Rekordtyveri af kortnumre viser risiko ved trådløse net

Chefkonsulent Shehzad Ahmad, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned i Børsen Digital om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.

Tre amerikanere står anklaget for at have hacket sig til over 40 millioner kreditkortnumre. Deres metode gør, at også danske virksomheder må kigge sikkerheden efter i sømmene.

Ifølge USA's justitsministerium er der tale om den hidtil største sag om identitetstyveri og hacking. De tre indgik i en international bande med 11 medlemmer. Ifølge anklagemyndigheden foregik forbrydelserne således:

De tre kørte rundt til butikker i store detailhandelskæder og parkerede uden for dem. Med i bilen havde de en bærbar pc. Den brugte de til at undersøge, om de kunne hacke sig ind på butikkens trådløse netværk.

Hvis det lykkedes, banede de sig vej længere ind i detailhandelskædens netværk. Her placerede de snifferprogrammer, der opsnusede kortnumre og andre detaljer om de betalingskort, som kunderne benyttede.

Metoden gav dem adgang til oplysninger om mindst 40 millioner kort. Nogle af dem misbrugte de selv: De fremstillede et blankt kreditkort og kopierede kortnummeret ind på magnetstriben. Derefter brugte de det i pengeautomater eller til at købe varer for.

Andre kortoplysninger solgte de til andre forbrydere. Oplysningerne lå gemt i krypteret form på servere i Østeuropa. De øvrige deltagere i banden stammer da også fra Østeuropa og Kina.

Husk at sikre net
Hvad kan danske virksomheder lære af den historie? En vigtig pointe er, at en kæde ikke er stærkere end det svageste led. I dette tilfælde var det svageste led de trådløse netværk i butikkerne.

Det er desværre ikke usædvanligt. Firmaet AirDefense, der sælger sikkerhedsløsninger til trådløse netværk, undersøgte sidste år sikkerheden på trådløse netværk i 3.000 forretninger i USA, London og Paris. Undersøgelsen viste, at en fjerdedel af netværkene kommunikerede uden kryptering.

En anden fjerdedel var godt nok beskyttet med kryptering – men de anvendte en gammel sikkerhedsmetode, som hackere let kan bryde.

Mit råd lyder derfor: Find ud af, om der er trådløse netværk i din virksomhed. I nogle tilfælde ved it-afdelingen det ikke, for eksempel hvis en afdeling selv har sat trådløst udstyr op. Og så vil det ofte være gjort uden sikkerhed. Tjek også, om der indgår trådløse net i kasseterminalerne.

Hvis I har brug for trådløse netværk, skal I sikre dem ordentligt. Og selv om de er sikrede, er det en god ide også at isolere dem, så de har mindst mulig berøring med jeres øvrige it-systemer. Endelig skal alle systemer holdes opdateret med de seneste rettelser af sikkerhedsproblemer.

 

Oprindelig bragt i Børsen Digital den 19. august 2008

 

 

Keywords: