1 / 27

Usikre trådløse netværk i private hjem

?. Usikre trådløse netværk i private hjem. Datanomspeciale i Datakommunikation v/ Dion Rønne-Rasmussen. Agenda. Kort oversigt over specialets indhold Problemformuleringen Uddybninger: Afgrænsning Fordele / Ulemper Ansvaret Teknikken & Mennesket Lovgivning / Beskyttelse / Sager

sabine
Télécharger la présentation

Usikre trådløse netværk i private hjem

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. ? Usikre trådløse netværk i private hjem Datanomspeciale i Datakommunikation v/ Dion Rønne-Rasmussen

  2. Agenda • Kort oversigt over specialets indhold • Problemformuleringen • Uddybninger: • Afgrænsning • Fordele / Ulemper • Ansvaret • Teknikken & Mennesket • Lovgivning / Beskyttelse / Sager • Specialets konklusion • Eget udbytte af specialet • Spørgsmål

  3. Problemformuleringen • Mange installationer af trådløse netværk er i private hjem opstillet uden at være sikrede overhovedet – eller ikke sikrede tilstrækkeligt • Belysning af konsekvenser ved usikre trådløse netværk • Hvorfor opstår problemet

  4. Problemformuleringen Den manglende sikring • Netværksadgang uden indehaverens tilladelse • Netværksadgang inden for det trådløse netværks dæknings område • Netværksadgang er ikke direkte synligt • Indehaveren bærer et ansvar* • Det kan have økonomiske konsekvenser • Det kan have retslige konsekvenser Ukendt viden

  5. Problemformuleringen Hvad er involveret?

  6. Uddybning • Afgrænsningen • Ikke Roaming • Ikke typisk i private hjem • Dog interessant: Monopol • Ikke kryptering • Mange andre har behandlet dette • Ville fylde meget for at være dækkende • Ikke virksomhedsløsninger • Har typisk større kompetence og ekspertise • Anvender ofte procedure og politikker • Implementeringer ofte komplekse • Flere andre mindre områder

  7. Uddybning • Et AP (Access Point) - forbindelsespunkt • Er ikke et netværk – men en enhed på et netværk • Er ikke en FW – selvom nogle indeholder dette • Er ikke en Router – selvom nogle indeholder dette • Er ikke en HUB – selvom nogle indeholder dette • Hvis AP’et ikke er forbundet til Internettet så er konsekvenserne og risici meget begrænsede • Ingen ekstern trussel • Risiko alene på det udstyr der kan tilgås via AP’ets netværksforbindelse

  8. Uddybning Fordele / Ulemper Emne Positive / Fordele Negative / Ulemper Pris Prisbilligt - ingen kabler i huset - under 1000 kr. • Alle har råd • > antal enheder højt • > mange usikre netværk Sikkerhed Kan anvendes uden sikker- hed, og virker alligevel Uvedkommende kan tilegne sig adgang Anvendelighed Det virker umiddelbart når det er opstillet Der skal ikke trækkes kabler Når det virker, er der ikke indikatorer der viser at det kræver sikring

  9. Uddybning Fordele / Ulemper Emne Positive / Fordele Negative / Ulemper Information Der er mange der informerer om IT sikkerhed – også trådløs sikkerhed Folk er blevet ”tonedøve” over for emnet IT sikker- hed, - tror det er ”Ulven kommer” fraser Lovgivning Det er ikke forbudt at opstille trådløse netværk Der er ikke lovkrav om at trådløse netværk skal være sikrede Produkterne Der er mange at vælge imellem. Der er mange forhandlere De er prisbillige Godt og nemt alternativ til kabler Dækker behov i private hjem Kan opstilles uden sikkerhed Vejledning ofte mangelfuld Sælgere ved ofte for lidt Egner sig ikke til den alm. dansker

  10. UddybningAnsvaret - Faktorers sammenspil Presses af baglandet for standarder Har produceret AP’er med WEP i udstyr efter 2001 Industri standarder (f.eks. IEEE) Producenter Hjemme / På job Hvorfor tages hovedet af når man kommer hjem? Private borgere med trådløse netværk Viden om IT sikkerhed Har vanskeligt ved at følge med og være præcis nok til domsfældelse Lovgivning Kultur Politi Moral IT kultur ? IT skal være gratis Mangler ressourcer og IT kyndige. AP’ers manglende logs styrker ikke opklaringsarbejde Er det OK at tage fra andre ? – bare de ikke opdager det ?

  11. Uddybning Ansvaret • Industri standarder (IEEE) • WEP kryptering er OK, den måde den er implementeret på er blot ikke hensigtsmæssig • WEP løsningen er: ofte skift af kode • Krypteringsnøgle på 64 Bit er principielt godt nok • Ikke altid foran teknologien – ofte efter – ofte følgende gængs praksis – udfordre kompatibiliteten • Producenten • Har solgt produkter med WEP efter 2001, (offentliggørelse af at WEP kryptering blev brudt) • Et AP til 3000 kr. ? – ville måske nedbringe antal solgte AP’er: • > færre usikre trådløse netværk • > mindre indtjening for producenterne

  12. UddybningTeknikken & Mennesket • En computer bruges til: hobby, arbejde, spil, forskning/videnskab, automat, beregninger, lyd/music, billeder/film, tekst, video, telefoni ……. • Virksomheder har IT sikkerheds-politikker, men medarbejdere der anvender IT på arbejdet, tager ikke de ”gode IT vaner” med hjem

