Usikre trådløse netværk i private hjem ? Usikre trådløse netværk i private hjem Datanomspeciale i Datakommunikation v/ Dion Rønne-Rasmussen

Agenda Kort oversigt over specialets indhold Problemformuleringen Uddybninger: Afgrænsning Fordele / Ulemper Ansvaret Teknikken & Mennesket Lovgivning / Beskyttelse / Sager Specialets konklusion Eget udbytte af specialet Spørgsmål Agenda: Først vil jeg give en kort oversigt over specialets indhold for lige at varme op. Dernæst vil jeg opridse problemformuleringen og problemstillingen Siden vil jeg gå over i en uddybning af 3 områder: Om ”ansvar” - hvem har del i at der findes usikre trådløse netværk Om udfordringen i forholdet ”Teknikken & Mennesket” Om Lovgivningen – (Straffeloven § 263) – hvilken beskyttelse har private borgere og sidst et par eksempler på Sager fra udlandet Så vil jeg opsummere specialets konklusion Inden jeg giver tiden over til at der kan stilles spørgsmål, giver jeg et indblik i det udbytte jeg selv har fået ved dette speciale

Problemformuleringen Mange installationer af trådløse netværk er i private hjem opstillet uden at være sikrede overhovedet – eller ikke sikrede tilstrækkeligt Belysning af konsekvenser ved usikre trådløse netværk Hvorfor opstår problemet (oplæsning)

Problemformuleringen Den manglende sikring Netværksadgang uden indehaverens tilladelse Netværksadgang inden for det trådløse netværks dæknings område Netværksadgang er ikke direkte synligt Indehaveren bærer et ansvar* Det kan have økonomiske konsekvenser Det kan have retslige konsekvenser Hvad er det så denne manglende sikring bevirker. For hvis det ikke er et problem at der findes usikrede trådløse netværk, så er dette speciales tid spildt Den manglende sikring gør det muligt at der kan etableres netværksadgang uden indehaverens tilladelse Denne adgang kan etableres inden for det trådløse netværks udbredelses område (dækningsområdet) – altså også uden for indehaverens grund/ejendom At der er etableret trådløs netværksadgang er ikke direkte synligt - da det ikke sker via kabler (og den indtrængende kan være skjult) Det er indehaverens ansvar at sikre sit trådløse netværk. Såfremt det trådløse netværk er forbundet til Internettet f.eks. via en bredbåndsforbindelse, så vil alt udgående data transmission være forsynet med header informationer, der knytter sig til indehaverens forbindelse. Det vil derfor se ud som om det er indehaveren og hans udstyr der står som afsender. Derfor er indehaveren ansvarlig. Hvis der foretages ulovligheder fra et givent netværk kan det få økonomiske konsekvenser. Det kunne være i form at bøde eller bod, eller hvis der er tale om lænsning af bankkonti, så også erstatning og tilbagebetaling. Hvis det ikke er indehaverens handlinger, men en udefrakommende, så vil sporene pege på indehaveren. Det samme gælder hvis der er foregået andre kriminelle handlinger, som kan få retslige konsekvenser. F.eks. kunne en indehaver af et trådløst netværk blive stille for en domstol i et andet land. Disse ting er ikke kendte forhold for ret mange indehavere af trådløse netværk. Ukendt viden

Problemformuleringen Hvad er involveret? Denne oversigt viser hvad det er der er involveret. (De forskellige elementer nævnes kort)

Uddybning Afgrænsningen Ikke Roaming Ikke kryptering Ikke typisk i private hjem Dog interessant: Monopol Ikke kryptering Mange andre har behandlet dette Ville fylde meget for at være dækkende Ikke virksomhedsløsninger Har typisk større kompetence og ekspertise Anvender ofte procedure og politikker Implementeringer ofte komplekse Flere andre mindre områder (oplæsning – med uddybende forklaring)

Uddybning Et AP (Access Point) - forbindelsespunkt Er ikke et netværk – men en enhed på et netværk Er ikke en FW – selvom nogle indeholder dette Er ikke en Router – selvom nogle indeholder dette Er ikke en HUB – selvom nogle indeholder dette Hvis AP’et ikke er forbundet til Internettet så er konsekvenserne og risici meget begrænsede Ingen ekstern trussel Risiko alene på det udstyr der kan tilgås via AP’ets netværksforbindelse Hvordan er et AP at betragte i dette speciale

Uddybning Fordele / Ulemper Emne Positive / Fordele Negative / Ulemper Pris Prisbilligt - ingen kabler i huset - under 1000 kr. Alle har råd > antal enheder højt > mange usikre netværk Sikkerhed Kan anvendes uden sikker- hed, og virker alligevel Uvedkommende kan tilegne sig adgang Anvendelighed Det virker umiddelbart når det er opstillet Der skal ikke trækkes kabler Når det virker, er der ikke indikatorer der viser at det kræver sikring (oplæsning)

