28.6.06

Pyt med usikre trådløse net eller?

Forunderlige toner er dukket op i sikkerhedskredse. Det er o.k. at lade sit trådløse net stå pivåbent, såfremt man har sørget for, at ens pc er godt beskyttet med det relevante sikkerhedsoftware. Nu har vi jo ellers fulgt diverse afslørende journalister ude på tur i det Københavnske sammen med PR-mindede "sikkerhedseksperter" og læst om, hvor mange totalt usikre trådløse net, de har pejlet sig frem til. Net, som hackere garanteret stod på spring for at udnytte.

Budskabet om, at man slet ikke behøver at slå krypteringen til på det trådløse net, kom på en konference på Cambridge University om økonomien i sikkerkhed. Bag budskabet stod en af verdens mest respekterede sikkerhedseksperter, amerikaneren Bruce Schneier, hvis eget trådløse net i hjemmet er ubeskyttet. Nyhedstjenesten cnet refererer ham for en udtalelse om, at det er helt i orden, at naboer og gæster bruger hans net, for han har beskyttet sin pc med diverse software. En sikkerhedsekspert på Cambridge University har nogenlunde samme holdning, og en fra Microsoft siger, at den traditionelle kryptering af de trådløse net er så spinkel, at den er let at bryde.

Anledningen til udtalelserne er endnu en undersøgelse af, hvor mange trådløse net, der er helt ubeskyttede. Bag undersøgelsen stod University of Indianapolis, og den viste at 46 pct. af nettene ikke var beskyttet. Selv højtuddannede folk undlod at beskytte sig, forlød det. Holdningen fra universitetets side var, at der var tale om et meget stort sikkerhedsmæssigt problem.

Herhjemme måtte et ægtepar fra Korsør stå skoleret hos politiet grundet et ubeskyttet trådløst net. Kriminelle havde koblet sig på deres pc via det ubeskyttede trådløse net og brugt pc'en til pengeafpresning rettet mod et amerikanske mål. Det er så anskuelighedsundervisning i, hvor galt det kan gå. Pc'en var ikke beskyttet.

Hvad skal den almindelige forbruger gøre? Umiddelbart synes jeg, at man skal ofre, hvad det koster at få sin internetudbyder til selv at stå for hele opsætningen af det trådløse net og inklusive at sætte krypteringen til som standard. Men er der nogen, der har bedre rådgivning til dem, som ikke føler sig hjemme i sikringen af trådløse net? Og hvis man lader nettet være åbent - nøjagtig, hvilken type sikkerhedssoftware skal lægges på pc'en foruden firewall og 3xanti (virus, spam og spyware)? Eller er det nok?

PS: Livet ER farligt. Sidder lige nu med min Dell på skødet i sofaen, og læser om, at Dell nu undersøger, hvorfor en af deres bærbare pludselige eksploderede. Det skete på en konference, og en tilskuer fik det fanget på en stump video. Jeg så billederne på nettet for nogle dage siden og blev skræmt, men ikke nok til at ændre vaner. Hmmmm. Ny ekstrem sport for de, der kun lever, hvis det er på kanten af livet?

2 kommentarer:

Torben B. Sørensen sagde ...

Schneier er en klog mand, men her er jeg nu uenig med ham. Der er mindst to problemer ved at lade et trådløst adgangspunkt stå åbent.

Det ene problem er kontraktligt: Når man køber en internetforbindelse, forpligter man sig som regel til kun at bruge den selv. Man må altså ikke købe et abonnement hos en udbyder og så give fri adgang til alle i nærheden - det er brud på de betingelser, man har skrevet under på ved kontraktindgåelsen.

Det andet problem er det sikkerhedsmæssige, som Dorte Toft nævner i forbindelse med sagen fra Korsør: Hvis en forbryder anvender ens trådløse adgangspunkt, vil handlingerne komme fra ens IP-adresse. Det giver et forklaringsproblem, når politiet banker på.

Angående spørgsmålet om krypteringens styrke: Ja, WEP kan brydes. Jeg har ikke hørt om vellykkede forsøg på at bryde WPA, som er indbygget i alt nyere trådløst udstyr. Og under alle omstændigheder gør kryptering det mere besværligt at overtage forbindelsen. Her gælder det gamle råd fra sikkerhedsbranchen: Man behøver ikke have verdens stærkeste cykellås. Den skal bare se mere afskrækkende ud end den, der sidder på cyklen ved siden af. Så snupper cykeltyven den i stedet.

Mvh
Torben

Steen Thomassen sagde ...

Korsør-sagen - ved den senere undersøgelse kom politiet frem til at det var en bagdør i en zoobie-proces som var blevet udnyttet.

WPA sikkerhed: Hvis man bruger Pre-Shared Key og bruger en nøgle som er for kort, så der nemt at bryde ind.
Se fx:
http://wifinetnews.com/archives/002452.html

Mvh
Steen Thomassen