Tving fram sikkerhet

Tving fram sikkerhet

KOMMENTAR: Produsentene vil gjerne legge skylden på brukeren for at sikkerhetsmekanismer ikke tas i bruk – for å gjøre det enkelt for dem selv?

På en rekke produkter er mulighetene for å øke sikkerheten betraktelig tilstede.

For å gjøre det «enklere» for brukeren er imidlertid disse funksjonene deaktivert i utgangspunktet, ifølge produsenter. Brukerne i dette tilfellet kan være både sluttbrukere og profesjonelle aktører.

Et eksempel er fokuset Dagbladet i senere tid har satt på videoovervåkings-løsninger. De nettbaserte videoovervåknings-kameraene er satt opp ute hos brukerne uten at passordbeskyttelse er aktivert eller at passordet er et felles standardpassord produsenten bruker på alle sine produkter.

Videoovervåkningskameraer er langtfra det eneste eksempelet. I en dokumentarfilm vi publiserte i forrige måned vises ikke bare problematikken rundt videoovervåkningskameraer, men også skrivere og NAS-lagringsløsninger. Blant annet kan man se hvordan sjefen for datasenteret til flyselskapet KLM har en større mengde bedriftsinterne dokumenter på en NAS hjemme hos seg selv. På denne NAS-en fra Iomega er «sikkerhet en funksjon som må aktiveres». Da hjelper det lite at store ressurser er lagt ned i fysisk- og teknologisk sikring av datasenteret...

De aller fleste produsentene av utstyr for trådløst nettverk gikk for noen år siden over til å levere produktene med et unikt passord for hver enhet. I praksis har dette gitt en kraftig reduksjon av åpne nettverk. Passordene de fleste setter er også bedre passord enn hva brukerne selv ville ha satt hvis de satt opp et passord.

Må påtvinges

Sikkerhet må påtvinges brukeren. Dette kan gjøres av produsenten eller den part som setter opp utstyret for en kunde. Med produkter som det i utgangspunktet er meningen at en sluttbruker skal kunne sette opp selv, kan man ikke regne med at kunden vil aktivere bruken av passord hvis han eller hun ikke tvinges til det.

Mange bruker vil heller ikke forstå at det finnes funksjonalitet som automatisk konfigurerer ruteren for å for å gi en enhet all den internett-tilgang som måtte ønskes. Tidligere var funksjonalitet som UPnP på rutere, rettet mot hjemmebrukere og småbedrifter, deaktivert. Men etter hvert ble dette en funksjon som var aktivert fra fabrikk – trolig med bakgrunn i mengden supporthenvendelser i forbindelse med konfigurasjon av for eksempel ip-telefoniutstyr, spill og klager over rutere som ga dårlig ytelse ved bruk av fildelingsnettverk.

Det som er skremmende i en del av eksemplene Dagbladet har plukket fram, er at videoovervåkningsløsningene i flere tilfeller er satt opp av en profesjonell part. Selv om en del videoovervåkningsløsninger har vært utsatt for angrep som åpner for offentlig tilgang, er det vanligste problemet at standardpassordet fra fabrikk er i bruk – eksempelvis admin/admin. Hadde brukeren – eller den proffe parten som setter opp løsningen – måttet gå igjennom en konfigurasjonsveiledning som tvang brukeren til å sette et nytt (og godt) passord, hadde mye av problematikken vært unngått.

Men om du har en usikret NAS, skriver eller kamera – hvor sannsynlig er det at noen «finner din ip-adresse»? Man hører om lister som ligger på nett og som man «lett» kan finne via Google, men her kan det være et tips i stedet er å se på for eksempel hvordan søkemotoren ShodanHQ.com fungerer, hvor man kan søke opp ip-adressene som potensielt har enheter/tjenester med hull – og også filtrere ut i fra for eksempel land eller by.

LES OGSÅ:

TEST: Qnap TS-221: Liten multikunstner

Oppdateringer?

I tillegg til initial sikring er oppfølging et problem. Annet enn operativsystemene vi har på pc-ene våre, er det få andre løsninger som automatisk blir oppdatert. En del produsenter gir regelrett f... i å komme med oppdateringer etter at et produkt er ute på markedet – slik etterstøtte for produktet koster penger. Eventuelt samler man opp feilrettinger og en gang i blant kommer man med en oppdatering. Og det må vel også kunne sies å være spesielt å få høre fra en produsent at siden deres produkt kjører Linux, er det sikkert – hvilket det ikke er noen automatikk i. Og så godt som alle slike produkter er Linux-baserte. I eksemplet nevnt tidligere rundt Iomega-NAS-ene som stod åpne: Iomega kom med en oppdatering, men hvor mange av kundene har oppdatert eller er i det hele tatt klar over problematikken og oppdateringen?

Når oppdateringer må gjøres ved å manuelt hente ned oppdateringen fra en webside og laste opp filen til enheten, har mange brukere falt av – de aller fleste vil ikke engang følge med på om det kommer oppdateringer. Med løsninger der det kommer beskjed om en oppdatering vil nok mange brukere også bare avvise beskjeden – det hele fungerer tilsynelatende, så hvorfor bry seg?

At en del sluttbrukere ikke forstår hvordan teknologien fungerer i praksis, kan man forstå. At produsentene ikke bryr seg om – eller ikke engang forsøker – å forbedre sikkerheten gjennom enkle grep, er uforståelig.

Clas Mehus
Journalist, PC World Norge

LES OGSÅ:

Bakdør på D-link-rutere

Les om:

Sikkerhet