Uddybning Fordele / Ulemper Emne Positive / Fordele Negative / Ulemper Information Der er mange der informerer om IT sikkerhed – også trådløs sikkerhed Folk er blevet ”tonedøve” over for emnet IT sikker- hed, - tror det er ”Ulven kommer” fraser Lovgivning Det er ikke forbudt at opstille trådløse netværk Der er ikke lovkrav om at trådløse netværk skal være sikrede Produkterne Der er mange at vælge imellem. Der er mange forhandlere De er prisbillige Godt og nemt alternativ til kabler Dækker behov i private hjem Kan opstilles uden sikkerhed Vejledning ofte mangelfuld Sælgere ved ofte for lidt Egner sig ikke til den alm. dansker (oplæsning)

Uddybning Ansvaret - Faktorers sammenspil Presses af baglandet for standarder Har produceret AP’er med WEP i udstyr efter 2001 Industri standarder (f.eks. IEEE) Producenter Hjemme / På job Hvorfor tages hovedet af når man kommer hjem? Private borgere med trådløse netværk Viden om IT sikkerhed Har vanskeligt ved at følge med og være præcis nok til domsfældelse Lovgivning Kultur Politi Moral For at vise sammenhænge mellem forskellige faktorer er denne illustration en støtte I centrum er borgeren med sit trådløse netværk. En faktor i dette er standardiseringsorganisationen IEEE, som er en organisation der tæller en lang række producenter af trådløse netværks enheder Ved siden af dem er så producenterne En anden faktor er lovgivningen – både den der skulle beskytte borgeren og den som den lovbrydende bliver dømt efter Som støtte til Lovgivningen er den udøvende magt – Politiet Siden har vi Moralen, som vi har i os Og til denne så en kultur – det være sig både etnisk, familie, arbejde osv. Slutteligt en faktor jeg har valgt at kalde ”Viden om IT sikkerhed” Alle disse faktorer influerer på borgeren, og jeg har forsøgt at afpasse størrelsen efter hvor stor indflydelse de kunne have på borgeren med det trådløse netværk. (oplæsning af de gule ”call-outs” som de kommer – for at slutte med de første to: IEEE og producenterne) (giver overgang til næste slide) IT kultur ? IT skal være gratis Mangler ressourcer og IT kyndige. AP’ers manglende logs styrker ikke opklaringsarbejde Er det OK at tage fra andre ? – bare de ikke opdager det ?

Uddybning Ansvaret Industri standarder (IEEE) Producenten WEP kryptering er OK, den måde den er implementeret på er blot ikke hensigtsmæssig WEP løsningen er: ofte skift af kode Krypteringsnøgle på 64 Bit er principielt godt nok Ikke altid foran teknologien – ofte efter – ofte følgende gængs praksis – udfordre kompatibiliteten Producenten Har solgt produkter med WEP efter 2001, (offentliggørelse af at WEP kryptering blev brudt) Et AP til 3000 kr. ? – ville måske nedbringe antal solgte AP’er: > færre usikre trådløse netværk > mindre indtjening for producenterne Et nærmere kig på årsagen til at der er usikre trådløse netværk, leder til at se på ansvaret, som IEEE og producenterne har. IEEE arbejdede efter nogens mening for langsomt, og var derfor presset for at få en standard udgivet som producenterne kunne producere efter. Dette forhastede arbejde har givet en dårlig implementering af krypterings mekanismen. Producenterne har bestemt også et ansvar. For hvis man kigger efter i kalenderen og kigger på udgivelsesdatoen for forskellige produkter, ses det at der er produkter der er produceret EFTER 2001, som har WEP indbygget. Krypteringen af WEP blev brudt i 2001. Alligevel er der produktet der er leveret til forbrugerne efter dette tidspunkt som ikke tager højde for dette sikkerhedsproblem. De tager ikke ansvar – men skal bare have solgt deres udstyr. Ville det hjælpe at produkterne var dyrere ? Dette kan markedsøkonomer og psykologer sikkert give svaret på.

