Ofokuserad varning för öppna trådlösa nät

2004-10-25

Under den senaste tiden har det framförts krav på att öppna trådlösa nät skall förses med en varningstext. Orsaken är att dessa är lätta att avlyssna och därmed kan de enheter som använder denna infrastruktur falla offer för detta.

Jag hävdar med bestämdhet att problemet är angripet från fel håll. Visst är det så att öppna trådlösa nät är extremt lätta att avlyssna, men att lägga skulden på dem som har till uppgift att frakta IP-paket är att göra det väl enkelt för sig. Om det gula kortet nu måste plockas fram, borde varningen riktas till dem som fyller IP-paketen med information på ett sådant sätt som gör det möjligt att ta del av känslig information eller som möjliggör att känslig information kan förvanskas.

De som förutsätter avlyssningssäkra nät försätter sig i en mycket svår situation. Det finns i princip inte något avlyssningssäkert nät. Det är trots allt bara olika nyanser av komplexitet för att möjliggöra avlyssning av ett nät. Det är dessutom ytterst svårt att avgöra om risk för avlyssning föreligger eftersom det är sällsynt att du har tillräcklig kontroll över de delar av Internet som dina IP-paket passerar. Lösningen skall istället designas på ett sådant sätt att nätet inte är avgörande för om lösningen är säker eller ej. Du måste helt enkelt utgå från att du är avlyssnad när du designar din lösning och att avlyssnaren kan ha möjlighet att förvanska dina IP-paket.

Du som har följt mina nätsäkerhetskrönikor från mitten av 90-talet känner igen dig. Detta har varit på tapeten upprepade gånger. Hörnstenarna nu, precis som då, är de samma. Använd stark identifiering och kryptering för att skydda känslig information. Förenklat används stark identifiering för att säkerställa att det är rätt parter som utbyter information och kryptering används för att säkerställa att informationen inte ändras eller avlyssnas.

Redan i mitten av 90-talet fanns det en mängd lösningar som var kommersiellt gångbara. Då var egentligen den enda stötesten den stränga exportrestriktionen i USA som i viss mån hindrade oss från att använda tillräckligt stark symmetrisk kryptering. Något som idag är historia. Nu ett decennium senare är stark identifiering och kryptering en självklarhet för allt fler. Mycket tack vare att tekniken gjorts tillgänglig för var och en till en kostnad som i sammanhanget är försumbar. Tröskeln för att införa stark identifiering och kryptering har aldrig varit lägre. Trots detta finns det fortfarande de som använder klartextlösningar när de hanterar känslig information. Här är det nära till hands att ta fram det röda kortet.

Det finns inget som rättfärdigar användningen av klartextlösningar för känslig information. Den utfärdade varningen för bland annat öppna trådlösa nät gör att dessa användare får en överdriven tilltro det till nätverk som inte faller inom ramen för de omnämnda osäkra näten.

© 2004 Thomas Nilsson, Certezza AB