Sunday, November 14, 2010

Usikrede trådløse nettverk

Til alle tilbydere av trådløse nettverk i Norge, både i kommersiell og offentlig regi, samt alle andre som har åpne trådløse nettverk for egne ansatte, gjester, naboer og hvem det ellers måtte være.

Jeg håper og tror at de fleste av dere fikk med dere lanseringen av "Firesheep", et tillegg til nettleseren Firefox som ble lansert for noen uker tilbake. Media har allerede dekket dette grundig som en nyhetssak, selv om det egentlig ikke presenteres noen nyhet. Dette tillegget gjør det ekstremt enkelt å stjele tilgang til andres Facebook kontoer, samt en rekke andre kjente steder som Twitter og Amazon.com. Teknikken er altså "gammel", dette tillegget er lansert "for å få ulike tjenesteleverandører til å tenke seg om en gang til".

...Og her kommer altså mitt ønske til dere: vær vennlig og vurder et prosjekt som har til hensikt å innføre kryptering av deres trådløse nettverk som standard. Dette for å kraftig redusere sannsynligheten for misbruk av deres trådløse nettverk, samt skjerme deres kunder fra hverandre ved bruk av deres nett.

Eksempel: sitter man på Gardermoen og bruker Avinors trådløse nettverk (valgfri leverandør), så benytter man altså et åpent trådløst nettverk. Dette gir i seg selv ingen sikkerhet overhodet, noe også Avinor selv opplyser om i sine bruksvilkår. All bruk av f.eks. Facebook, Amazon eller Twitter på dette trådløse nettverket, f.eks. via pc, iPad eller mobiltelefon, kan svært enkelt avlyttes og misbrukes av andre på samme nettverk. Faktisk kan man med dette verktøyet ta eierskap til andres kontoer på nevnte tjenester, samt en rekke andre. Dette igjen kan gi tilgang til personsensitive data (ref §POL), forretningshemmeligheter, og andre sensitive opplysninger.

Jeg skal ikke påstå at ingen leser vilkårene før de tar tjenesten i bruk, men jeg tror ikke det er mange som leser dem heller. Hvor mange som faktisk forstår konsekvensene av vilkårene er jo også relevant, men det kan jo ikke Avinor eller samarbeidspartnere holdes ansvarlig for regner jeg med.

Nå er ikke mitt ønske noe jeg har funnet på selv. Jeg vil ikke ta æren for noe som andre har kommet opp med, så jeg vil anbefale dere følgende lesning. Jeg føyer meg til rekkene som er enig i disse vurderingene, og anbefaler tiltak fra dere.

1. Is it legal to use Firesheep at Starbucks? (Computerworld)
Denne artikkelen er svært interessant, da den tar opp 2 motsetningsforhold i en juridisk kontekst: "det finnes ingen rimelig forventning til personvern i et offentlig tilgjengelig og åpent/usikkert trådløst nettverk". Dette settes opp mot "Når mennesker bruker sin konto på sosiale nettverkstjenester, så har man en forventning om at ens personvern blir ivaretatt". At sistnevnte tilgang gjøres via et åpent/usikret nettverk anses dermed som irrelevant.

2. Dear Starbucks: The skinny on how you can be a security hero (nakedsecurity)
Chester Wiesniewski i Sophos Labs skrev denne artikkelen som en anbefaling om å sikre sine løsninger til ulike leverandører av trådløst nettverk. Han fikk umiddelbart respons av teknisk karakter; nettopp at hans anbefalinger allikevel kunne forbigås gjennom mer avanserte og målrettede angrep. Han oppdaterte saken sin med å si at dette kanskje ikke var en så god ide allikevel. Jeg har selv kommunisert med ham og flere andre, og konsensus virker å være at det er bedre å gjøre noe, enn å gjøre ingenting. I så måte inneholder artikkelen alt dere måtte ha behov for å vite ift sikring av dagens løsninger.

Det er mange måter dette kan løses på, og for de store leverandørene kan det nok innebære en del arbeid. For alle bedrifter og andre mindre organisasjoner som tilbyr såkalte "gjestenett" i form av trådløse nettverk; vær oppmerksom på at dere utsetter deres gjester for unødig risiko ved å tilby slike gjestenett i ukryptert og ubeskyttet form. Sannsynligheten for at egne ansatte også benytter slike gjestenett er stor, mens de nødvendige tiltak bør ikke representere mer enn noen timers arbeid pluss et oppslag på intranett og i resepsjonen om innføring av felles tilgangspassord til det trådløse nettverket.

Når dette er sagt så bør det vel også sies at forbrukere flest har en forventning til at de sikkerhetsmekanismer som måtte eksistere i et produkt er skrudd på som standard ved kjøp. Man forventer jo at sikkerheten er godt ivaretatt de fleste steder. Allikevel selges det meste av slikt trådløst utstyr med et standard oppsett hvor de fleste sikkerhetsfunksjoner er skrudd av, og det overlates til sluttbruker å ta dem i bruk dersom dette er ønskelig.

Lykke til.

3 comments:

  1. http://blogs.iss.net/archive/freewifi.html

    ReplyDelete
  2. Til orientering vil ikke WPA-PSK eller WPA2-PSK beskytte mot overvåking mellom brukerene på nettverket (altså alle som har passordet kan se all trafikk på nettverket, som f.eks ved en flyplass eller gjestenett i en bedrift).

    twitter @kozmic

    ReplyDelete
  3. Litt sikkerhet er alltid bedre enn ingen sikkerhet Ståle! I mange tilfeller (les urler jeg linket til) så vil også wpa/2-PSK bidra.

    ReplyDelete

All comments will be moderated, primarily for spam. You are welcome to disagree with my posts of course.