Uddybning Teknikken & Mennesket En computer bruges til: hobby, arbejde, spil, forskning/videnskab, automat, beregninger, lyd/music, billeder/film, tekst, video, telefoni ……. Virksomheder har IT sikkerheds-politikker, men medarbejdere der anvender IT på arbejdet, tager ikke de ”gode IT vaner” med hjem Som forbrugere – ikke mindst når det gælder IT – stiller vi krav. Nogle af disse kan krav er urimelige. Forestil dig du har en 4 hjulstrækker: Vil du bruge den til brudekørsel – nej nok hellere en Jaguar Vil du bruge den til at transportere 13 paller med skiffer – nej nok hellere en lastbil Vil du bruge den til at køre om kap i Monacos gader – nej nok heller en Formel 1 racer. Men dette er nok hvad vi stiller af krav og forventninger til en PC. Nogle skal bruges til at simulere molekyle modeller til Insulinforskning, andre til at spille spil på, eller til at søge kageopskrifter på Internettet med. Den samme maskine skal kunne det hele. Når det drejer som om viden om IT sikkerhed, så kan det undre én at folk der arbejder med IT på arbejde ikke tager deres viden om IT sikkerhed med hjem.

Uddybning Teknikken & Mennesket (fortsat) Måske er Cisco på vej med noget der er et skridt i den retning at fjerne ansvaret fra indehaveren og lægge det over til producenten.

Uddybning Beskyttelse - Straffeloven kap. 27 Freds- og ærekrænkelser (uddrag) § 263. Stk1 Med bøde eller fængsel indtil 6 måneder straffes den, som uberettiget 1) bryder eller unddrager nogen et brev, telegram eller anden lukket meddelelse eller optegnelse eller gør sig bekendt med indholdet, 2) skaffer sig adgang til andres gemmer, 3) ved hjælp af et apparat hemmeligt aflytter eller optager udtalelser fremsat i enrum, telefonsamtaler eller anden samtale mellem andre eller forhandlinger i lukket møde, som han ikke selv deltager i, eller hvortil han uberettiget har skaffet sig adgang. Stk. 2. Med bøde eller fængsel indtil 1 år og 6 måneder straffes den, der uberettiget skaffer sig adgang til en andens oplysninger eller programmer, der er bestemt til at bruges i et informationssystem. …. § 263 a. Med bøde eller fængsel indtil 1 år og 6 måneder straffes den, der uretmæssigt erhvervsmæssigt sælger eller i en videre kreds udbreder en kode eller andet adgangsmiddel til et ikke offentligt tilgængeligt informationssystem, hvortil adgangen er beskyttet med kode eller anden særlig adgangsbegrænsning. Stk. 2. På samme måde straffes den, der uretmæssigt videregiver et større antal koder eller andre adgangsmidler som nævnt i stk. 1. Stk. 4. Sker den i stk. 1-3 nævnte videregivelse m.v. under særligt skærpende omstændigheder, er straffen fængsel indtil 6 år. Som særligt skærpende omstændigheder anses navnlig tilfælde, hvor videregivelsen m.v. sker i særlig stort omfang eller indebærer særlig risiko for betydelig skade. Når vi ser på lovgivningen så falder blikket på Straffelovens kap 27 I §263 står ordlyden som skulle beskytte indehaveren, og samtidig sætter rammen for hvad man ikke må. Også staffen gives her. Men der kan godt være tilfælde der ikke rækker langt nok ind i lovteksten til at dække et konkret tilfælde.

Sag i USA I USA har man nu fået den første sag En mand har siddet i sin bil i sin indkørsel og brugt naboens trådløse netværk.

Sag i England Også i England er den første sag nu kommet En mand har bevidst koblet sig til usikrede trådløse netværk i et boligområde gentagne gange. Han får en bøde. Der stiller også de spørgsmål ved fortolkningen af loven. I Danmark har vi ikke fået en sag - endnu

Sag i Finland Også i Finland har de fået en sag. Fra en bærbar computer, via en intetanende privatpersons trådløse og ubeskyttede hjemmenetværk. I første omgang faldt politiets mistanke på ejeren af det trådløse netværk, der fik ransaget sin lejlighed. Ved en nærmere undersøgelse af netværket fandt politiet imidlertid frem til den bærbare computers MAC-adresse, der var gemt i det trådløse netværks ADSL-boks. Adressen afslørede, at computeren tilhørte GE Money selv. Herefter fandt politiet hurtigt frem til den 26-årige formodede gerningsmand. - Vi har ikke noget tab, fordi vores effektive interne kontrol-systemer allerede dagen efter afslørede, at der manglede penge. Dem har vi nu fået tilbage, siger Pekka Pattiniemi, der er øverste chef for GE Money i Finland.

Anbefa- ling Sluk for AP’et når det ikke bruges – f.eks. om natten evt. med et tænd/sluk-ur I specialet har jeg fremstillet denne illustration. Den sammenholder dels de råd forskellige institutioner og organisationer har givet – sammen med mine egne anbefalinger. Et supplement til dette er at sætte et tænd/sluk-ur på sit AP. Det mindsker tidspunktet en ubuden gæst kan prøve at komme på, og så sparer det strøm. Illustrationen kan virke uoverskueligt ved først blik, men er det bedste jeg har set, og er ikke så uforståelig som så mange andre tiltag anses at være.

