Per Hellqvist om IT-säkerhet och sånt

Det var många som såg Uppdrag Granskning igår. Det märks. Jag får många frågor om det. För er som inte såg det kan jag berätta att man (återigen) körde runt i stadsmiljö och sniffade trådlösa nätverk. Reportaget handlade (återigen) om att det är många som kör utan kryptering eller den gamla, numera knäckta, WEP-krypteringen.

Spontant tycker jag att det är bra att man tar upp detta ämne lite då och då, men jag blir dock lite förvånad över att man valt det nu, då jag inte snappat upp att något speciellt hänt inom detta område nyligt. Nåväl. Uppenbarligen ser det lika illa ut varje gång man gör ett sånt här reportage. Man behöver inte sniffa länge innan man hittar någon som kör helt öppet. Det finns i snart sagt varje kvarter. Det är så vanligt förekommande att det till och med fått ett namn – “Radhusabonnemang”. Det innebär att en person i kvaretet står som “gratis” internetleverantör till sina grannar. En del vet om det, andra har ingen aning.

En hel del av reportaget svävade i gråzonen över vad som är lagligt. Dock skrev reportrarna på sin webbplats att man noga kollat med juristerna på TV och frågat vad man får och inte får göra.

Vad jag blev lite förvirrad över är att man förklarar att det är så enkelt att snappa upp kreditkortsnummer när man är ute och handlar på nätet om man kör ett öppet eller dåligt krypterat nät. Det är min uppfattning att det inte är det. Anledningen är att de allra flesta sajter man handlar hos använder sig av en SSL-kryptering. Det spelar alltså ingen roll om man kör okrypterat nätverk eftersom själva trafiken till sajten är krypterad. Det enda elakingen kommer snappa upp är att du surfar in på en sajt. När själva transaktionen äger rum är trafiken krypterad. Mig veterligen har man ännu inte knäckt SSL-krypteringen.

Sen visar man upp IRC-kanaler där man köper och säljer med stulna kreditkortsnummer. Det tycker jag var intressant. Symantec släppte för ett tag sedan en omfattande rapport i ämnet. Den heter “Underground Economy Report” (PDF)och går in på problemet på djupet. Där kan man läsa om hur mycket det kostar att köpa och sälja med diverse kreditkort och annan typ av stulen information.

Man väljer också att köpa ett kreditkortsnummer (vilket i mina ögon är i den mörka delen av gråzonen) tillhörande en svensk chef. Som framgick i reportaget hade elakingen dock inte kommit över den uppgiften via att sniffa trådlösa nätverk, utan genom skimming.

Det är här man måste stanna upp lite och fundera. Japp, det finns en risk att någon snor dina uppgifter via ditt oskyddade trådlösa nätverk, men varför skulle elakingen jobba så hårt för så dålig utdelning? Det är mycket jobb att hitta dåligt skyddade nätverk och sen måste man sitta och spela in/övervaka trafiken i hopp om att du just när avlyssningen sker ska hoppa in på en sajt som inte använder SSL-kryptering och smaska upp ditt kreditkortsnummer… Minsta motståndets lag säger att man inte kommer göra det. Istället samlar man in dessa uppgifter via phishing-sajter och trojaner som är specialskrivna att stjäla information. Då kan man få volym i informationsinsamlandet och slipper sitta i kalla bilar på mörka gator.

Har man som företag ett trådlöst nätverk måste man lägga krut på att skydda det. Där finns en helt annan hotbild. Även om man som privatperson har en hotbild emot sig, eller på annat sätt kan vara intressant för tredje person.

Vad som inte togs upp ordentligt är vad man kan göra för att skydda sig. Så jag tar det här. Det är rätt enkelt :-)

Som privatperson:

Risken att någon ska avlyssna just dig är rätt liten. Det kan vara nyfikna grannar eller skolkamrater som ska jävlas. I övrigt är risken rätt liten. Risken är större att man använder ditt nätverk för att göra skumma saker på Internet. Gör de elaka saker så går spåren till dig och du får svara på frågor från polisen. Det är inte värt det.

Det finns en del säkerhetsfunktioner i din router. De viktigaste är krypteringen och lösenordet.

När det gäller kryptering finns det ingen anledning att välja en dålig kryptering. Det bästa idag är WPA2. Finns inte det i din router så gäller WPA. Finns inte heller den så är det dags att köpa en ny router.

Den gamla WEP-krypteringen går att knäcka på ett par sekunder (som framgick i reportaget). Men notera då igen riskbilden – om elakingen är ute efter gratis Internet så kommer även en enklare kryptering göra att man väljer ett annat nätverk. Minsta motståndets lag säger att man väljer ett som är helöppet framför ett där man måste knäcka ett lösenord för att komma åt Internetkopplingen. Finns det inga alternativ så kommer man försöka men krypteringen.

