altijd gezegd. Ik heb even een proefje gedaan. Mijn bureau staat op de eerste verdieping, aan de voorkant van het huis. Ik ben, met het toetsenbord in de hand, naar beneden gelopen en heb op enkele plekken getypt waar ik me op dat moment bevond. In de keuken, recht onder mijn bureau, kwam het signaal nog prima door – dwars door de betonnen vloer heen. In het midden van het huis haperde de verbinding: “midn s” staat er, in plaats van “midden huis”. En van achter in het huis kwam helemaal niets meer door. Het Bluetooth-signaal heeft dus inderdaad een vrij beperkt bereik, veel kleiner dan bijvoorbeeld wifi. Maar: boeven hebben richtantennes, waarmee ze het signaal over een grotere afstand kunnen oppikken.

Als je op zoek gaat naar beveiligingstips omtrent Bluetooth, dan kom je steevast deze tegen: zet het uit als je het niet nodig hebt. Ja leuk, enkele jaren geleden deed ik dat inderdaad. Tegenwoordig is dat in de meeste gevallen  ondenkbaar. Op mijn smartphone staat het altijd aan om informatie op het horloge weer te geven, maar vooral om via m’n oortjes te kunnen bellen (zó veel prettiger dan met het toestel aan je oor). Op de iPad staat het altijd aan omdat anders het toetsenbord niet werkt en omdat ik de oortjes ook gebruik bij het videovergaderen. Computers weten niet eens dat het draadloze toetsenbord met Bluetooth werkt: zij zien alleen de bijbehorende dongel, die je in een USB-poort prikt. Voor de computer komen de signalen van je draadloze muis en toetsenbord dus gewoon via USB binnen, alsof er wél een draad tussen zit. Alleen de verbinding tussen dongel en muis/toetsenbord is Bluetooth.

Gelukkig heb ik een paar tips gevonden waar je wél iets mee kunt. Zoals deze: verwijder apparaten, die je niet meer gebruikt, uit de Bluetooth-lijst van je toestellen. Daarmee verklein je de mogelijkheden voor hackers om bepaalde aanvallen toe te passen. Zorg er ook voor dat je op alle apparaten altijd alle updates installeert (dit advies reikt veel verder dan alleen Bluetooth). En als je een nieuw apparaat koppelt (pairing), doe dat dan bij voorkeur op een veilige plek, zodat niemand de beveiligingssleutel kan afluisteren die de apparaten met elkaar afspreken. Op zoek naar informatie over mijn eigen toetsenbord, merk ik dat het niet gemakkelijk is om erachter te komen of dat ding versleuteling toepast. De tip “koop een toetsenbord met versleuteling” zou dus ook wel eens lastig op te volgen kunnen zijn.

Tot slot en ter geruststelling: de meesten van ons zullen niet gauw slachtoffer worden van een aanval op hun Bluetooth-verbindingen en kunnen dus zonder bedenkingen een draadloos toetsenbord en andere handige producten gebruiken. Zoals bij veel risico’s moet je ook bij het gebruik van Bluetooth meewegen in hoeverre je een potentieel doelwit bent. Politici, opsporingsambtenaren en BN’ers zijn voorbeelden van groepen die er in ieder geval goed aan doen om voor zichzelf te analyseren of iemand moeite zou willen doen om bij hen in te breken.

 

En in de grote boze buitenwereld …

• loop je als softwarebouwer risico’s bij het gebruik van open source software: er kan malware in zitten, die jij dan opneemt in jouw eigen product.
• heeft de Haagse Hogeschool onderzoek gedaan naar cyber-ketenweerbaarheid (omdat we allemaal onderdeel van een keten zijn).
• hebben de Britse royals een privacyzaak tegen een tabloid gewonnen.
• vatte de politie twee smishers in de kraag.
• wist Europol tien telefoon-hijackers achter de tralies te krijgen.
• probeerde een hacker het drinkwater van een Amerikaans stadje te vergiftigen.
• willen de Nederlandse inlichtingendiensten meer geld voor het bestrijden van de cyberdreiging uit Rusland en China.
• haalde de GGD alweer het nieuws met gebrekkige beveiliging.
• heeft die gebrekkige beveiliging gek genoeg geen onveilige situatie tot gevolg.
• hoeft een risicoanalyse helemaal niet zo ingewikkeld te zijn.
• heeft corona ook gevolgen voor security operations.
• is digitale tentamensurveillance niet erg privacyvriendelijk.
• wil Facebook een aantal internetdomeinen in beslag nemen, die een beveiligingsbedrijf gebruikt voor phishingtests.