Vis mer

Beskytt ditt trådløse nettverk

Lett å gjøre det litt vanskeligere for datasnokere. av Fredrik Bølstad

«Med riktig utstyr tar det en erfaren hacker bare noen få minutter å finne passordet på et WEP-kryptert nettverk. Styrken på passordet har lite å si. Styr unna!»


Måten datamaskiner kommuniserer på har tradisjonelt sett ikke blitt utviklet med sikkerhet i fokus. I dag brukes det beklageligvis fortsatt mange eldre teknologier med grunnleggende mangler når det kommer til autentisering og kryptering. Dermed blir det ofte enkelt for datasnokere å få tilgang til dataene.

Et av de beste eksemplene på sistnevnte er faktisk GSM-nettverket, men her trenger man i det minste noe spesialutstyr for å kunne fange opp trafikken. En litt mer utsatt teknologi er imidlertid trådløse nettverk (WLAN). Her finner snokerne faktisk alt de trenger til noen hundrelapper hos din lokale elektrovareforhandler.

Hvem bryter seg inn og hvorfor?

Men før vi går inn i materien; hvorfor i all verden skulle noen være interessert i å ”cracke” ditt nettverk?

Det er et spørsmål uten et entydig svar, og med mindre du er innblandet i noe lugubert eller topphemmelig, er det mye som tyder på at du bare er uheldig om noen bestemmer seg for prøve å cracke nettverket ditt - altså å finne passordet.

Den skyldige behøver ikke være annet enn en dataentusiast som har lyst å teste ut sin nye kunnskap. Ikke at det trenger være harmløst; det er nemlig mye ugagn man kan gjøre når man først er koblet til et nettverk. Og selv om det er liten sannsynlighet for at noen skulle bryte seg inn hos akkurat deg, betyr det ikke at du like gjerne kan la døren stå oppe…

Det finnes heldigvis flere forskjellige metoder å beskytte et trådløst nettverk på - først og fremst finnes det forskjellige krypteringer, og de heter i all hovedsak WEP og WPA.

Vis mer


Kortversjonen er at WEP er fy-fy, mens WPA er like sikkert som passordet du beskytter nettverket med. På denne siden kan du leser mer om de to teknikkene.

Hva kan ubudne gjester foreta seg?

Stort sett alle rutere i dag har et webgrensesnitt, der du kan logge deg inn og endre diverse innstillinger. Hvilke innstillinger som finnes varierer fra ruter til ruter, men typiske innstillinger, foruten kryptering, innebærer ofte å kunne blokkere nettsider, administrere brannmur. Det er ikke så mye sensitive data her, men helt klart mye “moro” man kan leke seg med.

Det vil være mulig å se hvilke nettsider du surfer på, samtaler fra tjenester som MSN og Facebook, hvilken nettleser du bruker og mye mer. I noen tilfeller er det også mulig å fange opp brukernavn og passord, for eksempel dersom nettsiden ikke bruker SSL - sikker tilkobling. Om det står "HTTPS" i adressefeltet, bruker nettsiden SSL. Samme gjelder forøvrig epost, der ukrypterte samtaler kan plukkes opp i klartekst.

Les også: Google har aldri vært tryggere

Og er man først på innsiden, har man ofte en enkel vei til mapper og filer på datamaskiner i nettverket. Ved hjelp av relativt enkle metoder kan dessuten datamaskinene i nettverket lures til å tro at en ondsinnet datamaskin er ruteren, slik at all trafikk går gjennom den. Dette foregår i stillhet, uten at du nødvendigvis vil merke at noe er galt.

Denne teknikken kalles ARP-forgiftning (ARP-poisoning). Man kan faktisk bare rope ut i nettverket at man er en annen en den man er, så vil de andre enhetene godta det. En klassisk variant er å fortelle ruteren at du er Maskin A og fortelle Maskin A at du er ruteren. Dermed er snokeren mannen i midten, og all trafikk går gjennom hans maskin.

I illustrasjon under vil både Datamaskin A og ruteren godta påstanden snokeren kommer med.

Vis mer


Ill. Fredrik Bølstad

Så lenge all trafikk går gjennom hans maskin kan han i grunn gjøre hva han vil med den. Om Datamaskin A ber om å få se microsoft.com, kan han få levert linux.org tilbake. Det er relativt harmløst, men for eksempel å sende folk til en uekte Facebook-kopi for å høste brukernavn og passord på en nettkafé vil straks være litt mindre harmløst.

Selv om nettsiden du skal logge deg inn på bruker HTTPS, finnes det teknikker som fjerner SSL-sertifikatet eller leverer et falskt tilbake. I første tilfelle vil du se at det står HTTP i stedet for HTTPS i starten av nettadressen. Ved nytt sertifikat vil nettleseren spørre om du vil godta dette først, noe vi mistenker at alt for mange ukritisk trykker “Ja” til.

