Mannen i midten

Har du tenkt på at når du surfer på usikrede nett så kan det stå en «mann i midten» som både leser og lagrer trafikken din?

Tenker du over hvilke nettverk du kobler deg på i det offentlige rom? Etter å ha fartet rundt på flyplasser og hotell den siste tiden så har jeg begynt å irritere meg over at mange tilbyr usikrede wifi-nett til sine kunder. Jeg forventer faktisk at hotellkjeder og andre virksomheter føler såpass ansvar for kundene at de tilbyr et sikkert nett.

Selv har jeg en topp (jobb-)PC med alle nødvendige sikkerhetsprogrammer, men jeg bruker heller data på telefonen fremfor å logge på usikrede nett. Jeg har sjekket saken med cyber-ekspert (og gode venn), Jarle Abelhaug Eek, og her kommer litt lavterskel-info.

Cyber-ekspert

Jarle og Yvonne. — Sjefen av Symantec i Norge, Jarle Abelhaug Eek. Her på Hotell Continental i forbindelse med IDC-konferansen. Jarle har en svært ettertraktet kompetanse i disse tider!

Jarle Abelhaug Eek er leder for Symantec i Norge. Å kalle Jarle for en cyber-ekspert er strengt tatt en underdrivelse, noe du skjønner hvis du tar en titt på CVen hans. Han er rett og slett en råtass innen cyber-sikkerhet, og det skrikes etter denne type kompetanse for tiden. For når samfunnet digitaliserer over en lav sko, kobler alt til internett og forvandler alt til kode så øker kravet til sikkerhet. En annen sak er Ola Nordmann oppi det hele, som risikerer å bli frastjålet identiteten eller bli hacket hvis de er riktig uheldige. Tenker du på hvilken sikkerhet din PC er utstyrt med, hvilket nett og websider du surfer på?

Når du er på et offentlig sted – som en flyplass, hotell, kafé eller lignende og trenger wifi. Hva bør du være obs på?

– Generelt vil jeg si at åpne nettverk er en faktor man bør være forsiktig med. Den største faren er en såkalt «mann i midten situasjon», der noen posisjonerer seg usynlig mellom din laptop/device og det ekte wifi-nettet. Da kan all trafikk leses, lagres og endres hos mellommannen. Det typiske scenario er betalingskort-informasjon, men det er også andre ting man bør tenke på. Det kan for eksempel være personopplysninger som kan brukes til falsk id og andre generelle opplysninger. Dersom du er VIP eller har jobb i en bransje som er attraktiv for spionasje vil denne type informasjon være interessant å få tak i, sier Jarle.

Malware

– Åpne nettverk kan også misbrukes til å spre malware. Dette kan lagres på din disk via for eksempel sikkerhetshull eller ved åpen fildeling som dropbox. Det å legge malware inn på din maskin kan gjøres for generell spredning eller for senere å få tilgang til din maskin når du er innenfor bedriftens nettverk.

– Denne type trusler er forventet å øke fremover da teknologi for å muliggjøre “man in the middle” har blitt mer tilgjengelig og billigere, sier Jarle.

Bruk VPN

– Det viktigste tiltaket mot denne type angrep er å bruke VPN. Det finnes billige tjenester som krypterer trafikken fra din maskin til mottakernettsted. Det gjør “man in the middle” angrep vesentlig vanskeligere. Dersom du ikke har tilgang til å installere en VPN klient, bør du sørge for å kun surfe på nettsteder med “HTTPS”. Dette sees i starten av nettleseradressen. For eksempel: https://www.vg.no

Skjermbilde som viser wifi-nett. Tenk på mannen i midten! — Her ser du Espressohouse har åpent nettverk. Jeg pleier å bruke mobilen hvis jeg ikke får tilgang til et åpent nettverk (Yvonne sin iPhone).

Riktig nettverk?

Generelle råd; ikke tillat autotilkoblinger og slå av all fildeling. Sørg for at du kobler deg til det nettverket du faktisk er ute etter. Om du er på Radisson Blu så sørg for at du faktisk bruker deres nettverk, og ikke et fake nettverk (med nesten samme navn) som er satt opp av en banditt som prøver å lure deg til å logge på feil nettverk. Så sjekk at navn på nettverk stemmer overens.

HTTPS og VPN

Ikke logg på apper som krever passord når du er på mobilen. Dette fordi du ikke har kontroll på om appen bruker HTTPS. Du risikerer å sende brukernavn og passord ukryptert som vil være lett å stjele, og en annen kan logge på apper som “deg”. Gå heller til webstedet, sørg for at det er HTTPS, og logg på der.

Et siste tips fra Jarle; det er tryggere å bruke data fra mobiltelefonen enn å surfe uten VPN i åpne hotspots. Men aller viktigst – få deg en VPN klient!

Kommer mer

Både offentlig og privat sektor har kommet godt i gang med digitalisering (et ord som begynner å bli temmelig utbrukt nå for tiden…), og mitt inntrykk er at mange begynner å bli nervøse når de tenker på sikkerheten. Alle ivrer etter å lage smarte, digitale løsninger, men sikkerheten går ikke hånd i hånd med utviklingen. Det kan fort straffe seg.

Siden jeg synes cybersikkerhet er et spennende fagområde har jeg planer om å skrive flere slike saker, så følg med! Dette er et tema som er relevant både for enkeltpersoner og mot bedrifter.

NB! Beklager at jeg ikke har fått HTTPS på bloggen, det jobbes med saken! Ha en fin uke 🙂