Kobler du deg ofte opp på WiFi-nettet på en kafé eller pub? Det kan være farligere enn du tror

NorSIS: – Bruk nettet som om det var helt usikret.

Finn Jarle Kvalheim

Publisert 11. februar 2017

Tilkoblingsmulighetene er overalt. Vi blir stadig mer bortskjemte, med inkludert bruk av 4G i Europa og tilgang på WiFi nesten overalt. Selv ikke på fly forventer vi å måtte klare oss uten internett lenger. Men hvordan bruker vi disse ressursene? Endrer din oppførsel seg når du er på et offentlig nettverk sammenliknet med når du er hjemme eller på 4G?

Det burde den muligens. Hvor sikkert kan egentlig et nettverk du ikke styrer selv være? Vi sendte e-post til NorSIS for å spørre.

– Utfordringen med offentlig tilgjengelig WiFi er jo at den enkelte ikke kan vite hvordan nettverket er satt opp, i alle fall ikke uten å selv gjøre en del tekniske tester. En bør derfor betrakte et slikt nett for helt usikret, forklarer seniorrådgiver Bjarte Malmedal i NorSIS.

Sikkerhetseksperten forklarer at det betyr at det du sender over nettet kan leses av av andre i samme nett. I tillegg kan man også oppleve forsøk på angrep mot selve datamaskinen gjennom slike nett.

Men hva kan man egentlig gjøre for å bli sikrere på nett?

– Jeg vil ikke advare helt mot å bruke slike nett, men oppfordrer alle til å vurdere det i hvert enkelt tilfelle. Datamaskinen må selvsagt sikres, og det kan være fornuftig å bruke VPN der en frykter for avlesing av datatrafikken. Dersom man bruker https i utgangspunktet, så er det ikke sikkert at VPN er nødvendig i tillegg.

Det skal ikke mye til for å lese trafikken som går over usikrede nett. Applikasjonen Wireshark kan for eksempel gi deg mulighet til å lese ukryptert kommunikasjon mellom andre i nettet direkte. Men hvordan bruker man best slike åpne nettverk, og hva er HTTPS og VPN?

Det er viktig å tenke på nettverkene vi bruker som formidlere av beskjeder. Selv om teknologien i seg selv er passiv, og ligger der i form av kabler og bokser med antenner på, er formålet å få fraktet dataene våre frem og tilbake. Ferden er ikke over når beskjeden fra datamaskinen din treffer nettverket. Da har den ennå ikke kommet frem til serveren, eller datamaskinen i andre enden som for eksempel skal gi deg Tek.no eller VG.no.

Vi tok kontakt med Oddvar Håland Moe. Han driver med såkalt penetrasjonstesting, pen-testing, hos selskapet Advania. Det betyr svært forenklet at han tester sikkerheten i nettverk og tilkoblede maskiner.

– Generelt vil jeg anbefale at du som minimum benytter HTTPS mot websider du besøker når du er på åpne trådløse nettverk. På denne måten kan du være sikker på at webserveren er den som den utgir seg for å være. Dersom nettleseren din advarer deg om sertifikatet som brukes er det noe muffens på gang, forklarer Moe.

E-post har gjennom mange år hatt et frynsete rykte med tanke på sikkerhet, men den senere tiden har det skjedd en del utvikling også her. Moe har likevel et tips til deg som skal sende e-post fra offentlige nettverk.

– Dersom du skal sende mail ville jeg benyttet webmail over HTTPS. Noen lokalt installerte applikasjoner benytter ukrypterte protokoller som en angriper kan få innsyn i.

Også operativsystemene våre har blitt sikrere med årene, men det er én funksjon du kanskje ikke bør la stå på når du kobler til WiFi; den automatiske tilkoblingen.

– Sørg for at maskinen ikke kobler seg automatisk til nettverket. Dette er et eget valg når du setter opp tilkoblingen i Windows, og det er veldig enkelt for en angriper å utnytte. Det finnes spesiallagde rutere for dette formålet.

For noen er det kanskje ikke nok med HTTPS og hengelås i adressefeltet på nettleseren. For dem kan et eget kryptert nettverk i nettverket, kjent som VPN, være en løsning.

– Dersom du er litt paranoid og opptatt av å være litt ekstra sikker ville jeg gått for en VPN-løsning. Da kan maskinen din etablere en kryptert tunnel ut til en server på internett som du surfer gjennom.

Moe påpeker dessuten at mange trådløse nettverk tillater direkte kommunikasjon mellom dingsene som er koblet til i nettet. Det finnes ofte innstillinger i ruterne som kan skru av denne muligheten, men i offentlige nett kontrollerer man ikke disse innstillingene selv.

– Jeg personlig bruker som oftest 4G fra mobilen min for å være litt sikrere og ha kontroll på trafikken, forklarer Moe.

