DEBATT: - På tide å droppe advarslene mot åpne wifi-nett

[Redaksjonen.]

DEBATT: - På tide å droppe advarslene mot åpne wifi-nett

[Jens Evensen]

Vi besluttet å ha et enkelt passord på vårt gjestenett og kutte ut captive portal. Et spørsmål vi stilte oss når beslutningen ble tatt var om vi på noen måte kunne bli stilt ansvarlig for trafikken på nettet. For eksempel innhold med overgrep og liknende. Ikke at vi mistenkte legitime brukere av gjestebruker for dette, men nettet er jo også tilgjengelig utenfor bygningen, blant annet på et utested. Er det noen som har noe svar på dette? Altså om eier kan stilles ansvarlig for bruken av et åpent trådløst nett? 

Endret 5. juni 2021 av Jens Evensen

[Dubious]

Jens Evensen skrev (13 minutter siden):

Altså om eier kan stilles ansvarlig for bruken av et åpent trådløst nett? 

Ja, men de må bevise dette, og for å gjøre det, så kommer de for å ransake din leilighet, så selv om du er uskyldig, så kan du bli berørt.
Alltid sikre med vanskelig passord, selv på gjestenett.
Skriv det ned på ett papir som dine gjester kan se om de skal ha tilgang.

[DiskIT]

Må det være så svart / hvitt da?

Ja, de fleste forbrukere benytter krypterte tjenester, men bedrifter har ofte systemer som prater helt eller delvis på ukrypterte eller svært usikre måter. Advarselen om at åpne nett er usikre bør bestå, men kanskje omskrives slik at det kommer klart frem at det er en reell fare for at noen lytter på trafikken din. Flere av bedriftene jeg er innom må fortsette med interne retningslinjer om vpn eller lignende for jobb på reise.

Anyway... Kan ta med meg litt utstyr på et hotell med åpen WiFi en helg, så kan jeg vise hvor mye som fremdeles er åpent... Du peker på flere av sårbarhetene selv. En vanlig bruker vil nok ikke utsettes for dette da det krever at angriperen er i nærheten, men industrispionasje er en reell og økende trussel i vårt land. Utrolig naivt å ikke nevne dette.

[0D33XOD5]

Dersom bedriften bruker usikrede løsninger tilgjengelig over internett, vil det ha liten betydning om wifi lokalt er sikret eller ikke,

Endret 6. juni 2021 av 0D33XOD5

[MacAttack]

Argumentet om at personer eller deg selv ikke har rapportert at man har blitt "hacket" er skremmende dårlig fra en som jobber med sikkerhet.

Om noen snoker på dataen din via åpne nett vet du det mest sannsynligvis ikke selv, og i alle fall ikke Ola Nordmann som er kunde hos hotellkjeden. Du har noen gode argument, men selvrapportering om "hacking" er ikke ett av de.

 

[NULL]

Sitat: "navneoppslag med DNS går kryptert og sikres stadig oftere med DNSSEC"

Nja? Jeg tenker at vi snakker om at en veldig liten andel av DNS-oppslag går kryptert foreløpig - i den grad det gjør det, er det i stor grad snakk om brukere som har tatt et ekstra steg for å få dette på plass.

DNSSEC er vel også avhengig av støtte på DNS-serveren. De fleste som kobler seg til noe, benytter DNS-serveren (som kan være en proxy) som blir overlevert via DHCP fra nettet man kobler til.

Torsheim sier han har koblet seg til offentlige wifi-nett uten å bli hacket. Hvis man her tenker jobb-pc, antar man uansett snakker om bruk av VPN og en "managed pc" med endpoint-sikkerhet i flere former. En slik sammenligning med at "det har ikke skjedd meg" er nesten slik at man kan sammenligne det med sikkerhetsbelte: "Har kjørt uten bilbelte hele livet, og er fortsatt i live"....

Å snakke om 2005 er vel også å gå litt vel langt tilbake i tid. Vi snakker vel fort ~2015 før det virkelig begynte "å ta av" i henhold til SSL-bruk for web og for en del andre tjenester.

Selv om en del har brannmur, kan det godt være at de har en del tjenester knyttet til lokalnettverk eksponert.

Noen megarisiko er det kanskje ikke, og det er nok på mange måter langt tryggere enn tidligere, men jeg tenker at man her fortsatt ønsker å være føre var...