Specialets konklusion De usikre trådløse netværk udgør en sikkerhedsrisiko for ejeren fordi: Det kan få retslige konsekvenser (indenlands / udenlands) Det kan få økonomiske konsekvenser (indenlands / udenlands) – bankkontoen, bøder, etc. Datasikkerheden kan blive brudt, hvis ejerens egne data falder i de forkerte hænder. De 2 største sikkerhedsrisici der er for ejeren er: De retslige konsekvenser De økonomiske konsekvenser Hertil kommer risikoen for at hans/hendes egne data falder i de forkerte hænder. F.eks. Har nogle privatpersoner kartoteker med personoplysninger for foreninger. I mange tilfælde anvendes programmer der ikke opfylder Register Tilsynets regler om sikring af denne type data. Men dette er ikke direkte knyttet til de usikre trådløse netværk. Hackning af privates computere via Internettet vha. SpyWare eller Trojanske Heste eller lignende er muligt til dette.

Specialets konklusion De usikre trådløse netværk udgør en sikkerhedsrisiko for ofre for ulovligheder fordi: De åbne trådløse netværk der bruges af hackere stiller ikke logningsfaciliteter til rådighed Politi og retsvæsen kan have alvorlige udfordringer med at domfælde en mulig lovbryder på indicier, når der ikke er konkrete beviser De største trusler der er for ofrene skyldes: Manglende logningsfaciliteter Kan føre til ubehagelige oplevelser – med store konsekvenser > Den forkerte bliver dømt.

Specialets konklusion Løsning på at begrænse antallet af usikre trådløse netværk er ikke Lovgivning (rammer uskyldige, bremser den teknologiske udvikling) Skræmmekampagner (de rammer ikke dem de er tiltænkt – de er ”tonedøve”) Hvad er vejen frem ? Det er ikke…….

Specialets konklusion Løsning på at begrænse antallet af usikre trådløse netværk er nok: Teknologi (ændring af den teknologiske sikkerhedsimplementering) Anderledes fokus på informationsformidling i forhold til samspillet mellem mennesker og teknik. Det er ikke nødvendigvis IT folk der skal formidle, men måske psykologer. Afvejning af: Frihed vs Lov Og: Teknologi vs oplæring af forbruger Men det er ……. Sidstnævnte er den sværeste – da det kan være svært at ”måle og veje” – da der er mennesker involveret

Specialets konklusion Advarsler på produktet? Vi kender det fra Cigaretter/ medicin / El apparater m.m. Skal det også stå på trådløst netværksudstyr? Advarsel Hvis du ikke sikre dit trådløse netværk, kan du ryge i fængsel – i udlandet Et muligt tillægsforslag ? Advarsel Hvis du ikke sikre dit trådløse netværk, kan du blive uskyldigt dømt for ulovligheder andre laver Advarsel Hvis du ikke sikre dit trådløse netværk, kan du miste mange penge

Eget udbytte af specialet Udgangspunktet var: Teknisk Antaget løsning var: Teknisk Analysen førte til en nødvendig afgrænsning Emnet tog drejning til: Menneskers anvendelse af og forståelse for teknik Psykologi Lovgivning En lærerig og spændende proces Interesse fra omgangskreds på den endelige udgave Jeg startede med et udgangspunkt Har været omkring mange forskellige ting.

Spørgsmål ? ?

Fremtidens udfordringer også inden for trådløse netværk

Fremtidens udfordringer også inden for trådløse netværk Brugerforståelse er nødvendig. Her er nogle eksempler: Vi er vel alle enige om, at det er en god ide at beskytte sit trådløse netværk blandt andet med kryptering. Men hvor er de forståelige, brugertestede vejledninger, som fortæller den typiske bruger præcis, hvad han skal gøre? Netsikker nu!-webstedet giver råd som "Slå broadcastmeddelelser fra i dit trådløse netværk" og "Husk at ændre SSID" uden yderligere detaljer om fremgangsmåden. Underforstået: Hvis du ikke forstår dette, så er du dum. Windows XP Magasinet offentliggjorde for nylig en lidt mere detaljeret vejledning i, hvordan man sikrer sit netværk. Vejledningen gik ud fra, at man vidste god besked om emnet i forvejen og undlod at besvare rimelige begynderspørgsmål som for eksempel "Hvad er hexadecimal? Hvorfor er der fire keys og ikke kun en?” Vi mangler forbilledlige eksempler på, hvordan man forklarer sikkerhed på en brugervenlig måde. Viden om sikkerhed er ikke nok til at skabe rigtig sikkerhed.