Sæson 1 – Episode 02

Risikoen ved gratis wifi og andre ukendte netværk

Må man logge på ukendte netværk? Hvad er risikoen ved at logge på det offentlige wifi på den lokale café? Rasmus og Fredrik diskuterer i denne episode, hvad det kan have af konsekvenser at anvende ukendte netværk, og hvad man kan gøre som alternativ, når man har brug for internet uden for hjemmet og arbejdspladsen.

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn

Vil du have besked når der kommer et nyt afsnit?


Har du spørgsmål, kommentarer eller idéer til podcasten?
Skriv til os på: info@cyberpilot.dk

Har du ikke mulighed for at lytte til podcasten - så læs med.

Her har du en transkriberet version af episoden, så du kan se, hvad der præcist blev sagt, og finde kilder, hvis sådanne er blevet nævnt. 

00:08 Anders: Velkommen til IT-sikkerhed med CyberPilot. Værterne er Rasmus Vinge og Fredrik Nielsen. De vil diskutere og komme med løsningsforslag indenfor IT-sikkerhed og GDPR, hvor Rasmus, som IT-sikkerhedskonsulent, har fokus på det faglige, det tekniske og compliance-delen, mens Fredrik, som ansvarlig for awareness-træningen her på CyberPilot, har fokus på hvordan viden bedst formidles of kommunikeres ud i organisationer. Ingen salg og ingen snak om statssponsorerede kinesiske hackere. Målet er, at hjælpe dig, som lytter, med at skabe en god IT-sikkerhedskultur i din organisation. 

00:48 Fredrik: Hej Rasmus! 

00:49 Rasmus: Hej Fredrik! I dag havde vi jo tænkt, at vi skulle snakke om ukendte netværk. Så skal vi lige prøve at sætte nogle ord på hvorfor det er, at vi synes, at det er interessant. 

00:59 Fredrik: En af de sådan primære grunde til det er, at sådan i mine øjne, der ser jeg meget, folk, bekendte og venner, som ikke rigtig tænker over, at det kunne være et problem at logge på netværk ude i byen, og med netværk, der mener jeg jo sådan noget som f.eks. gratis WiFi eller et eller andet. 

01:17 Rasmus: Ja og det er vel sådan generelt en problemstilling, som vi møder rigtig mange steder. At det her med at brugere logger på og bruger de her trådløse netværk, sådan lidt uden at tænke over det. 

01:29 Fredrik: Altså behovet opstår jo når man er ude af huset, og så tænker man, jamen jeg skal have noget internet, og det er der jo masser af steder, hvor det er til rådighed. Det kan jo fås både på caféer og i toget og på hoteller, hvor det er, at det bliver godt nok stillet til rådighed, og man tænker, at derigennem er der jo ikke noget problem, hvis det er, at jeg hopper på det. 

01:49 Rasmus: Ja, så det kan vi sige, at det er en observation eller en problemstilling, og så næste niveau af det, det er jo så lidt, hvad er reelt risikoen så i at bruge de her ukendte netværk. Og det synes jeg kunne være interessant at dykke ned i, fordi jeg oplever lidt, at der er sådan forskellige opfattelser af, hvad den reelle risiko egentlig er. 

02:15 Fredrik: Ja, man kan sige, nu har vi jo også prøvet at snakke os lidt varme på emnet. Det er lidt svært at gennemskue, og spørgsmålet er også, hvorvidt det er nødvendigt for den enkelte medarbejder at forstå hvorfor at det faktisk er noget man skal være forsigtig med. Det er klart, at man skal forstå, at man skal være forsigtig, men lige i det her podcast har vi snakket om, at det kunne også være interessant at dykke ned i bevægegrundene for, hvad det egentligt er faren er. 

02:38 Rasmus: Så lad os lige prøve at skille det lidt fra hinanden. Så man kan sige, at grundlæggende set, så drejer det sig jo om to forskellige ting. Det drejer sig om, at der kan være noget risiko ift. data, og at der kan være noget risiko ift. den enhed, man forbinder til det her ukendte netværk. 

02:54 Fredrik: Ja, så forestil dig, at man sidder nede på Starbucks, og tænker, skulle jeg ikke lige prøve at tjekke min mail. Hvad er det så egenligt for et problem, som man tager på sig, hvis man gør det via Starbucks gratis WiFi?

03:04 Rasmus: Yes, og der er den første del, det er som sagt dataen, dvs. det jeg sidder og kommunikerer med internettet via det her netværk, kan det opsnappes af nogen? Er der nogen der kan læse det? Evt. aflure mine passwords, hvis jeg sidder og sender sådan noget ved at logge på nogen steder. Og det sker jo, hvis man sidder og sender noget i det der hedder et cleartext-format. Og det aner den enkelte bruger jo ikke om man sidder og gør eller ej. Men der kan man så sige, at der er en masse andre ting, der er sket over de sidste par år, som gør, at det sker faktisk ikke særlig tit, at man sidder og kommunikerer i ren cleartext. Fordi man kan sige, at sådan noget som Google har været ret store forkæmpere for, at alle hjemmesider f.eks. skal være i HTTPS.

