Innbrudd uten fingeravtrykk

PC-en din kan tømmes for hemmelig informasjon uten at du merker det. Ved hjelp av et tastetrykk hadde Dagbladet mulighet til å gå inn i datanettverket til over 40 bedrifter.

Hei, denne artikkelen er over ett år gammel og kan innholde utdatert informasjon

Trådløse nettverk gjør hverdagen enklere for deg - og for datakriminelle.

- Jeg kan rett og slett tømme PC-en din uten at du merker det, forteller Martin Skatvedt Langsjøen.

Han er tidligere IT-konsulent med datasikkerhet som spesialfelt, og har undervist på IT-akademiet i sikkerhet og nettverksløsninger. Nå advarer han norske bedrifter mot dårlige sikkerhetssystemer.

- Dersom jeg hadde hatt uærlige hensikter, hadde det vært svært enkelt. Jeg er alvorlig bekymret for hva som kan skje dersom organiserte kriminelle får øynene opp for denne muligheten. Blant norske bedrifter eksisterer det så å si ikke sikkerhet, forteller Skatvedt Langsjøen.

Fant åpne nettverk

Han tok Dagbladet med på en biltur i Oslo. Med svært enkelt utstyr, bare en bærbar PC og et såkalt WLAN-kort, var resultatet skremmende.

I løpet av en time tikket det inn over førti nettverk på datamaskinen, og mesteparten av disse var helt åpne.

Dette gjør det mulig for kriminelle å hente ut opplysninger fra bedrifter som oppbevarer hemmelig informasjon i sitt lokale nettverk.

Spionasje

For å kunne benytte seg av et trådløst nettverk må man ha en «basestasjon» som sender signaler gjennom lufta til brukerne.

Det mange bedrifter imidlertid ikke tenker på, er at disse basestasjonene ofte har en senderadius som strekker seg langt utenfor bedriftens vegger.

Dermed kan hvem som helst med en bærbar datamaskin og trådløst nettverkskort knytte seg til bedriftens lokale nettverk. Mange bedrifter oppbevarer sensitiv informasjon, noe som åpner muligheten for bedriftsspionasje.

Spaserte rett inn

En av bedriftene som dukket opp inn på datamaskinen vi søkte med, var Dermo Apo AS, som leverer kosmetikk og dermatologiske produkter til apoteker. En rask telefon til administrerende direktør Jan Erik Fredriksen viste at dette sikkerhetshullet var fullstendig ukjent for ham.

Bedriften hans har egen alarm, vekter og tre låsbare dører. Men gjennom datanettverket er det bare å spasere rett inn.

Skatvedt Langsjøen viser Fredriksen hvor lett det er å knytte seg til bedriftens interne nettverk via et trådløst nettverkskort.

Direktøren stirrer vantro på skjermen.

- For å komme inn i bedriften må man bruke nøkkelkortet, gå gjennom tre låste sluser, vi har installert alarm og har vektere som patruljerer. Men her var det bare å spasere rett inn gjennom datanettverket. Nå er det nok flere enn meg som kommer til å se på hvordan de låser dørene sine på nettet, sier Fredriksen.

På parkeringsplassen til Dermo Apo får vi inn sterke signaler på det trådløse nettverksskortet.

Det skal bare ett klikk til, og vi har like god tilgang til det lokale nettverket som de ansatte har selv. Ikke engang blir vi spurt om passord.

Forbanna

Direktøren tar oss med inn i bedriften. Han viser vei gjennom godt låste dører. Her finner vi en basestasjon i vinduskarmen, i full aktivitet.

- Første regel: Aldri ha basestasjonen i nærheten av et vindu, sier Martin Skatvedt Langsjøen. Direktøren lytter intenst.

- Vi er et innovativt firma, og har satset mye på sikkerheten. Da vi gikk til anskaffelse av trådløst nettverk for et halvt år siden, var det for å øke brukervennligheten internt - våre innleide IT-konsulenter forsikret oss om at alt var helt sikkert. Det var det tydeligvis ikke, sier Fredriksen.

Direktør Fredriksen sender en illsint e-post til bedriftens IT-ansvarlige. Ved nyttår skal bedriften flytte inn i nye lokaler. Direktøren er plutselig usikker på om de skal fortsette med det trådløse nettverket.

- Da skal jeg i hvert fall være hundre prosent sikker på at ingen skal kunne sitte utenfor og overvåke vår minste bevegelse på nettet.

Uklare rettsregler

Trådløse nettverk er et nytt fenomen som ikke er plukket opp av lovgiveren eller gjennom rettspraksis.

- Hvis man bare låner nettverkskapasitet av andre for å komme på Internett, uten å bryte seg inn, så kan det godt hende at det er lovlig å benytte seg av trådløst nettverk på denne måten. Men foreløpig er det ikke noe rettspraksis på dette området, sier professor i rettsinformatikk Jon Bing ved Universitetet i Oslo.

Men når man først bryter seg forbi hindringer, er det klart ulovlig, sier Bing:

- Det finnes imidlertid flere dommer som viser at det blir sett på som en straffeformildende omstendighet når bedrifter ikke gjør noe for å sørge for egen sikkerhet.

Ingen spor

Foreløpig er det ingen som vet hvor mange bedrifter eller privatpersoner som er rammet av denne typen datainnbrudd - de er nemlig svært vanskelig å oppdage.

- Mange bedrifter ser på kyndig IT-hjelp som en unødvendig utgiftspost, og er fornøyde bare tingene fungerer . Når sikkerhet går ut over brukervennlighet, velger bedriftene heller brukervennlighet, sier Skatvedt Langsjøen.

Tore Neset er redaktør for IT-avisen. Han er ikke overrasket over at bedriftene har slapp sikkerhet.

- Jeg er heller overrasket over at «det store smellet» ikke har kommet ennå. Det kommer snart en ny standard for å beskytte trådløse nettverk, som vil gjøre det vanskeligere å bryte seg inn. Men hvis man ikke beskytter seg med dagens eksisterende metoder, er det jo lite trolig at man vil bruke det nye, heller. Det kan få store samfunnsmessige konsekvenser.

Kjøp sikkerhet

Vår dataekspert Skatvedt Langsjøen forteller direktør Fredriksen i Dermo Apo AS om hvilke enkle grep som skal til for dramatisk å øke sikkerheten:

- Det skulle ingenting til for å komme inn på deres nettverk nå. Hvem som helst med en laptop og et trådløst nettverkskort kunne gjort det. Det finnes flere måter å beskytte seg mot potensielle datainnbrudd, og de er verken tids- eller kostnadskrevende, sett i forhold til hvilke skader som kan oppstå uten.

Direktøren legger ikke skjul på at han er takknemlig for det uventede besøket, og forsikrer at sikkerheten vil bli bedret med en gang.

- Vent litt, jeg må bare gjøre en ting før vi går, sier Fredriksen, og går bort til basestasjonen.

Og skrur den av.

UTE, MEN INNE: Rekkevidden av de trådløse nettverkene strekker seg langt utenfor bygningens vegger. Det er ikke noe problem for Martin Skatvedt Langsjøen å komme seg på nettverket fra parkeringsplassen.
TRÅDLØST: Ved hjelp av et slikt kort (WLAN) til drøye tusenlappen kan du få tilgang til trådløse lokale nettverk.
OVERRASKET: Administrerende direktør Jan Erik Fredriksen i Dermo Apo AS lytter interessert på hva han kan gjøre for å bedre bedriftens sikkerhet.
SLÅR AV: Basestasjonen går ned på gulvet og slås av for sikkerhets skyld...