– Ligger det noen sikkerhet i passordene man av og til må taste for å få tilkobling til internett på offentlige nett? Disse påloggingsskjermene man får i nettleseren ...

– Disse gir ofte ikke noe mer sikkerhet. Det er gjerne bare en måte å begrense tilgang på. Jeg tror det finnes løsninger som setter opp kryptert tunnel etter pålogging, men disse er i så fall sjeldne og koster nok en del.

- VPN dukker opp som anbefaling titt og ofte, men er det alle nett som slipper gjennom VPN-tunneler? Jeg ser for meg at det kan avhenge av hvordan nettet er satt opp?

– Det er veldig variert hvilke nett som tillater VPN. Veldig ofte tillater åpne nettverk bare for eksempel HTTP/HTTPS/DNS, mens andre tillater alt. Noen VPN-tilbydere kan gi tjenesten over port 443, altså porten som brukes for HTTPS, avslutter sikkerhetseksperten.

"Jeg personlig bruker som oftest 4G fra mobilen min for å være litt sikrere.Oddvar Håland Moe, Advania"

For ordens skyld, en port kan svært forenklet beskrives som en dør i huset som er internettilkoblingen din. Ulike tjenester bruker ulike dører for å ferdes inn og ut av datamaskinen din. Port 80 kan kanskje kalles standarddøren, ettersom det er den nettlesere typisk bruker når de skal hente ned nettsider. Hvis det er snakk om krypterte trafikk går altså nettleseren over til port 443. Så lenge man vet at man ikke kommer til å hindre annen trafikk er det imidlertid mulig å bestemme hvilke porter de ulike tjenestene skal ferdes over.

Dermed kan det altså være mulig å bruke VPN i nett som i utgangspunktet ikke tillater det ved å bruke porter som likevel ikke er i bruk. En VPN-tilkobling er som sin egen nettilkobling inni den du har til vanlig, og nettleseren din vil derfor ikke bruke den vanlige tilkoblingens porter.

Men å bestemme slike porter, eller å vite at man ikke kolliderer med andre tjenester maskinen er avhengig av, kan være komplisert. Måtene å sette det opp varierer fra applikasjon til applikasjon. Dermed kan nedsperrede nett oppleves som vanskelige å bruke på denne måten med mindre man har rotet seg et greit stykke ned i menyene for programmene man bruker.

Hva du sender i et nettverk avhenger av hvor mye du stoler på budbringeren. Akkurat som når du sender en fysisk pakke. Så lenge det er ledd igjen i nettverket som skal videreformidle informasjonen din, kan den leses av mens den passerer. Hvis leddene kontrolleres av ondsinnede, eller er så dårlig sikret at ondsinnede krefter enkelt kan få tilgang, vet du aldri hvem som titter på dataene du sender forbi.

En annen ting man gjerne ikke tenker på er at disse dataene ofte passerer i klartekst. Benytter man de enkleste overføringsmekanismene for nettsider eller e-post er det enkelt lesbar tekst som flyr forbi. Det er ingenting rundt som sikrer den.

Ville du sendt tilgangsinformasjon til nettbanken din på et åpent postkort uten konvolutt?

Jo viktigere data du skal sende, desto tryggere bør du være på nettverket ditt. Så hva kan gjøre deg trygg?

For de fleste av oss handler det om en kombinasjon av bevisst internettbruk og et par teknologier som kan hjelpe til der vi må dele viktig eller sensitiv informasjon gjennom kanaler vi ikke helt stoler på.

Tre punkter det kan være greit å vite om:

• HTTPS, eller kryptert nettverkstransport over teknologien TLS (Transport Layer Security), vises med hengelås i adressefeltet i nettleseren.
• VPN, eller virtuelle private nettverk, kort fortalt krypterte nettverk inni andre nettverk. Kjøpes som egen tjeneste eller fås som del av større sikkerhetspakker.
• Vit hvilken informasjon som er sensitiv.

Du og jeg frakter antakeligvis sjelden den aller viktigste informasjonen. De færreste av oss er så viktige at det er særlig fare for målrettede angrep. Men det betyr ikke at vi ikke har informasjon som er sensitiv og som kan være viktig for noen. Den informasjonen vil variere noe fra person til person, men her er noen eksempler:

• Personnummer
• Passnummer
• Kortdetaljer for VISA, MC eller andre løsninger
• Påloggingsinformasjon til bank
• Påloggingsinformasjon til tjenester som kan benyttes ondsinnet

At ingen av oss bærer på koder til verdens atomarsenal betyr altså ikke at vi er uinteressante. Men at det er få faktiske enkeltmennesker som jakter på informasjonen kan i det minste gjøre det enklere å holde seg trygg.