03:51 Fredrik: Altså de skal have et sikkerhedscertifikat.

03:51 Rasmus: Yes, som jo gør, at man kommunikerer krypteret til det. 

03:55 Fredrik: Allerede i browseren.

03:56 Rasmus: Yes, og det gør jo, at der er langt mindre data, som bliver kommunikeret ikke-krypteret. Og derfor så kan man sige, at hvad for nogle ting er det så, at man kunne sende over et netværk ikke-krypteret? Jamen nogen gange ser vi, at der stadigvæk er nogle services, som man har udviklet og stillet til rådighed, hvor man kommunikerer i cleartext. Men det er bare ikke særlig meget. 

04:24 Fredrik: Så det store problem er sådan set ikke, at der er data, som bliver sendt ukrypteret. 

04:29 Rasmus: Ikke i langt de fleste tilfælde, nej. Det der i langt højere grad er risikoen, det er det her med at få kompromitteret sin enhed fordi, man sidder på et ukendt netværk. Og med kompromitteret sin enhed, mener jeg, at fordi man sidder på et ukendt netværk, så bliver man synlig eller bliver offer for nogen, som spreder en form for malware via det her netværk. 

04:50 Fredrik: Så hvis jeg sidder på Starbucks, så kunne der sidde en anden ved et andet cafebord og være logget på det samme netværk og på en eller anden måde scanne og se, hvem er ellers her inde i butikken? Og så egentligt prøve at udnytte, hvis det er, at der er nogle sårbarheder på min maskine og så trænge ind, og så på den måde få adgang til min enhed og placere, hvad man kunne frygte var…

05:09 Rasmus: Præcis. Hvis du sidder på et ikke-opdateret operativsystem eller sidder med nogle applikationer åbne, som ikke er opdateret, jamen så findes der en masse sårbarheder, som man så kan gå ind og rette mod det der. Og så drejer det sig jo i højere grad omkring det her med at kompromittere selve enheden. Og så kan man sige, fordi jeg hører tit den her med, hvis bare vi sidder på et ukendt netværk, så er det altid bare VPN, det drejer sig om. Så skal du bare have en VPN, så er du connected sikkert. Og der er det bare vigtigt at forstå, det her med, at så har du skabt en tunnel mellem dig selv og så der hvor du kommunikerer til, hvor data kan bevæge sig sikkert, men du har jo ikke sørget for, at lige præcis der i hver ende af hullet, at der ikke er nogen der kan få adgang til dig der. Fordi hvis du har fået kompromitteret din enhed, jamen så er det jo sådan set i enden af hullet og ikke i selve tunnelen, at du har problemet. Jeg synes, at der er sådan en misforståelse omkring det her med, at VPN’en bare altid er den gode løsning til det. 

06:12 Fredrik: Ja…

06:13 Rasmus: Men ellers så tænker jeg, at noget af det der kunne være interessant lige at vende, det er, jamen hvordan har vi tænkt, at det her det er relevant for brugerne. Hvad er det for nogle ting, man skal have kommunikeret ud, når man prøver at snakke omkring hele det her ukendt netværk og hvad er det for nogle grundlæggende anbefalinger, vi ville foreslå, at man starter med for at kunne dække langt de fleste tilfælde. 

06:39 Fredrik: Jamen først og fremmest så kan man sige, at nu sidder vi jo og snakker om nogle ting som er relativt tekniske ift. hvad det egentligt er, at faren består i. Men jeg tvivler på, at den almindelige medarbejder synes, at den mellemregning er særlig interessant at få med, de vil sådan set bare gerne vide, hvad de skal og ikke skal gøre. Og det er jo også noget af det, når jeg sidder og prøvet at stykke sådan et kursus sammen, som gerne skal kunne formidle sådan et vist niveau af forståelse for noget og nogle retningslinjer, som er ret tydelige at følge. Så er jeg jo også lidt nødt til at koge den her virkelighed ned til noget, der er til at forstå og rykke på. Så først og fremmest handler det jo om, at man skal prøve at skille tingene lidt ad. Jeg fandt faktisk ud af, da jeg sad og snakkede med nogle folk omkring, hvordan de forstår faren ved ukendte netværk, og det viser sig, at meget af det, som folk de forstår, det er at de har svært ved at adskille, hvad internettet er og hvad et netværk er. Det ligger alene i den der måde, man siger, jeg hopper lige på det trådløse internet, eller er der noget trådløst internet, som jeg kan hoppe på, eller et eller andet. Det man egentligt spørger om der er, er der et netværk, hvorigennem jeg kan blive forbundet til internettet. 

07:43 Rasmus: Ja…

07:44 Fredrik: Men man kæder det meget sammen og opfatter internettet, som alle steder man kan blive forbundet til. 

