Trådlösa Ethernet läcker som såll

På grund av begränsningar i standarden och felaktig implementation går det att avlyssna trådlösa nät med en vanlig bärbar dator, ett trådlöst Ethernetkort för 1500 kronor och specialprogram. Detta är fallet även om användarna och administratören sköter sig och installerar rätt kryptonycklar i utrustningen - vilket dock är ovanligt att de gör.

Notera att det inte finns någon principiell skillnad gentemot trådade nät. De går också att avlyssna utifrån. Skillnaden är det för vanligt Ethernet krävs en buss full av signalspaningsutrustning för miljontals kronor eller ett inbrott för att komma åt själva kabeln. För trådlösa nät räcker det som sagt med bärbar dator och billiga kort.

Säkerhetsåtgärderna brådskar

Glöm alltså proffsspionerna. Det är prylar för 15 000 kronor, program och ett par dagars datortid som krävs - lätt tillgängligt för alla och envar. Det enklaste spiontricket är att lämna datorn kopplad till batteriet i en bil utanför det kontor som ska avlyssnas.

Flera forskargrupper och »crackers» håller på med analys av de aktuella säkerhetsprotokollen. Forskarna påstår sig ha färdiga program för att analysera och avkoda trafik men de vill av förståeliga skäl inte släppa denna fri. Min bedömning är att det krävs en arbetsinsats om två till fyra veckor för att skriva de nödvändiga »hackprogrammen» för någon som är yrkeskunnig inom både kryptering och nätverk. Testning tar någon vecka till.

Även om vi inte har lyckats hitta några allmänt tillgängliga verktyg ännu så är det bara en tidsfråga innan de är spridda. Det är också fullt möjligt att verktygen redan finns att tillgå för dem med bättre kontakter.

Ett minst lika stort problem är felaktig administration. Produkterna på dagens marknad tillåter - ofta utan varning - att de installeras utan riktig kryptonyckel eller med fabriksinställd nyckel. Om man är slö och bara stoppar in kort och nav utan inställningar medför det att alla kommer åt nätet eller ens dator.

Ett problem som inte är relaterat till krypteringen är att 802.11 använder delat media precis som gamla Ethernethubbar eller koaxialkablar. Det betyder att alla maskiner ser all trafik och att alla användare kan sniffa och logga all icke-krypterad trafik. Problemet har varit detsamma för både trådade och trådlösa Ethernet. Används växlar för trådade nät kommer man tillrätta med en del problem såtillvida att användare inte kan se andras trafik utan att använda specialprogram.

Problemet lär bli värre allteftersom nya »Internetplatser» eller »hotspots» med trådlös teknik dyker upp på flygplatser, konferenser och andra samlingsplatser. För att de ska fungera måste alla ha tillgång till samma kryptonyckel, eller inte ha någon alls. Apples mycket populära Airport är ett exempel på 802.11 utrustning som ofta används för att sniffa nätverk. Det finns till och med ett skojigt program som i realtid visar vilka webbsidor de andra användarna surfar på.

Lärorikt!

Vad kan man då göra åt problemet idag?

Första steget är att se till att all trådlös utrustning använder riktiga, slumpgenererade nycklar. Dessutom bör nätet övervakas med något program som larmar när okända eller nya enheter kopplar upp sig.

I steg två är den enklaste lösningen - i varje fall för företagsnät - att placera basstationerna utanför brandväggen eller på en egen brandväggsport, samt att använda virtuella privata nät eller IPsec (säker IP) för att låta de mobila enheterna komma åt nätresurser innanför brandväggen.

En annan lösning är att byta kryptonycklar ofta, helst flera gånger i timmen. För att det ska fungera krävs stöd både i nätverkskort, basstationer samt ett administrationsprogram som utför nyckelbytet automatiskt. Mig veterligen finns ingen sådan kommersiell produkt idag, men den lär dyka upp.

Fel installation värre problem än cyklande skurka

För att kontrollera hur illa ställt det är i verkligheten tog jag en cykeltur genom forskningsbyn Ideon i Lund med min bärbara dator påslagen. Området har många företag som tillverkar utrustning och program för trådlösa nät och mobiltelefoni, så säkerhetsmedvetandet borde vara högt.

Vid första varvet fann jag inga nätverk. Men det tar några sekunder för nätverkskorten att synkronisera med basstationen, så nästa varv togs i långsam fart. Mycket riktigt tittade två nätverk fram i loggen: ett med basstation och ett separat, uppenbarligen bestående av Macintosh iBook-datorer.

Notera att ingen specialprogramvara eller dekryptering användes, bara operativsystemets standardprogram. Att näten hittades beror på att de använde klartext, eftersom användarna och administratören inte ställt in kryptonycklar. Alla datorer med 802.11-kort hade full tillgång till dem.

En mer ondsint hacker hade kunnat komma åt nätverksresurserna eller datorernas fildelning som om han eller hon vore ansluten till de lokala näten. Dessutom hade det gått att avlyssna all trafik över radionätet, för att exempelvis samla in och knäcka lösenord.

Ett fult trick hade också varit att låtsas ha samma adress som någon av de fast anslutna datorerna på nätet, för att på så vis styra om trafiken till radionätet så att den skulle kunna avlyssnas.

Datateknik 3.0 har meddelat sig med de berörda företagen och kommer inte att lämna ut deras namn.

  (20010621)

Relaterade Nyheter:

Fel installation värre problem än cyklande skurkar