 

Endret 6. juni 2021 av NULL

[Anders Jensen]

Det er riktig å droppe all tankegang om at et nettverk er spesielt sikkert eller usikkert. Ikke fordi det ikke kan være nyanser her, men det er ugunstig å fokusere på nettverket med den rådende tilstanden vi har på enhets nivå. "Bygd av Sveitserost" for å sitere Carl Hewitt. Og da siktes det til hele stacken fra hardware til app.

Klart i et mer modent sikkerhetsregime hvor enhetene er så harde at selv myndighets organer med hacking som spesialitet ikke er nærmest garantert å kunne kompromittere de fleste enheter remote, så er det igjen noe verdi i å se på defence in depth hvor nettverket spiller en rolle. Frem til da er vel enhets fokusert ZTA lavest hengende frukt.

Det foreslåtte alternativet fra Carl Hewitt er Actor modell med capabilities, for den interesserte. Helst med HW støtte, men det finnes software løsninger som nærmer seg. wasmcloud.dev er en interessant løsning der. Telekom løsninger bygd i Erlang slekter på samme tankesett, men wasmcloud har en del fordeler mht. kommunikasjonsmodell, støtte for flere språk, og antagelig bedre sandkasse modell enn Erlang.

Endret 7. juni 2021 av Anders Jensen

[-Night-]

18 hours ago, NULL said:

Sitat: "navneoppslag med DNS går kryptert og sikres stadig oftere med DNSSEC"

Nja? Jeg tenker at vi snakker om at en veldig liten andel av DNS-oppslag går kryptert foreløpig - i den grad det gjør det, er det i stor grad snakk om brukere som har tatt et ekstra steg for å få dette på plass.

DNSSEC er vel også avhengig av støtte på DNS-serveren. De fleste som kobler seg til noe, benytter DNS-serveren (som kan være en proxy) som blir overlevert via DHCP fra nettet man kobler til.

Torsheim sier han har koblet seg til offentlige wifi-nett uten å bli hacket. Hvis man her tenker jobb-pc, antar man uansett snakker om bruk av VPN og en "managed pc" med endpoint-sikkerhet i flere former. En slik sammenligning med at "det har ikke skjedd meg" er nesten slik at man kan sammenligne det med sikkerhetsbelte: "Har kjørt uten bilbelte hele livet, og er fortsatt i live"....

Å snakke om 2005 er vel også å gå litt vel langt tilbake i tid. Vi snakker vel fort ~2015 før det virkelig begynte "å ta av" i henhold til SSL-bruk for web og for en del andre tjenester.

Selv om en del har brannmur, kan det godt være at de har en del tjenester knyttet til lokalnettverk eksponert.

Noen megarisiko er det kanskje ikke, og det er nok på mange måter langt tryggere enn tidligere, men jeg tenker at man her fortsatt ønsker å være føre var...

 

DNSSEC er heller ikke kryptering av DNS kun signering og validering av oppslaget. skal en ha kryptering på DoH/DoT tas i bruk.

Veldig få offentlig i Norge i dag har DNSSEC aktivert på sine tjenester. 

[Federico Zenith]

On 6/5/2021 at 8:47 PM, Jens Evensen said:

Vi besluttet å ha et enkelt passord på vårt gjestenett og kutte ut captive portal. Et spørsmål vi stilte oss når beslutningen ble tatt var om vi på noen måte kunne bli stilt ansvarlig for trafikken på nettet. For eksempel innhold med overgrep og liknende. Ikke at vi mistenkte legitime brukere av gjestebruker for dette, men nettet er jo også tilgjengelig utenfor bygningen, blant annet på et utested. Er det noen som har noe svar på dette? Altså om eier kan stilles ansvarlig for bruken av et åpent trådløst nett? 

Hvis dere skulle være ansvarlig for trafikken på nettverket, ville det ligge til grunn en antagelse om at dere overvåker og vurderer alt av innhold som går over nettet deres.

Dette er ikke bare urimelig å forvente av dere, men også klart ulovlig, med mindre det er politiet som gjør det og de har alle tillatelser på stell. Vil du være på den sikre siden, snakk gjerne med en advokat.

[nai1sirk]

Først og fremst, IT sikkerhet handler ikke om å vurdere risiko ved å si "Ingen gidder vel å hacke på denne måten"

 

Greit, innhold er kryptert, men metadata er ikke, og alle vet at ingen er interessert i metadata! Dette er like dust som å si at Datalagringsdirektivet var OK, fordi det var kun metadata.

