Bagdør for hackere

Chefkonsulent Preben Andersen, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned i Børsen Informatik om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.

Der breder sig gerne et skyldigt smil over ansigtet på de ledere, som jeg taler med om trådløse netværk. De ved egentlig godt, at det sikkerhedsmæssigt er noget uartigt noget. Men samtidig er teknologien så tillokkende, at de alligevel bruger den.

Det tiltrækkende ved et trådløst datanetværk er blandt andet, at det er så nemt. Ikke noget med at få elektrikeren til at komme med boremaskinen og trække ledninger rundt om i huset. Næ, man sætter bare en radiosender op centralt, hvorefter alle husets computere har direkte trådløs adgang til hinanden og internettet.

Men nu har radiobølger det med at spredes. Hvor meget det sker, kan man se, hvis man kører en tur med en bærbar pc udstyret med et trådløst netværkskort og et særligt program. Det overraskende er ikke blot antallet af netværk, der dukker op på skærmen på turen gennem byen: Det mest forbløffende er, at flertallet af dem står pivåbne.

Det er teknisk muligt at lukke delvist af for uvedkommende trafik på et trådløst net. Teknologien fungerer ikke perfekt, men den er bedre end ingenting. Men selv denne gratis og simple sikring undlader mange virksomheder at anvende.

Farligt frynsegode
Jeg kan godt frygte, at trådløse netværk er på vej ind på hitlisten over frynsegoder til virksomhedernes topfolk. Nok under jeg direktøren en god netværksforbindelse - men frynsegodet kan blive en bagdør lige ind til virksomhedens fortrolige data.

Problemet opstår, når it-afdelingen udstyrer lederen med en sikker forbindelse ind i virksomhedens it-systemer. Sådan en sikker forbindelse etableres som regel som et såkaldt VPN (virtuelt privat netværk). Kommunikationen fra lederens pc over internettet og hen til firmaets servere kodes, så uvedkommende ikke får noget ud af at opsnappe den.

Men hvis en hacker kan få adgang til lederens pc, kan han komme ind på kommunikationslinien, før den bliver kodet. Og det kan lade sig gøre, hvis man etablerer et trådløst netværk.

Dermed er det ikke sagt, at det ikke kan lade sig gøre at sikre trådløse netværk. Men det er ikke nogen enkel opgave. Så her må virksomhedslederne gøre op med sig selv: Hvor afgørende er det, at jeg har trådløst netværk? Er fordelene nok til at retfærdiggøre udgiften til at sikre forbindelsen?

Oprindelig bragt i Børsen Informatik den 15. oktober 2002.

Keywords: