Frítt net

Ferilsathugun á Stika
21/01/2019
Persónuupplýsingar í lífeyrissjóðum
Persónuupplýsingar í lífeyrissjóðum
09/02/2019
Free Wifi

Frítt wifi? Þráðlaus netið var beita. Einhver óprúttinn aðili setti upp sitt eigið þráðlausa net og beið eftir að einhver myndi tengjast.

Svana Helen Björnsdóttir skrifar:

„Varhugavert er að tengjast ókeypis þráðlausum netum. Það getur haft í för með sér gagnaleka og að óprúttnir aðilar komist yfir netaðgang fólks.“

Flest höfum við ferðast til útlanda og fussað og sveiað yfir fáranlega háu verði á gagnamagni. Þá er auðveld lausn að bregða sér á næsta kaffihús og tengjast fríu þráðlausu neti sem kaffihúsið býður upp á. Val er um tvö þráðlaus net; kaffihús og kaffihús1. Þú velur annað hvort og hugsar ekki meira um það. Svo færðu símtal frá vinnunni klukkustund síðar sem segir að verið sé að reyna að skrá sig inn á innri vef fyrirtækisins með þínu notandanafni og lykilorði. Þú gafst engum upp lykilorðið né gat nokkur séð hvað þú gerðir í tölvunni.

Svana Helen Björnsdóttir

Það sem gerðist þarna var að annað þráðlausa netið, „kaffihús1“, var beita. Einhver óprúttinn aðili setti upp sitt eigið þráðlausa net með næstum því sama nafni og beið eftir að einhver myndi tengjast. Þráðlausa netið hans er tengt við alvöru þráðlausa netið og veitir þannig netaðgang. Notandinn veit ekki betur en að þráðlausa netið virki og allt sé í lagi. Nú fer öll notkun gegnum millilið sem getur hlerað öll ódulkóðuð samskipti tölvunnar.

Lausnir

Auðveldasta lausnin á þessu er auðvitað að nota ekki þráðlaust net sem í boði er fyrir gesti og gangandi á almenningsstöðum. Frekar að nota símann sem netbeini (e. router) og nota farsímanet símans sem nettengingu. Ef nauðsynlegt er að nota óöruggt þráðlaust net er gott að nota einungis örugga vefi ef slá þarf inn einhverjar upplýsingar. Örugga vefi má þekkja með því að vefslóðin hefst á https:// í stað http://. S-ið stendur fyrir secure (öruggt). Öruggir vefir beita dulkóðun á allar upplýsingar sem eru sendar á milli þeirra og notenda þeirra. Þannig skiptir engu þótt milliliðurinn hleri samskiptin þar sem hann getur ekki afkóðað þau. Þriðja lausnin er svo að nota sýndareinkanet (VPN) þar sem notandinn tengist einkaneti í gegnum dulkóðaða tengingu. Einkanetið sækir svo það sem notandinn biður um og sendir honum það í gegnum dulkóðuðu tenginguna. Þannig myndi milliliðurinn eingöngu sjá dulkóðuð samskipti og gæti því ekki lesið úr gögnunum.

Allir þráðlausir aðgangspunktar hafa þann valmöguleika að krefjast lykilorðs til þess að unnt sé tengjast þeim. Þá er oftast notast við WPA2-dulkóðun og með því að tengjast þannig neti ættu samskiptin að vera dulkóðuð. Árið 2017 kom þó í ljós að veila er í virkni WPA2-dulkóðunar og því möguleiki á að milliliður geti komist á milli og dulkóðað samskiptin. Síðan þá hafa verið gefnar út uppfærslur fyrir flest stýrikerfi sem eiga að koma í veg fyrir svona árásir. Sá sem uppgötvaði veiluna sagði þó í viðtali í október 2018 að það væri í sumum tilvikum ennþá hægt að komast framhjá WPA2-dulkóðun með því að sameina nokkrar aðferðir. Þessi tölvuárás er þó ekki bara hlutur sem er settur upp og látinn keyra og reynt að safna sem mestum upplýsingum. Þarna yrði sérstaklega að velja aðila og beina árásinni að honum.

Ekki kasta krónunni til að spara aurinn

Það borgar sig að fara varlega og töluvert dýrara gæti orðið að nota frítt þráðlaust net á almannafæri en að bæta nokkrum krónum við farsímareikninginn. Nú borgar fólk það sama fyrir farsímaþjónustu á öllu Evrópska efnahagssvæðinu og því geta Íslendingar notað farsímaþjónustu hvar sem er í EES á sama verði og heima. Fólk ætti því einkum að nota ókeypis þráðlaus net utan EES. Sem betur fer eru öruggir vefir nú orðnir miklu algengari en fyrr, sem hefur takmarkað áhættuna sem fylgir óöruggum nettengingum. Það er engu að síður aldrei of varlega farið með upplýsingar.

Höfundur er verkfræðingur og framkvæmdastjóri Stika ehf. svana@stiki.eu

Greinin var fyrst birt í Morgunblaðinu 2.2.2019