Faren med å gå ut på denne måten er at flere følger i samme fotspor, åpner opp gjestenett uten å ha samme funksjonalitet på plass, som jeg regner med Choice har.,

UX er vel ikke et stort argument i 2021, da jeg regner med de aller fleste gjestene har erfaring med å taste inn et wifi passord fra før.

Men med de kvalifikasjonene Per har, så regner jeg med at han sannsynligvis har overveid dette, og at en WPA2 PSK som alle gjestene kjenner kanskje ikke gir meg den tryggheten jeg tror jeg får?

[OrIoN89]

Jeg jobber med it og har blitt hacket flere ganger. Kun for å være en motpol. Jeg hater det passordhelvette vi er i, men aldri bruk default passord eller blank.

[pthorsheim]

Jens Evensen skrev (På 5.6.2021 den 20.47):

Vi besluttet å ha et enkelt passord på vårt gjestenett og kutte ut captive portal. Et spørsmål vi stilte oss når beslutningen ble tatt var om vi på noen måte kunne bli stilt ansvarlig for trafikken på nettet. For eksempel innhold med overgrep og liknende. Ikke at vi mistenkte legitime brukere av gjestebruker for dette, men nettet er jo også tilgjengelig utenfor bygningen, blant annet på et utested. Er det noen som har noe svar på dette? Altså om eier kan stilles ansvarlig for bruken av et åpent trådløst nett? 

Jeg tror det skal mye til for at en virksomhet som tilbyr internett aksess kan holdes ansvarlig for det en bruker gjør på nettet. Det gjelder fra internett operatør til den lokale kaffesjappa - og hotellkjeder. At politiet tar kontakt for å forsøke å finne ut hvem som har hatt en gitt IP adresse på et gitt tidspunkt er velkjent, og her varierer det sterkt i hvilken grad virksomhetene har noe å bidra med.

Dersom sporene går hjem til deg og ditt private nett, så vet jeg ikke hvordan situasjonen stiller seg. Jeg vil uansett anbefale at du ikke kjører hjemmenettet ukryptert. :)

[pthorsheim]

DiskIT skrev (På 6.6.2021 den 4.59):

Må det være så svart / hvitt da?

Ja, de fleste forbrukere benytter krypterte tjenester, men bedrifter har ofte systemer som prater helt eller delvis på ukrypterte eller svært usikre måter. Advarselen om at åpne nett er usikre bør bestå, men kanskje omskrives slik at det kommer klart frem at det er en reell fare for at noen lytter på trafikken din. Flere av bedriftene jeg er innom må fortsette med interne retningslinjer om vpn eller lignende for jobb på reise.

Anyway... Kan ta med meg litt utstyr på et hotell med åpen WiFi en helg, så kan jeg vise hvor mye som fremdeles er åpent... Du peker på flere av sårbarhetene selv. En vanlig bruker vil nok ikke utsettes for dette da det krever at angriperen er i nærheten, men industrispionasje er en reell og økende trussel i vårt land. Utrolig naivt å ikke nevne dette.

Debattinnlegget mitt var langt nok allerede. 

Husk nå at poenget med debattinnlegget mitt er å bli kvitt rådet om at man helst aldri skal bruke ukryptert wifi, nettopp fordi om man har kryptering eller ikke mellom sin pc og aksesspunktet i taket har tilnærmet null verdi, det er ikke der man blir mitm hacket!

[pthorsheim]

OrIoN89 skrev (25 minutter siden):

Jeg jobber med it og har blitt hacket flere ganger. Kun for å være en motpol. Jeg hater det passordhelvette vi er i, men aldri bruk default passord eller blank.

Jeg har også blitt hacket et par ganger. Det har aldri vært fordi noen har sittet i umiddelbar nærhet av meg og kjørt wifi mitm (Hak5 Pineapple el.tilsv.), eller vært på samme åpne wifi som meg og fått tilgang til brukernavn, passord eller delte diskområder på min maskin.

[pthorsheim]

nai1sirk skrev (1 time siden):

Først og fremst, IT sikkerhet handler ikke om å vurdere risiko ved å si "Ingen gidder vel å hacke på denne måten"

 

Greit, innhold er kryptert, men metadata er ikke, og alle vet at ingen er interessert i metadata! Dette er like dust som å si at Datalagringsdirektivet var OK, fordi det var kun metadata.