07:49 Rasmus: Og det kunne man sige er et meget godt eksempel på det her med, at hvis man er vant til at arbejde med IT og man har den her grundlæggende forståelse for netværk og internettet, så ved man godt at netværk og internettet er to forskellige ting. Det ene er noget fysisk udstyr, som forbinder mig til internettet, men det er langt fra alle der sidder med den samme forståelse omkring det her. 

08:12 Fredrik: Ja faktisk i en grad, hvor folk de ikke engang er klar over det. Og det alene synes jeg var et godt sted at begynde ift. at uddanne en medarbejder i at forholde sig til de risici, der er rundt omkring. Fordi, hvis man er klar over, at der er forskel på det sikre netværk der er hjemme på arbejdspladsen, og det usikre netværk, der er nede på starbucks, så kan man i det mindste tage stilling til om man skal gøre det eller ej. Og det er jo så også der, hvor man kan sige, det der sker når man så kommer til den erkendelse om, at det ikke er alle netværk der er sikre, det er hvad for nogen må jeg så logge på? Det er jo i høj grad noget som virksomhederne selv skal bestemme, hvad der medarbejdere må, men når det kommer til, hvor vi skal prøve at lægge en linje, når vi prøver at komme med nogle retningslinjer, så er det at sige, jamen en god grundregel er, er det et netværk som enten du selv eller din virksomhed har kontrol med? Fordi har man kontrol med et netværk, så har man også styr på, hvem der kan få adgang. Det har man jo ikke på Starbucks, hvor enhver tosse kan gå op og få en kop kaffe og en adgangskode til det gratis WiFi. 

09:20 Rasmus: Og der kan man sige, at ja, der er jo igen altid det her sandhed med modifikation med, fordi, ja der kan også være nogen der har inficeret dit net på virksomheden, der kan også være nogen der har inficeret dit netværk derhjemme, men det kan vi tage en anden god gang. Fordi den første lavt hængende frugt, det er det her med, at her har du i hvertfald mulighed for at have kontrollen over det, hvor der er nogle ukendte netværk, hvor du bare overhovedet ikke har kontrol over det. 

09:48 Fredrik: Ja, og det er jo også det. Det er jo svært at sige til en medarbejder, at du skal vurdere alle de ukendte netværk forskelligt. Du skal prøve at vurdere risikoen. Det kan man ikke. Så har man tillid til et fem-stjernet hotel, men det ændrer altså ikke på, at der kan sidde en forbryder i et andet værelse, der er forbundet ik’. Det er svært at vide, hvor man skal have tillid henne. Så for at gøre det let, så kan man sige, at man som medarbejder ikke bør forbinde sig til ukendte netværk. Men det stiller jo også lidt nogle krav fordi, det kan jo godt være at på arbejdspladsen, hvor man jo sikkert er meget, er det jo let nok at leve op til det krav, men hvad så hvis man er ude af huset? Og det er vi jo også. Om man så sidder i toget på vej til København, kan man så forbinde sig til DSB’s WiFi eller må man ikke det? Og der er anbefalingen, at det må man ikke. Men hvad gør man så? Den lette løsning er jo, at man har noget internet med i lommen. De fleste har det i deres smartphone, hvor man kan slå internetdeling til eller man kan få det med som en USB-forbindelse, ihvertfald en forbindelse som man igen har kontrol over. 

10:44 Rasmus: Yes, fordi så har man netop fået skabt det her netværk, som man selv har kontrol over og hvor man lidt selv kan styre, hvem det er der benytter sig af det. 

10:53 Fredrik: Ja, og så har man jo løst problemet i 95% af tilfældene, fordi det er netop noget vi har i lommen. Det er noget vi har til rådighed. Og hvis man bare bruger det og lader være med at hoppe på ukendte netværk, så har man virkelig bare øget sikkerheden markant. 

11:11 Rasmus: Så hvis vi sådan lige skal summere den op, hvis du skal prøve vores anbefaling til når du skal snakke med dine medarbejdere omkring det her, så start med at antage, at de ved nødvendigvis ikke, hvad forskellen mellem et netværk og internettet det er. Så det kan godt være, at det kan være en god idé ligesom at få skilt de to ting ad. Lav en grundregel, og få dem til at forstå, at du har ikke kontrol over de netværk, som du ikke selv ejer eller administrerer. Til sidst er den anbefaling, som vil fungere i 99% af alle tilfælde det er, hvis du skal på noget internet udenfor dit normale netværk, så brug din mobiltelefon. 

11:46 Fredrik: Så når man langt. 

11:47 Rasmus: Yes, og så vil vi i næste afsnit af podcasten prøve at dykke ned i, hvad så i de tilfælde, hvor det ikke kan lade sig gøre? Der har vi også nogle eksempler med nogle kunder, hvor det ikke har kunnet lade sig gøre. Men lad os prøve at dykke ned i det, når vi kommer til næste afsnit. Det var ihvertfald ordene for i dag, og tak fordi i ville høre med og tak for i dag Fredrik. 12:09 Fredrik: I lige måde.