  13. UddybningTeknikken & Mennesket (fortsat)

  14. UddybningBeskyttelse - Straffeloven kap. 27 Freds- og ærekrænkelser (uddrag) § 263. • Stk1 Med bøde eller fængsel indtil6 måneder straffes den, som uberettiget • 1) bryder eller unddrager nogen et brev, telegram eller anden lukket meddelelse eller optegnelse eller gør sig bekendt med indholdet, • 2) skaffer sig adgang til andres gemmer, • 3) ved hjælp af et apparat hemmeligt aflytter eller optager udtalelser fremsat i enrum, telefonsamtaler eller anden samtale mellem andre eller forhandlinger i lukket møde, som han ikke selv deltager i, eller hvortil han uberettiget har skaffet sig adgang. • Stk. 2. Med bøde ellerfængsel indtil1 år og 6 måneder straffes den, der uberettiget skaffer sig adgang til en andens oplysninger eller programmer, der er bestemt til at bruges i et informationssystem. …. • § 263 a. Med bøde eller fængsel indtil1 år og 6 måneder straffes den, der uretmæssigt erhvervsmæssigt sælger eller i en videre kreds udbreder en kode eller andet adgangsmiddel til et ikke offentligt tilgængeligt informationssystem, hvortil adgangen er beskyttet med kode eller anden særlig adgangsbegrænsning. • Stk. 2. På samme måde straffes den, der uretmæssigt videregiver et større antal koder eller andre adgangsmidler som nævnt i stk. 1. …. • Stk. 4. Sker den i stk. 1-3 nævnte videregivelse m.v. under særligt skærpende omstændigheder, er straffen fængsel indtil 6 år. Som særligt skærpende omstændigheder anses navnlig tilfælde, hvor videregivelsen m.v. sker i særlig stort omfang eller indebærer særlig risiko for betydelig skade.

  15. Sag i USA

  16. Sag i England

  17. Sag i Finland

  18. Anbefa-ling • Sluk for AP’et når det ikke bruges – f.eks. om natten evt. med et tænd/sluk-ur

  19. Specialets konklusion • De usikre trådløse netværk udgør en sikkerhedsrisiko for ejeren fordi: • Det kan få retslige konsekvenser (indenlands / udenlands) • Det kan få økonomiske konsekvenser (indenlands / udenlands) – bankkontoen, bøder, etc. • Datasikkerheden kan blive brudt, hvis ejerens egne data falder i de forkerte hænder.

  20. Specialets konklusion • De usikre trådløse netværk udgør en sikkerhedsrisiko for ofre for ulovligheder fordi: • De åbne trådløse netværk der bruges af hackere stiller ikke logningsfaciliteter til rådighed • Politi og retsvæsen kan have alvorlige udfordringer med at domfælde en mulig lovbryder på indicier, når der ikke er konkrete beviser

  21. Specialets konklusion • Løsning på at begrænse antallet af usikre trådløse netværk er ikke • Lovgivning (rammer uskyldige, bremser den teknologiske udvikling) • Skræmmekampagner (de rammer ikke dem de er tiltænkt – de er ”tonedøve”)

  22. Specialets konklusion • Løsning på at begrænse antallet af usikre trådløse netværk er nok: • Teknologi (ændring af den teknologiske sikkerhedsimplementering) • Anderledes fokus på informationsformidling i forhold til samspillet mellem mennesker og teknik. • Det er ikke nødvendigvis IT folk der skal formidle, men måske psykologer. • Afvejning af: Frihed vs Lov • Og: Teknologi vs oplæring af forbruger

  23. Specialets konklusion • Advarsler på produktet? • Vi kender det fra Cigaretter/ medicin / El apparater m.m. • Skal det også stå på trådløst netværksudstyr? Advarsel Hvis du ikke sikre dit trådløse netværk, kan du ryge i fængsel – i udlandet Advarsel Hvis du ikke sikre dit trådløse netværk, kan du miste mange penge Advarsel Hvis du ikke sikre dit trådløse netværk, kan du blive uskyldigt dømt for ulovligheder andre laver

  24. Eget udbytte af specialet • Udgangspunktet var: Teknisk • Antaget løsning var: Teknisk • Analysen førte til en nødvendig afgrænsning • Emnet tog drejning til: • Menneskers anvendelse af og forståelse for teknik • Psykologi • Lovgivning • En lærerig og spændende proces • Interesse fra omgangskreds på den endelige udgave

  25. Spørgsmål ? ?

  26. Fremtidens udfordringerogså inden for trådløse netværk

  27. Fremtidens udfordringerogså inden for trådløse netværk Brugerforståelse er nødvendig. Her er nogle eksempler: Vi er vel alle enige om, at det er en god ide at beskytte sit trådløse netværk blandt andet med kryptering. Men hvor er de forståelige, brugertestede vejledninger, som fortæller den typiske bruger præcis, hvad han skal gøre? Netsikker nu!-webstedet giver råd som "Slå broadcastmeddelelser fra i dit trådløse netværk" og "Husk at ændre SSID" uden yderligere detaljer om fremgangsmåden. Underforstået: Hvis du ikke forstår dette, så er du dum. Windows XP Magasinet offentliggjorde for nylig en lidt mere detaljeret vejledning i, hvordan man sikrer sit netværk. Vejledningen gik ud fra, at man vidste god besked om emnet i forvejen og undlod at besvare rimelige begynderspørgsmål som for eksempel "Hvad er hexadecimal? Hvorfor er der fire keys og ikke kun en?” Vi mangler forbilledlige eksempler på, hvordan man forklarer sikkerhed på en brugervenlig måde. Viden om sikkerhed er ikke nok til at skabe rigtig sikkerhed.

More Related