Faren med å gå ut på denne måten er at flere følger i samme fotspor, åpner opp gjestenett uten å ha samme funksjonalitet på plass, som jeg regner med Choice har.,

UX er vel ikke et stort argument i 2021, da jeg regner med de aller fleste gjestene har erfaring med å taste inn et wifi passord fra før.

Men med de kvalifikasjonene Per har, så regner jeg med at han sannsynligvis har overveid dette, og at en WPA2 PSK som alle gjestene kjenner kanskje ikke gir meg den tryggheten jeg tror jeg får?

UX er fortsatt et argument for utrolig mange hotellgjester, fra pensjonister til konferanse- og møtedeltagere. Det går med MYE tid til veiledning på det området. Med åpent wifi uten captive portal kan det ikke bli enklere. Fornøyde gjester, penger spart.

Og WPA2 PSK har du helt rett i at du ikke skal stole på ene og alene.

[pthorsheim]

-Night- skrev (3 timer siden):

DNSSEC er heller ikke kryptering av DNS kun signering og validering av oppslaget. skal en ha kryptering på DoH/DoT tas i bruk.

Veldig få offentlig i Norge i dag har DNSSEC aktivert på sine tjenester. 

Jobber hardt for å få flere til å ta i bruk DNSSEC. Anbefalt av EU, Digitaliseringsdirektoratet og NSM. Brukes av bl.a. NSM og Datatilsynet, burde jo være grunn god nok. Microsoft har det "rett rundt hjørnet" nå for O365 / mail. 

[The Avatar]

Jens Evensen skrev (På 5.6.2021 den 20.47):

Vi besluttet å ha et enkelt passord på vårt gjestenett og kutte ut captive portal. Et spørsmål vi stilte oss når beslutningen ble tatt var om vi på noen måte kunne bli stilt ansvarlig for trafikken på nettet. For eksempel innhold med overgrep og liknende. Ikke at vi mistenkte legitime brukere av gjestebruker for dette, men nettet er jo også tilgjengelig utenfor bygningen, blant annet på et utested. Er det noen som har noe svar på dette? Altså om eier kan stilles ansvarlig for bruken av et åpent trådløst nett? 

Det spørs litt korleis du bryt ned "ansvar" i denne samanhengen.
Å tilby nettet ditt utanfor husholdninga vil ofte være i strid med brukarvilkåra til nettleverandøren, men då er ansvaret som du har begrensa til at nettleverandøren kan velge å avslutte avtalen med deg på bakgrunn av at du bryt brukarvikåra for å få ha avtale om interenett gjennom den leverandøren.

Om du tenker strafferettsleg så er du ikkje ansvareleg for lovbrudd som andre gjer å ditt nett, tilsvarande så er du ikkje straffeansvarleg for andre lovbrudd som nokon gjer i ditt hus med mindre du sjølv har våre delaktig enten ved å være med på lovbruddet eller ved å vite om lovbruddet utan å gripe inn.
Men det vil bli eit spørsmål om bevisbyrde, sjølv om du er uskuldig så er det ikkje gitt at du blir trudd på det.
I eit tenkt tilfelle der ein av gjestane på uteplassen bruker ditt gjestenett til å laste ned opphavsbeskytta materiale, så vil det fyrste sporet i etterforskninga vise til din IP adresse. Det er derfor naturleg å mistenke deg for lovbruddet. Ein slik mistanke vil då kunne føre til at politiet tek beslag i datautstyr som du har for å samle bevis. Då kan du riskere å bli fråtatt både PC og mobiltelefon i lang tid medan saka er under etterforskning. For at du skal blir dømt må likevel aktor bevise at du er skuldig, så med mindre ein finn det opphavsbeskytta materialet på dine devices eller anna teknisk bevis som loggar så skal du bli frifunnet. Sekundært må også aktor bevis at dersom det blei funnet eit piratkopiert film på din laptop bevise at det er nettopp deg som har stått for nedlastninga.

Så det du risikerer er eigentleg berre at det kan bli ubehageleg og upraktisk at du eventuelt må bevise din uskuld, eller meir relalistisk vente på at aktoratet gir opp på å prøve å finne bevis for at du er skuldig.

MacAttack skrev (På 6.6.2021 den 12.06):

Argumentet om at personer eller deg selv ikke har rapportert at man har blitt "hacket" er skremmende dårlig fra en som jobber med sikkerhet.

