CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon

Trådløse netværk står pivåbne

Nye undersøgelser viser, at trådløse netværk står helt åbne for hackere - der kører forbi kontoret i en bil. To undersøgelser i henholdsvis Sverige og USA har vist, at over 60 procent af firmaer, der bruger WLAN, ikke bruger krypteringsprotokollen WEP.

10. september 2001 kl. 14.43
Suzette Wagner Suzette Wagner

Ringe sikkerhed

Den trådløse standard IEEE 802.11b indeholder en mulighed for at kryptere ved brug af krypteringsprotkollen WEP (Wired Equivalent Privacy), men langt fra alle firmaer benytter denne mulighed.

Vores søsterblad ComputerSweden har sammen med et andet svensk firma, DefCom, foretaget en undersøgelse af sikkerheden af trådløse netværk. Undersøgelsen foregik i starten af august, og den blev udført på en anderledes måde, end man ellers er vant til. Holdet bag undersøgelsen kørte nemlig rundt i en bil i Stockholm og brugte et sporingsprogram til at finde basisstationer (access points) til lokale netværk og et snifferprogram til at se, om firmaerne brugte krypteringsprotokollen WEP. Med disse værktøjer tager det kun et par minutter at finde et trådløst netværk.

Den svenske undersøgelse fandt mange hundrede basisstationer til lokale netværk i Stockholm. Ud af disse havde over 60 procent ikke havde aktiveret krypteringsprotokollen WEP, hvilket vil sige, at hackere i princippet har fri adgang til disse netværk. De fleste firmaer bruger DHCP (Dynamic Host Configuration Protocol), og derved kan hackeren opsnappe det trådløse netværks IP-adresse. Bruger hackeren IP-adressen er han indenfor firewallen, og han har derfor adgang til hele det lokale netværk og kan samle eller ændre information og surfe på internettet via det pågældende firmas internetforbindelse. Hackeren kan derudover ikke spores, da han jo benytter firmaets IP-adresse.

ExtremeTech foretog den 4. september en tilsvarende undersøgelse i nogle af USA's største byer på både østkysten og vestkysten. Holdet bag undersøgelsen fandt over 800 trådløse netværk, og resultatet var lige så nedslående som den svenske undersøgelse: Over 60 procent benyttede ikke WEP, og det var derfor let at opfange IP-adresser fra netværkenes DHCP-servere.

WEP

WEP
Selvom der benyttes WEP-kryptering er sikkerheden alligevel for lav. Der er to varianter af WEP: 64-bit kryptering og 128-bit kryptering. WEP-kryptering på 64-bit benytter en krypteringsnøgle, som dog kun er 40 bit lang, og det er for usikkert. WEP-kryptering på 128-bit benytter en krypteringsnøgle på 104 bit.

Flere forskere kritiserer WEP-udviklerne for ikke at have inddraget forskere med viden om kryptering i udviklingen af protokollen. Som vi har skrevet om tidligere, er der nemlig indenfor de sidste par måneder fundet mange fejl i WEP-standarden. I starten af august blev der fundet en sårbarhed i 802.11-standarden. Sårbarheden består i at krypteringsalgoritmen RC4, der bruges i protokollen WEP (Wired Equivalent Privacy), kan brydes relativt nemt. På grund af sårbarheden kan en hacker hurtigt bryde krypteringen, og derved kan uvedkommende aflytte information, der sendes over trådløse netværk.

I slutningen af august blev et nyt program, kaldet AirSnort, frigivet på internettet. AirSnort udnytter sårbarheden i krypteringsalgoritmen RC4, og derfor kan hackere endnu lettere aflytte trådløse netværk, der benytter 802.11-standarden. AirSnort kan afsløre en WEP-krypteringsnøgle på få sekunder ved at aflytte mellem 100 megabyte og 1 gigabyte trafik.

I april blev der fundet flere alvorlige sikkerhedshuller i 802.11-protokollen, hvoraf det ene sikkerhedshul giver hackere mulighed for at finde navnet på netværket. Da dette navn bruges i nogle 802.11 implementationer til autentifikation af netværkets brugere, kan en hacker bruge navnet til at få adgang til netværket.

Selvom WEP-kryptering er aktiveret, så sikrer dette ikke netværkets navn, da netværkets navn altid bliver sendt i klartekst.

