DEBATT

– På tide å droppe advarslene mot åpne wifi-nett

Noen gode råd varer ikke evig.

Det er på tide å droppe advarslene mot åpne wifi-nett, sier Per Thorsheim.
Det er på tide å droppe advarslene mot åpne wifi-nett, sier Per Thorsheim. Foto: Marius Jørgenrud
Per Thorsheim, Security & Governance Manager BankID i Vipps
5. juni 2021 - 19:00

Dette debattinnlegget gir uttrykk for skribentens meninger. Ønsker du selv å bidra i debatten, enten med et debattinnlegg eller en kronikk, les retningslinjene våre her.

Dette rådet har du hørt før: IKKE BRUK USIKREDE WIFI NETTVERK.

Du har sikkert også fått med deg reklamene om å bruke 4G istedenfor. For ekstra sikkerhet kan det toppes med et lag av VPN, antivirus, voksenfiltre og forsikringer ingen vet hvordan virker. Alt dette kan kjøpes fra tele- og internettleverandører som enten er, eller har vært blant landets største tilbydere av åpne og usikrede wifi nettverk i mange år.

Hos ny arbeidsgiver går jeg nå igjennom obligatorisk sikkerhetsopplæring, og også her kom advarselen om å unngå å bruke åpne og usikrede wifi nettverk. Spoiler: jeg har allerede brukt åpent og usikret wifi hos Avinor, SAS, NSB og kanskje et titalls andre, og det bare siden jeg begynte 1. mars i år. Jeg har enda ikke blitt hacket. Faktisk har jeg brukt åpne wifi jevnlig helt siden jeg selv solgte og installerte wifi utstyr tilbake i 97–98 en gang, og enda ikke blitt hacket!

Enkelt og greit

Hos min forrige arbeidsgiver, en nordisk hotellkjede med noen titusentalls aksesspunkter spredt ut over 200+ lokasjoner i 6 land, så hørte vi ALDRI om at noen kunder hadde blitt «hacket» på grunn av at de brukte åpent, gratis og usikret wifi hos oss. Imidlertid fikk vi høre hver eneste dag fra kunder som var overlykkelig over at det var så enkelt å komme seg på Internett hos oss. Ingen registrering. Ingen romnummer. Ingen passord. Bare koble til og kjør. Det er uendelig mange timer spart for kundeservice og resepsjonsansatte!

Tilbake i januar 2020 tvitret jeg en lang tirade (https://twitter.com/thorsheim/status/1220813454824570899?s=20) med teknisk argumentasjon og forklaring på hvorfor vi valgte å kjøre med åpent og usikret wifi. I tråden stilte jeg også 3 spørsmål med 2 svaralternativer hver om wifi sikkerhet. Ikke overraskende er svarene tydelige på at åpne og usikrede wifi nettverk ikke noen årsak til at folk blir hacket. Hyggelig var det å få applaus og støtte fra bransjefolk til akademikere rundt om i hele verden, toppet av sikkerhetssjefen for det demokratiske parti i USA. De har som kjent hatt god grunn til å være paranoide på sikkerhet.

Tilbake i 2004–2005 brukte jeg og en bransjekollega tid på «wardriving» i Bergen. Vi kartla hundrevis av wifi nettverk, hvor mange den gang var åpne og ubeskyttet. Resultatet ble en artikkel skrevet av professor Kjell Jørgen Hole ved UiB om sikring av wifi nettverk i anerkjente IEE Security & Privacy. Den gang var det ikke måte på hvor mange delte disker og datamaskiner vi uten videre kunne kopiert og ødelagt. Ingen brannmur, ingen passord. Det meste av trafikk på internett gikk ukryptert, og vi kunne avlyttet hva folk surfet på, hva de chattet om, sendte på epost og plukket opp deres brukernavn og passord.

Slik er det ikke lenger.

En annen verden

Nå i 2021 har telefoner, nettbrett og PC-er innebygd brannmur. De deler ikke lenger ut data til hvem som helst. Tjenestene vi bruker på nett bruker tvungen HTTPS kryptering, vi har automatisk VPN mot virksomhetens systemer som ligger i skyen, navneoppslag med DNS går kryptert og sikres stadig oftere med DNSSEC. Avlytter du et åpent wifi-nettverk i dag, så vil du kanskje se «lisas iphone», og at den bruker tjenester hos Apple, Facebook, Microsoft, Netflix og AWS. Du får ikke mer innsyn, og du får ikke manipulert trafikken. Viktigst er kanskje allikevel det at skurkene sitter ikke ved siden av deg til enhver tid, på Gardermoen, hotell eller kafe, for å forsøke å avlytte deg. Man har trojanere for slikt som brukere får inn ved å klikke på feil link, sikret wifi eller ikke.

Men tilbake til teleoperatørene som tjener gode penger på å selge ekstra datapakker til sine allerede dyre mobilabonnement, når man sammenligner med prisene i resten av norden. I en serie forskningsartikler, blant annet denne: https://luckenzo.github.io/files/wisec19.pdf, har forskere fra blant annet University College London sett nærmere på faktorer som får folk til å bruke usikrede wifi nettverk, istedenfor å bruke sine kostbare mobilabonnement. Resultatene er tydelige: Så snart man har rundt 30 % igjen av datakvoten sin på mobilabonnementet, så vil brukere gå over til å bruke wifi, selv om de er usikret og kan utgjøre en ekstra sikkerhetsrisiko. Brukernes oppfatning av slik sikkerhetsrisiko, deres alder, utdannelse eller inntektsnivå hadde ingen innvirkning på beslutningen om å bruke usikret wifi.

Dropp portalene!

Rådet om å ikke bruke usikret wifi var høyst relevant den gang i 2005. Nå i 2021 er det rådet svært lite relevant, da all kommunikasjon over wifi går kryptert, og gjerne i flere lag også. Brukerne bruker åpent og usikret wifi «overalt», uavhengig av advarsler og anbefalinger, og det for å unngå å kjøpe 1GB ekstra til kr 79,-, eller 10GB til 299,-. Vi lærer jo våre barn og ungdommer om å koble seg til wifi så sant det er mulig nettopp for å slippe den kostnaden!

Derfor mener jeg at rådet om å ikke bruke åpent og usikret wifi er et råd som nå trygt kan fjernes fra nett, e-læring og powerpoint presentasjoner. Det tilhører fortiden, blir sjelden etterlevd og løser ingen av dagens reelle utfordringer.

Kanskje kan vi heller omforenes om å kreve mer data for mindre penger i mobilabonnementene våre? Så anbefaler jeg at gratis wifi og internett tilgang gjøres tilgjengelig uten alskens portaler som kartlegger brukere og reduserer både personvern og brukervennlighet.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.