Om noen snoker på dataen din via åpne nett vet du det mest sannsynligvis ikke selv, og i alle fall ikke Ola Nordmann som er kunde hos hotellkjeden. Du har noen gode argument, men selvrapportering om "hacking" er ikke ett av de.

 

Eg reagerte på det samme sjølv. Å argumentere med at hacking ikkje er eit problem fordi ein sjølv ikkje har blitt hacka er ein dårleg måte å underbygge sitt eige poeng på, særleg når ei vellykka "hacking" ofte baserer seg på å stjele informasjon utan at offeret finner ut av det.
Anekdotisk argumentasjon vil aldri ha særleg med tyngde. Eg kan arguementere at sikkerheitsbelter er unødvendig fordi eg sjølv aldri har kræsja, eller at koronavaksine er unødvendig fordi eg har holdt meg frisk.

Ellers er eg einig i hovudbudskapen, etterkvart som at både teknologien og vanane våre endrast så må også råda avspeile dagens sikkerheitstrussel. Å bruke opne nett i dag har nok forholdsvis liten risiko ettersom vi har andre sikkerheitsmekanismer. Det som er trusselen på wifi-nettverk er falske nett som utgir seg for å være gjestenettet på hotellet og som lurer deg til å oppgi brukarnamn og passord gjennom phisingforsøk.

Eg trur også at sjølv om eg ikkje liker utviklinga så er mange i dag mindre opptatt av personvernet og er langt på veg opplært til å ukritisk godta alle forespørslar om sporing. Så det er ikkje sikkert at alle synes det er like problematisk lenger at kven som helst kan sjå at denne Lisa med iPhone sitter og blar seg gjennom Facebook-feeden. Sjølv om dette er lite detaljerte data så er det likevel data som kan misbrukast då det både identifserer brukaren med namn og type device, ein finner ut kva nettenester som Lisa nytter seg av, og ikkje minst når Lisa bruker dei ulike tenestene. Det gir ikkje uærlege sjeler tilgang til å lese meldingane til Lisa, men det gir nok informasjon til at uærlege sjeler kan bruke sosial hacking for å få tilgang til slik informasjon. For eksempel: "Hei Lisa, jeg ringer fra Facbook norge og vi har registrert et problem ved passordet på iPhone-appen. Kan du gå inn og bytte passord til "administrator" og oppgi koden du snart får på SMS?".

[Gus Erland]

Nei, vi har ikke slike idiotiske lover i Norge. I Tyskland derimot er det ikke tillatt å dele trådløst nettverk med andre med mindre de er identifisert. Således er det i Tyskland forbundet med straff å drive hva vi kjenner som "åpne wifi-nettverk".

Det er dessuten ingen fornuftig grunn til å advare i mot åpne nettverk. Faktisk er dette en idiotisk advarsel. Wifi har fra tidenes morgen vært en useriøs standard og bakmennene mangler enhver forståelse av sikkerhet. Derfor må man alltid ta i bruk VPN. Det spiller ingen rolle om Wifi er beskyttet med kryptering eller ikke. Alle med tilgang på nøkkelen vil kunne se hverandres trafikk. Derfor må VPN tas i bruk, alltid og bestandig. VPN-tjeneste kan fås kjøpt av tusenvis av selskaper på nett fra en dollar i måneden.

Selv ikke med Wifi's addering av WPA3 elimineres behovet for VPN. WPA3 beskytter kun den trådløse trafikken. Etter at basestasjonen har dekrytert WPA3 sendes datapakkene videre i klartekst og Wifi-tilbyder kan se hva du gjør på nett. Hvilke sider du besøker, og for mange apps, nøyaktig hva du kommuniserer. Er det noen grunn til å stole på en Wifi-tilbyder selv når han har tatt i bruk WPA3 når vi vet at han i alle år før evt. introduksjon av WPA3 har tilbudt deg en tjeneste uten en tanke for din sikkerhet? Han har ikke engang giddet å fortelle deg om svakhetene.

[Federico Zenith]

20 hours ago, Gus Erland said:

Nei, vi har ikke slike idiotiske lover i Norge. I Tyskland derimot er det ikke tillatt å dele trådløst nettverk med andre med mindre de er identifisert. Således er det i Tyskland forbundet med straff å drive hva vi kjenner som "åpne wifi-nettverk".

Interessant, men hva er egentlig omfanget - er det kun selve delingen av åpne nettverk, eller blir man medskyldig om nettet brukes til å koordinere terrorangrep, dele filmer via torrent eller annet ulovlig?