Sikkerhetstruslene som rammer folk flest er i stor grad automatiserte i en eller annen form. Det handler blant annet om søppelpost som vi forventes å trykke på, før vi deler av vår viktigste informasjon med en innloggingsløsning som noen andre enn de vi forventer har satt opp.

Nettverk med høy risiko, som åpne offentlige nettverk, setter også krav til sikkerheten på PC-ene våre, slik at ikke disse selv skal dele av informasjonen din, eller bli deltakere i uønskede hendelser på internett uten din inngripen.

I denne sammenhengen bør det være tilstrekkelig å ha de siste oppdateringene til operativsystemet ditt.

At tilgangsinformasjon er viktig ser vi også på mengden større kontolekkasjer i løpet av et gitt år. De siste årene har det knapt gått to måneder i strekk mellom hver store lekkasje av brukernavn, passord og av og til kortnumre og annen informasjon fra steder som Dropbox, Yahoo og andre.

Akkurat som du kanskje har blitt vant til å se de tidvis dårlig formulerte beskjedene om stenging av bankkontoen din i innboksen, bør du også tenke på at enkelte offentlige nettverk kan være satt opp for å sanke av informasjonen som flyr forbi, og at også nettverk fra aktører du stoler på kan utnyttes på denne måten.

At det står Norwegian eller SAS på et nettverk i et aluminiumsrør på himmelen betyr ikke at ikke passasjeren i stolen ved siden av deg lytter til hva som foregår i det ukrypterte nettet.

Det betyr ikke nødvendigvis at du ikke bør bruke det, men det kan legge føringer på hvordan du bør bruke det.

Kryptering kan være en god løsning. Spesielt én form for kryptering begynner å bli utbredt nå, og du ser den i adressefeltet på nettleseren din. En hengelås foran adressen betyr at tilkoblingen din mot datamaskinen som gir deg innholdet er kryptert. Løsningen kalles HTTPS eller TLS, avhengig av hvor spesifikk du ønsker å være.

Her er kommunikasjonen din med serveren beskyttet, men hvor kommunikasjonen din går er fortsatt synlig.

Ikke alle nettsteder tilbyr HTTPS, men om du ønsker å sikre deg at du bruker løsningen i størst mulig grad kan du laste ned nettlesertillegget HTTPS Everywhere.

Det du selv gir fra deg av data gjennom for eksempel tekstbokser på nettsiden er i utgangspunktet sperret for innsyn fra andre når HTTPS er i bruk. Men helt usynlig er du fortsatt ikke for sidemannen, enten du sitter i flyet eller på McDonalds.

Hvis du vil at alt du foretar deg skal være usynlig i nettet du er tilkoblet må du lage din egen krypterte kommunikasjonskanal inni det. HTTPS er en slik kanal mellom deg og hvert enkelt nettsted du kobler til, men vil du ha en sikker kanal som omfatter alt du gjør i nettet er det VPN som gjelder. Et slikt nettverk skal i utgangspunktet kryptere absolutt all informasjon datamaskinen din sender fra seg.

Les vår samletest av VPN-tjenester »

Det eneste folk rundt deg vil kunne se er at en hel haug uleselige data går mellom deg og et endepunkt ute på internett. Endepunktet er naturligvis VPN-serveren du kobler til. Derfra og ut er det ikke sikkert informasjonen krypteres videre, men har du samtidig en hengelås i nettleseren vet du at dataene er kryptert fra ende til ende. Altså hele veien.

Et tilleggsmoment her er at du også må stole på tilbyderne av sikkerhetsjenestene du bruker. Det er lett å le av, men fra tid til annen dukker også lekkasjer fra selskaper som driver med sikkerhet opp. Det kan for eksempel være greit å ha en VPN-tilbyder som ikke loggfører aktiviteten.

Det er imidlertid også greit å være klar over hva du bruker nettverk og tjenester til, og hva du overfører gjennom dem. Bør du for eksempel sende et bilde av passet ditt i en i utgangspunktet ukryptert e-post gjennom et åpent og usikret trådløst nett?

Ofte kan nettsikkerhet ha vel så mye med hvordan du opptrer og hvem du stoler på som med den tekniske sikkerheten rundt deg. Akkurat hvor forsiktig du bør være avhenger både av hvor viktige data du omgås med og hvor utrygg du føler deg på nettet du bruker. Men du har alltid noe som kan være av verdi for noen. Et bilde av passet ditt i feil hender kan bety ukentlige kredittsjekker og stadig ny gjeld i ditt navn. Det kan det være vanskelig nok å rydde opp i.

Vil du lese mer om hvordan trafikk i nettverk fungerer? Her kan du se hva som skjer når du taster Tek.no inn i nettleseren »

Les også

Dette blir de fem verste datafellene neste år

Roper varsko: Norsk ungdom er sinker på digital sikkerhet

Pirate Bay må for første gang blokkeres av en svensk nettleverandør