Trådløse nettverk: Fremdeles usikre

Trådløse nettverk: Fremdeles usikre

Sikkerhetsproblemer plager fortsatt mange wlan, spesielt innenfor detaljhandelen.

En stor undersøkelse foretatt av Motorolas AirDefense-gruppe har avdekket at wlan-sårbarheter fremdeles er altfor vanlige – selv etter mange publiserte advarsler.

Skanningen av wlan i store kjøpesentre viste at rundt 44 prosent av 3900 klientenheter som strekkodelesere, bærbare pc-er og mobile maskiner kunne kompromitteres. Den prosentandelen er imidlertid en stor nedgang fra året før hvor hele 85 prosent av klientenhetene var eksponerte på ulike måter.

Det viste seg at butikkenes aksesspunkter var bedre beskyttet. 68 prosent av over 7900 aksesspunkter brukte en form for kryptering, og nesten en tredel hadde ingen beskyttelse i det hele tatt. Året tidligere var 35 prosent av de detekterte aksesspunktene helt åpne.

25 prosent brukte nå Wireless Equivalent Privacy (WEP) i den nye undersøkelsen. Denne krypteringsstandarden inneholder kjente feil og kan således knuses i løpet av kort tid.

Viktige forretningsdata

Antall datainnbrudd er økende. Ponemon Institute har avdekket at blant 43 bedrifter som opplevde datainnbrudd i 2008, så var kostnadene forbundet med konsekvensene enorme. Disse konsekvensene vokste til 6,6 millioner dollar per innbrudd – opp fra 6,3 millioner i 2007 og opp fra 4,7 millioner dollar i 2006.

For 84 prosent av selskapene var dette «déjà vu all over again», og 2008-innbruddet var i hvert fall deres andre. Ikke alle disse innbruddene skyldes trådløse brister, men mange av dem gjør nettopp det.

AirDefense-skanningen var Motorolas andre årlige undersøkelse av trådløs sikkerhet i butikkmarkedet. Det var selskapets flaggskip innen overvåkingsprogramvare og Wi-Fi kort, AirDefense Mobile, som ble brukt til å skanne lokasjoner i Nord-Amerika, Europa, Australia og Korea i andre halvdel av 2008.

12 prosent av aksesspunktene som ble skannet brukte Wi-Fi Protected Access (WPA) – en industrispesifikasjon basert på utkastet til sikkerhetsstandarden IEEE 802.11i.

Oppfølgeren WPA2 er basert på den endelige IEEE-standarden og legger til preautentisering og parvis caching av hovednøkler.

Både WPA og WPA2 kan konfigureres med ulike autentiseringsmetoder som bekrefter at to kommuniserende enheter kan bli tiltrodde. Det er ellers mulig å operere med ulike krypteringssystemer (TKIP og den sterkere AES) som skjuler dataene over det trådløse nettverket. Valgmulighetene innvirker på den totale sikkerheten i wlan-et.

Denne nye undersøkelsen fant at 27 prosent av aksesspunktene brukte WPA2, men at de ikke benyttet seg av videre undermuligheter.

Det ble også avdekket at 27 prosent av de krypterte aksesspunktene benyttet seg av WPA med en såkalt pre-shared key (WPA-PSK).

AirDefense påpeker at hvis dette delte passordet knekkes, så er nettverket helt åpent. Hvis den samme nøkkelen replikeres til flere hundre butikker, vil alle disse bli svært sårbare hvis nøkkelen skulle falle i gale hender.

Ifølge sikkerhetskonsulent George Ou er WPA-PSK imidlertid temmelig trygg dersom man benytter seg av et passe komplekst passord på mer enn 10 tilfeldig valgte tegn.

Ou ga oss også en praktisk grunn for å brukte nettopp WPA-PSK, nemlig at kjedebutikker ofte mangler redundante WAN-forbindelser til RADIUS-servere for 802.1X-autentisering. Så hvis WAN-forbindelsen går ned, vil utstyr som trådløse betalingsløsninger miste RADIUS-autentiseringen. WPA-PSK kan holde disse operasjonelle selv om WAN-kommunikasjonen skulle streike.

Riktig konfigurasjon

Et annet viktig sårbarhetsområde kommer av feilkonfigurerte aksesspunkter. AirDefense konkluderte med at 22 prosent av ikke var konfigurert riktig. De hadde for eksempel beholdt sine standardinnstillinger slik de kom fra fabrikken.

Et annet eksempel er at aksesspunkter hadde konfigurert sikkerhet for 2,4 GHz-båndet, men ikke for 5 GHz-båndet. Det er også sårbart å aktivere både WPA og WEP i ett og samme aksesspunkt. Hvis man tillater begge vil man kun være så trygg som den svakeste metoden.

Butikker er under et press for å forbedre den trådløse sikkerheten, ikke minst når det gjelder kredittkortdataene de håndterer. Aruba lanserte nylig en ny versjon av sin AirWave WLAN-administrasjonsprogramvare som nå følger med på overholdelsen av versjon 1.2 av Payment Card Industry Data Security Standard (PCI/DSS).

PCI 1.2 bannlyser blant annet bruk av WEP i nye trådløse butikkløsninger, og krever at WEP fjernes fra eksisterende wlan innen 30. juni 2010.

- Av John Cox, Network World

Nettverk