2.000 loggede på usikkert wifi i Barcelonas lufthavn i sikkerhedseksperiment

23. februar 2016 kl. 12:0213
På blot fire timer faldt mere end 2.000 gæster for fristelsen til at logge på et usikkert trådløst netværk i håb om at få gratis internetadgang.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Gratis internetadgang kan være svært at finde i mange lufthavne, som enten kræver, at man opretter sig som bruger eller kræver timebetaling for et internetfix, mens man venter på sit fly. Så mere end 2.000 gæster faldt i fælden i et kort eksperiment i Barcelonas lufthavn, skriver Softpedia.

Sikkerhedsfirmaet Avast valgte at benytte mobilbranchens årlige konference i Barcelona til at udføre et forsøg. Selskabet satte tre trådløse netværk op i lufthavnen.

Alle tre netværk var uden sikkerhed, men havde navne, der skulle få folk til at prøve at logge på såsom 'Starbucks', 'MWC Free WiFi' og 'Airport_Free_Wifi_AENA'. Selvom de fleste nok ved, at man bør være forsigtig med at logge på et usikkert trådløst netværk, så var der altså mere end 2.000, der loggede på i løbet af de fire timer, Avast havde tændt for netværket.

De fleste loggede på uden at sikre sig med en VPN-tunnel, og dermed kunne sikkerhedsfirmaet se, at der i flere tilfælde blev sendt data, der kunne identificere brugeren. I 63 procent af tilfældene ville det være muligt at identificere brugeren og enheden.

Artiklen fortsætter efter annoncen

Applikationer som Gmail og Facebook benytter HTTPS, og dermed kan eksempelvis indholdet af mails ikke aflæses. Men det vil være muligt at bruge information om brugeren indsamlet fra anden færden på internettet til efterfølgende phishing-angreb.

Avast oplyser ifølge Softpedia, at selskabet ikke har gemt data opsamlet i eksperimentet, men udelukkende analyseret det til statistiske formål.

13 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
13
24. juni 2018 kl. 00:34

Hvis du bruger det til andet end ...

Pointen ved at acceptere Gmail over et ikke-krypteret offentligt netværk er at jeg betragter det som en veldesignet applikation der netop selv sørger for krypteret kommunikation. Det giver altså ikke andre adgang til min Gmail at undlade det ekstra krypteringslag som VPN giver. Det var også pointen i det indlæg jeg svarede på, for over to år siden.

Der kan selvfølgelig være andre sites som er mindre velkonstruerede, hvor VPN kan være nyttig til at pakke elendig sikkerhed ind. Jeg betrager altså VPN som en praktisk lappeløsning, i stedet for noget der burde være brug for.

Da min tillid til forskellige apps kan være "svingende", ville jeg nu heller ikke være ganske tryg ved at køre vilkårlige apps med login uden VPN på åbent netværk.

11
23. juni 2018 kl. 12:59

Almindelige brugere skal ikke lære hvad VPN er hvilket også er årsagen til at Kaspersky f.eks. ikke kalder det produkt de har indbygget i deres Internet Security for en VPN selvom det egentligt er det.

Man in the middle angreb er desværre for lettere hvis vi ikke sender alt data krypteret til det vi betegner som en sikker kilde.

Indtil der kommer flere alternativer som er mere integrerede med vores enheder er det vidst bare at vælge en af de tjenester man mener at man kan have tillid til: https://bredbånd.dk/vpn

Problemet er nok at sager som f.eks. HOLA er med til at sænke tilliden til VPN og betyder at folk ikke vil anbefale det til andre.

10
24. februar 2016 kl. 21:40

Hvorfor så ikke bare opsætte POP3 mailserveren med kryptering eller bruge en anden ?

Nu administrerer jeg ikke selv den POP3 server, så det kan jeg ikke ændre på. Jeg kunne selvfølgeligt bruge en anden, men pointen er at der kan være mange andre apps der også sender data ukrypteret inden jeg kan nå at slå VPN til. Måske er der andre telefoner der har den funktion, men min Android telefon har ikke umiddelbart muligheden for automatisk at spærre for al datatrafik på ubeskyttede forbindelser. Det ville ellers give god mening at have den mulighed.

8
24. februar 2016 kl. 11:37

Selv med VPN kan det være svært at sikre sig at der ikke bliver overført følsomme data. Så snart min Android telefon ser at der er en internetforbindelse, så går den gladeligt i gang med at synkronisere og bl.a. logge på min POP3 mailserver som ikke bruger kryptering. Alt dette sker inden jeg kan nå at aktivere VPN forbindelsen da min telefon ikke gør dette automatisk.

Hvis man endeligt skal logge på et ukrypteret netværk (hvilket jeg holder mig fra), så bør man først sikre sig at al automatisk synkronisering er slået fra.

7
24. februar 2016 kl. 10:52

Det er vel derfor de fleste tænkende mennesker benytter en VPN?

Hvor stor en del af alle rejsende i en lufthavn ved overhovedet hvad VPN er eller betyder ? mit gæt vil være en meget lille del. Har selv været i Barcelona lufthavn for nylig, og et gæt vil være at 95%+ er turister, som ikke aner hvad VPN er

5
24. februar 2016 kl. 08:28

Jeg er helt enig Thue. Men din sidste sætning giver lige anledning til en;

Hvad er en sikker VPN?

:-)

4
23. februar 2016 kl. 14:23

VPN burde ikke være nødvendig, i teorien.

Enig. I praksis ville jeg heller ikke være bekymret ved fx Gmail check over et offentligt netværk. Min største uro ville være tanken om at andre apps (med lidt "varierende" sikkerhedsstatus) har en "phone home" funktion, der opdager at der er netværksforbindelse, og lige skal se om der er noget til mig. Når der er mange af dem (det er er dog ikke hos mig), kunne en fisketur baseret på en kendt svaghed give udbytte ved at lave en offentlig WiFi hotspot med bagtanker.

Dem som alligevel har magt til at afkræve data fra backend siden af en service (og måske ressourcer til at knække SSL), har den "særligt udsatte" ligeså megen grund til at bekymre sig om uden brug af offentlige (et mere præcist ord end "usikre") netværk.

3
23. februar 2016 kl. 14:02

En stor del af kryptologi handler jo netop om at kunne kommunikere sikkert over et usikkert netværk. Hvis din emailtjeneste og de hjemmesider du bruger er designet korrekt, så vil du jo netop kunne bruge dem over en WIFI-tjeneste kontrolleret af "fjenden" (eller det værste fjenden kan gøre er at lukke for forbindelsen).

VPN burde ikke være nødvendig, i teorien. Selv om jeg godt ved at mange tjenester i praksis ikke er sikre.

2
23. februar 2016 kl. 12:43

Det er vel derfor de fleste tænkende mennesker benytter en VPN? Som Michael Jensen så rigtigt skriver er alle netværk du ikke har kontrol over usikre.

1
23. februar 2016 kl. 12:09

Hvad er et sikkert trådløst netværk?

  • Det er ét du selv har kontrol over.

Det er ikke betalings-wifi'et i lufthavnen.