Der er også problemer med MAC (Media Access Control) adresserne, der identificer klienterne i det trådløse netværk. MAC adresserne bliver heller ikke krypteret, og kan derfor let opsnappes af en hacker. Hackeren kan derefter programmere MAC adresserne på sin egen klient. Derved foregive at være en klient der tilhører det trådløse netværk og få adgang til netværket.

En hacker kan derudover opsnappe både klartekst og krypteret tekst for de krypteringsnøgler, som benyttes til autentifikation. Derefter kan hackeren beregne et gyldigt svar på en forespørgsel om autorisation samt en ny værdi for integritetskontrol, og så kan hackeren få adgang til netværket.

Allerede i februar blev der fundet et sikkerhedshul i WEP-protokollen, der gjorde det muligt at aflytte transmissioner og opstille systemer, der kunne tappe brugernes passwords.

Sikring af WLAN

Sikring af WLAN
Men hvad gør man så når WEP heller ikke er sikkert? Man skal i hvert fald ikke slå WEP fra, da det kan holde mange tilfældige hackere væk. Flere forskere råder brugerne til at benytte et ekstra lag af sikkerhed eksempelvis VPN (Virtual Private Network), når de bruger den trådløse forbindelse.

Alle, der anvender det samme trådløse netværk, skal bruge det samme password (Service Set Identifier, SSID). Men mange ændrer ikke dette password, så mange firmaer har det samme standard password som de fik af netværksleverandøren. Disse passwords kendes også af hackere, så det er vigtigt at ændre passwords med det samme, og det skal selvfølgelig ikke ændres til noget der kan relateres til firmaet. I den amerikanske undersøgelse blev der fundet en del passwords, der var sat til firmaets adresse.

Mange tror fejlagtigt, at et 802.11b signal kun rækker et cirka 30-50 meter, men dette er ikke rigtigt. Signaler er bare for svagt til at blive opfanget af de små antenner i pc kort, men en ekstern antenne på 14 dB kan fange signaler på meget større afstand. Det er endda muligt at opfange disse signaler, selvom man kører 100 km i timen.

IEEE arbejder nu på 802.11i, som skal gøre WEP mere sikker ved hjælp af et ekstra lag autentifikation. Samtidig bliver det med 802.11i muligt at bruge dynamisk allokering af krypteringsnøgler, hvilket gør, at de automatisk bliver ændret inden en hacker kan dekryptere dem. 802.11i bliver tidligst færdig i 2002.




Navnenyt fra it-danmarkVis alle »
Susanne Møller
Susanne Møller
Joachim Meinert
Joachim Meinert
Thomas Nilaus Drossaers Damgaard
Thomas Nilaus Drossaers Damgaard
René Poulsen
René Poulsen

Ulrik Jacob Hjortshøj
Ulrik Jacob Hjortshøj
Sebastian Bak Hovgaard Schmidt
Sebastian Bak Hovgaard Schmidt
Magnus Meling Hansen
Magnus Meling Hansen
Rasmus Skat Mikkelsen
Rasmus Skat Mikkelsen


 
Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
JN Data A/S
Driver og udvikler it-systemer for finanssektoren.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her
Kommende events
Hybrid, on-premise eller public cloud. Bliv klogere på fremtidens datacenter

Få indblik i, hvordan du planlægger, designer og drifter dit datacenter, så det kan følge med virksomhedens vækst, støtter bæredygtighedsindsatsen og lever op til krav om effektiv datahåndtering.

25. februar 2025 | Læs mere

Identity Festival 2025

Er du klar til en dag, der udfordrer din forståelse af, hvad Identity & Access Management (IAM) kan gøre for din organisation? En dag fyldt med indsigt, inspiration og løsninger, der sætter kursen for, hvordan vi arbejder med IAM i de kommende år.

05. marts 2025 | Læs mere

Tech Transformation Trends 2025

Tech Transformation Trends er konferencen, hvor vi sætter fokus på de helt store Danske virksomheders digitale transformationer og måden de driver virksomhed på. Dagen byder på cases og vidensdeling, der vil give inspiration som kan være med til at løfte din strategi og navigere i fremtidens digitale landskab.

