Du kan aldrig stole på et trådløst netværk - selv ikke dit eget. Så kontant lyder budskabet fra sikkerheds-eksperten Kenneth Rosenkrantz, som advarer danske privatbrugere og virksomheder mod at sende data over åbne trådløse netværk. Det hjælper ikke, at forbindelsen mellem din computer og den trådløse basestation er beskyttet med kryptering - for du kan ganske enkelt ikke vide, hvem du har kontakt med i den anden ende. Det kan være en svindler, der har oprettet et falsk netværk for at lokke brugere til at koble sig på.
»På nettet kan du nu hente færdige kits til at efterligne professionelle hotspots. Selvom du mødes af en flot login-side, der til forveksling ligner hotspot-udbyderens egen side, kan du ikke stole 100 procent på, om det faktisk er et ægte hotspot,« siger Kenneth Rosenkrantz fra firmaet Allwireless.
Når du er logget på svindlerens trådløse net kan du ofte surfe ganske normalt på nettet, og opdager dermed ikke, at der er noget galt. Men svindleren lytter med på forbindelsen - i fagsproget kaldet en »man-in-the-middle« - og forsøger at opsnuse kodeord og andre informationer, der kan misbruges.
»Selvom det ofte er blevet hævdet, at en hængelås i browseren er en god garanti, er det ikke ensbetydende med, at man kender identiteten på modtageren. Det samme gælder, hvis der kommer et certifikat frem, som du kan godkende - for hvor mange læser overhovedet certifikatets tekst?« siger Kenneth Rosenkrantz.
Det kan være alvorligt for private brugere, hvis hackere lytter med på forbindelsen, men konsekvenserne kan være direkte katastrofale for virksomheder. Fænomenet kaldes også »evil twin«, når kriminelle opretter en klon af firmaets netværk og forsøger at lokke medarbejderne til at koble sig på det forkerte net.
»Hackeren behøver ikke gøre andet end at parkere i nærheden af kontoret med en særlig stærk antenne, der overdøver signalet fra firmaets eget trådløse net. Hvis virksomheden ikke bruger udstyr til at aflure, om der oprettes falske hotspots i nærheden, kan det nemt ske, at hackeren får lokket firmaets medarbejdere over på det falske net,« siger han.
Kenneth Rosenkrantz fortæller at han selv krypterer dataforbindelsen mellem sin mailklient på den bærbare computer og mailserveren på kontoret for at forhindre, at »den tredje mand« kan læse med. Ubeskyttet e-mail svarer i princippet til et postkort og kan læses af enhver, der lytter med på forbindelsen.
Han anbefaler at professionelle brugere bør benytte en sikker VPN-forbindelse når de kommunikerer med kontoret gennem offentlige trådløse netværk - også selvom det tilsyneladende er en seriøs udbyder som TDC, der står bag. Private netbanking-brugere bør benytte engangs-kodeord for at sikre mod, at svindlere kan opfange adgangsoplysningerne og tømme bankkontoen.
»I USA har man i flere år forsøgt at løse problemet ved at brugerne skal benytte et særligt program når de kobler sig til kommercielle trådløse hotspots. De danske hotspot-udbydere burde overveje den samme løsning - både for deres egen og for brugernes skyld,« slutter Kenneth Rosenkrantz.
Premium
Microsoft kendte til alvorlig sikkerhedshul i Sharepoint men fejlede med at løse problemet