Det enkla är det geniala

2005-06-08

I takt med att alla nätverkskomponenter blir allt mer komplexa ökar tilltron till alla tänkbara fabriksinställda värden.

De flesta har inte tid eller möjlighet att fundera över alla detaljer utan “default” duger gott. Eller gör det kanske inte det? Det vanligaste exemplet på att det enkla inte är det geniala är det trådlösa nätverket.

Om tillverkare tidigt valt att leverera allt från trådlösa nätverkskort till accesspunkter med åtminstone wep, wired equivalent privacy, som standardinställning, hade vi inte haft så många “publika” trådlösa nät.

Givetvis finns det tillfällen där ett standardvärde ger fullt tillräcklig säkerhet, men det finns allt för många exempel på att ett standardvärde har valts utifrån en annan horisont. Inte minst om man studerar standardvärden i konsumentprodukter där användarvänlighet har legat i blickfånget och säkerhet haft underordnad betydelse.

Ett slående exempel, där synsättet på en konsumentprodukt respektive en kommersiell produkt åskådliggörs, är brandväggen. För en konsument är det mesta tillåtet redan från start medan en kommersiell brandväggsprodukt är helt stängd från start. Det skulle aldrig accepteras kommersiellt att utgå från en öppen arkitektur som ska täppas till, men av någon anledning så ska det accepteras av en konsument vars kunskaper inte sällan är ringa inom området.

Ett annat område där standardvärdet kan ställa till det är användar-id och lösenord. Alla standard anvädar-id är kända, likaså alla standardlösenord, eller som i många fall en avsaknad av lösenord. Vad fri tillgång till en nätverkskomponent innebär är inte svårt att räkna ut. Det kan i sin tur kombineras med en känd sårbarhet, vilket öppnar för oanade möjligheter till att konstruera virus, maskar och trojaner.

Alla standardvärden behöver självfallet inte vara relaterade till hög eller låg säkerhetsgrad. Det kanske vanligaste exemplet är att alla nätverkskomponenter är standardinställda till att förhandla hastighet och duplex, trots att förhandlingen om den senare inte alltid lyckas.

En misslyckad förhandling om duplex innebär en överföringskapacitet som endast är några procent av tillgänglig kapacitet. Visst har nätverkskomponenterna fått bättre standardvärden, men det är fortfarande en mycket lång väg att gå tills dess att alla standardvärden som försämrat nätsäkerheten är ändrade till det bättre. Dessvärre går det nog inte att ändra historien utan det enda sättet att komma tillrätta med problemet är att lära av historien och ha ett betydligt högre säkerhetstänkande när ett standardvärde bestäms.

Det är nog också den enda vägen till att kunna surfa lugnt framgent.

© 2005 Thomas Nilsson, Certezza AB