När det gäller lösenordet så gäller samma standard här som i övrigt. Det ska vara ett långt och krångligt lösenord. Eftersom du inte kommer behöva skriva in lösenordet särskilt många gånger så kan du smaska på ordentligt. Jag vågar dessutom påstå att du kan skriva ned lösenordet på en lapp och gömma i huset. Risken för inbrott är mindre än risken att ett dåligt lösenord till ett trådlöst nätverk knäcks.

Här är ett förslag på ett bra lösenord till ett trådlöst nätverk – SghHY#/2hUdlp(323_eRnkj. Kopiera inte detta, hitta på ett eget.

Alltså: Klicka på WPA2-krypteringen och välj ett starkt lösenord. Enkelt va? Och helt gratis.

Tricket är när barnens kompisar kommer över och vill koppla upp sina egna datorer… då kan det vara krångligt att knåpa in lösenordet. Dessutom öppnar man nätverket till dem och man bör byta lösenord efteråt. Det är jobbigt.

Det finns dock vissa routrar som tillåter att man har en “stängd” del för dina egna datorer och sen en “öppen” del som kan användas av gäster. Fråga efter ett sånt i butiken om du känner igen scenariet.

Som företag:

Eftersom du har personal som reser på fältet och kopplar upp sig mot ditt nätverk i tid och otid måste du se till att de kan göra det på ett säkert sätt. Det vimlar av både fria och avgiftsbelagda trådlösa nätverk i världen. Gemensamt för dem alla är att de är att betrakta som öppna. Det finns ingen säkerhet i dem. Ingen alls. Tvärtom är risken för otyg överhängande.

Det finns en del saker man kan göra för att säkra upp överföringen, men enklast är att använda en VPN-lösning. Då får du i samma lösning både autenticering av användaren och en krypterad avlyssningssäkrad tunnel. Använder man t ex iPass Corporate Connect så kan man ställa in den att den ska starta VPN’en när uppkopplingen är klar. Väljer användaren att inte köra VPN så kopplas man ned. Jag tycker att det är en smidig lösning som även dator-ovana användare kan förstå.

Det finns en rörelse som tycker att Internet ska vara öppet och fritt för alla. De låter sina routrar vara öppna och bjuder på sin bandbredd till förbipasserande. Det tycker jag är lovvärt. Jag är själv gravt Internetberoende och vill vara uppkopplad jämt. Vad man ska tänka på som förbipasserande är att skydda själva uppkopplingen med t ex en VPN. Anledningen är enkel – all trafik som passerar genom accesspunkten går ju till den som delat ut uppkopplingen. så hoppa inte bara på första bästa utdelade enhet utan att tänka efter först.

Lycka till!

Taggar: Allmänt, Intrång, Intressant, Kryptering, Phishing, Trojaner

Kommentarer

3 kommentarer to “Osäkra trådlösa nätverk i Uppdrag Granskning”

  1. tomas on October 14th, 2010 14:49

    Jag funderade en del över varför inte polisen och bankerna skannar det här irc-kanalerna och annat för att dels spåra säljarna och dels få klart för sig vilka kort som är till salu.
    Det borde gå att följa pengarnas väg och kort kan spärras som kommit ut på detta sätt.

  2. Emil Vikström on October 16th, 2010 11:23

    Jag tror att många struntar i hur SSL-kryptering ska fungera. Fram tills nyligen var det mycket lätt för användaren att kringgå felaktiga SSL-certifikat – så vanligt att många gör det på ren rutin. Jag har även stött på många datortekniker (och webbutvecklare!) som inte alls förstår varför man ska ha ett SSL-certifikat från en auktoriserad utfärdare, utan bestämt hävdar att egensignerade certifikat är lika säkra.

    Resonemanget brukar vara ungefär: “De ger ju samma kryptering. Autentiseringen är ändå inte viktig”.

    När Mozilla gjorde det (nästan) omöjligt att kringgå osäkra SSL-certifikat så var konsensus på nördsajten Slashdot att detta var fel, och att det inte finns någon nytta med sådana varningar.

    SSL hjälper alltså inte alltid. Om användaren kör en gammal version av sin webbläsare, eller har lärt sig hur man kringgår SSL-varningar, så finns det fortfarande en stor risk för man-i-mitten-attacker.

  3. Hyp0tez on March 8th, 2012 08:13

    Hej Per!

    Mycket senare….
    Bara för skojs skull, iom att SSL befunnit sig i hetluften avseende säkproblem.
    Var “UG” före sin tid eller var det dålig källforskning?

    Mvh
    Hyp0

Lämna en kommentar

Du måste vara inloggad för att lämna en kommentar.