Uten kryptering er det fritt frem for ondsinnede å plukke opp innloggingsdetaljene dine!

Hva burde jeg gjøre - og hvordan?

Du behøver ikke å være spesialist for å gjøre livet surt for datasnokere. Her er noen grunnleggende råd fra oss.

1. Endre passord på ruteren din
Det aller første du bør gjøre er å endre passord på ruteren. Det gjør man i nesten alle tilfeller ved å gå inn på ruterens nettgrensesnitt. I Windows velger du Start -> Kjør... -> cmd og skriver inn ipconfig. Adressen til ruteren er den som står etter “Standard gateway”:

Vis mer


I de fleste versjoner av Linux, samt i Mac OS finner du samme adresse ved å skrive netstat -nr i Terminal.

Nå er det bare å åpne nettleseren, skrive inn adressen til standard gateway og trykke enter. Du vil nå bli bedt om å taste inn det eksisterende passordet:

Vis mer


Om du ikke tidligere satt noe passord på ruteren, bruker den et standardpassord - det finner du i manualen som fulgte med.

Et annet alternativ kan være å se på nettsiden routerpasswords.com som har gjort et godt forsøk på å dekke alle verdens standard ruter-passord.

Logg deg inn og let etter menyen der du endrer passordet. Det finnes veldig mange rutere, med en nesten tilsvarende mengde menyer, så å lage en komplett guide er ikke mulig, så her er det bare å lete litt rundt.

Vis mer


Det er som regel enkelt å finne stedet der du kan endre passordet på ruteren.

2. Bruk WPA2-kryptering
WPA2 er den nyeste versjonen av WPA, og den blir også ansett som den sikreste. Kryptering er en innstilling du kan sette i ruteren. Selv om du bruker en sikker kryptering, må du ikke glemme at sikkerheten på nettverket fortsatt bare er så god som passordet ditt!

Vis mer


3. Ikke slipp hvem som helst inn på hjemmenettverket
Det er som sagt mye informasjon som kan fanges opp når man er tilkoblet et nettverk. Mannen i midten-angrep, for eksempel som følge av ARP-forgiftning, er en reel trussel og vanskelig å forsvare seg mot.

Det kanskje beste tipset vi kan gi, er også det enkleste og mest praktiske i dette tilfellet; nemlig å være varsom på hvem som får tilgang til nettverket ditt. Nye trådløse rutere har gjerne muligheten for gjestetilgang. De som er tilkoblet dette får tilgang til Internett, men får ikke tilgang til nettverket ditt:

Vis mer


4. Vær forsiktig på offentlige nettverk
På offentlige nettverk er ståa en litt annen. Internettkafeer og andre steder der de tilbyr trådløst nettverk er attraktive mål for ondsinnede. Ikke logg deg inn på sider som ikke bruker kryptering, det er barnemat å plukke opp.

Fyll aldri ut innloggingsbokser på annet enn nettsider som starter med HTTPS. Alle de store nettleserne markerer også at tilkoblingen er sikker på en eller annen grafisk måte. Google Chrome gjør for eksempel adresselinjen gul, i stedet for hvit som den vanligvis er.

Som nevnt tidligere er det også mulig for hackere å servere deg et uekte SSL-sertifikat. Det finnes ingen grunner til at du skulle få beskjed fra en av de større aktørene som for eksempel Facebook, Microsoft eller Google om at de har byttet sertifikat. Så om du blir bedt om å takke ja til et nytt sertifikat eller får beskjed om at sertifikatet ikke kan verifiseres er det grunner til å tenne den virtuelle varsellampen.

Det finnes riktignok noen unntak. For eksempel vil https://skandiabanken.no og https://facebook.no gi advarsler. Dette er fordi sertifikatene deres bare er klarert for henholdsvis https://www.skandiabanken.no og https://facebook.com. Så før du tar turen til internettkafeen er det en god idè å se hvilke nettsider som fungerer hjemme først.

Andre tiltak?

Det finnes programvare som lett kan oppdage skjulte nettverk og endre maskinens unike nettverkskort-adresse, bedre kjent som MAC-adresse. Dette er likevel helt fine alternativer som gjør livet til ondsinnede litt kjipere, men det er ingen grunn til å sette døren på gløtt andre steder for det.

Tenk også over om MAC-filtrering blir mer jobb for deg selv med tanke på besøkende, enn det blir et ekstra sikkerhetstiltak.

Et godt passord på et WPA2-kryptert nettverk og en dose fornuft vil fremdeles være det viktigste.

Lykke til med en sikrere trådløs hverdag!

Artikkelen har vært publisert på DinSide tidligere. Oppdatert sist 5. februar 2011

Les også: Derfor bør du styre unna WEP