06. marts 2025 | Læs mere

Se flere events »

White papers
Flere white papers »


Computerworld ... grobund for markante meninger om it
Har du en holdning? Del din viden på Computerworld »
Mogens Nørgaard
Mogens Nørgaard
Vikram Sharma
Vikram Sharma
Jørgen Floes
Jørgen Floes
David Guldager
David Guldager
Jeppe Juul-Andersen
Jeppe Juul-Andersen
Thomas Wong
Thomas Wong
Mogens Nørgaard
Mogens Nørgaard
Morten Eeg Ejrnæs Nielsen
Morten Eeg Ejrnæs Nielsen og Lisbeth Loft
opinion
Mogens Nørgaard
Mogens Nørgaard
Nørgaard: Vi har i Danmmark brug for en grundlæggende militær reform af tre små ting - her er min plan
Læs indlæg
Artikel teaser billede

Vikram Sharma

Cybersikkerhed: Sådan bør du prioritere dine sikkerhedsinvesteringer i 2025

Artikel teaser billede

Jørgen Floes

Er din virksomhed preppet til tre uger uden it?

Artikel teaser billede

David Guldager

Guldager: AI på mobilen kan skabe et kongeskifte

Artikel teaser billede

Jeppe Juul-Andersen

It-projekter lykkes ikke kun med god planlægning – de skal også have et hjerte: Her er tre gode råd

Mest læste klummer og blogs
Nørgaard: Vi har i Danmmark brug for en grundlæggende militær reform af tre små ting - her er min plan
Klumme: Indkald alle tidligere soldater under 65, alle jægere og alle medlemmer af skytteforeninger. Indkald ALLE 18-årige hvert år og uddan dem til ét eller andet - dog vigtigt at de forstår, at gamerstole ude ved fronten er sjældne.
Af: Mogens Nørgaard
Er din virksomhed preppet til tre uger uden it?
Klumme: Er jeres it-systemer robuste nok til at overleve et nedbrud i flere uger, eller vil en enkelt phishing-mail kunne lamme hele forretningen?
Af: Jørgen Floes
It-projekter lykkes ikke kun med god planlægning – de skal også have et hjerte: Her er tre gode råd
Klumme: Struktur og planlægning er vigtige for it-projekter – men de sikrer ikke succes alene. For it-projekter lykkes ikke kun med god planlægning – de skal også have et hjerte.
Af: Jeppe Juul-Andersen
David Guldager
opinion
David Guldager
Guldager: AI på mobilen kan skabe et kongeskifte
opinion Thomas Wong
Den nye nationale strategi for cybersikkerhed skal bakkes op af penge og handling
Læs indlæg

Premium
Teaser billede
Alt om den prisvenlige iPhone 16E: Så god er den i forhold iPhone 16 og 16 Pro
Læs mere »
Derfor ender dine AI-projekter ofte med at blive for dyre: Tre store udfordringer, som det er svært at tackle
Regeringen har sendt brev til den danske it-branche som svar på bekymringer: Og svaret er "stærkt, klart og meget kærkomment," siger branchen
En lille håndfuld cloud-leverandører sidder på 64 procent af det globale marked: Omsætter for flere hundrede milliarder kroner
Se alle »
Computerworld
Teaser billede
Test: Verdens vildeste trådløse højttaler trodser naturlovene og udløser et sjældent seks-tal
Læs mere »
Test: En af de bedste elbiler, som du overhovedet kan købe, er fransk
Selv pc’er fra 2020 efterlades i kulden: Her er de processorer som mister Microsoft Windows-support
Ny Windows-opdatering skaber store problemer for brugerne: Alvorlige fejl
Se alle »
CIO
Teaser billede
Microsoft gør klar til at lukke for WSUS efter 20 år - alle it-admins bør forberede sig
Læs mere »
Tre ud af fire it-projekter løber af sporet og går over budgettet - og det er der en særlig forklaring på
Regioner klar med licens-aftale med Microsoft: Priserne stiger markant
SAP-kunder tøver med at flytte over på S/4 Hana - foretrækker at bliver hængende på det gamle ECC
Se alle »
Job & Karriere
Teaser billede
40 år gammelt dansk it-selskab fusionerer med hollandsk firma og skifter navn
Læs mere »
Her er deres månedsløn: Så meget tjener CIO'erne i de danske regioner - den bedst lønnede får mere end digitaliseringsministeren
Lønninger i den danske it-branche fortsætter med at stige - så meget tjener de danske it-folk i gennemsnit
Nørgaard: I de gode gamle dage havde jeg for vane at fyre alle mine medarbejdere jævnligt
Se alle »
White paper
Teaser billede
Sådan: Opgradér din printerløsning uden store investeringer
Læs mere »
Sikkerhed gjort enkelt: Beskyt din virksomhed direkte i browseren
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »