2.000 loggede på usikkert wifi i Barcelonas lufthavn i sikkerhedseksperiment

På blot fire timer faldt mere end 2.000 gæster for fristelsen til at logge på et usikkert trådløst netværk i håb om at få gratis internetadgang.

Gratis internetadgang kan være svært at finde i mange lufthavne, som enten kræver, at man opretter sig som bruger eller kræver timebetaling for et internetfix, mens man venter på sit fly. Så mere end 2.000 gæster faldt i fælden i et kort eksperiment i Barcelonas lufthavn, skriver Softpedia.

Sikkerhedsfirmaet Avast valgte at benytte mobilbranchens årlige konference i Barcelona til at udføre et forsøg. Selskabet satte tre trådløse netværk op i lufthavnen.

Alle tre netværk var uden sikkerhed, men havde navne, der skulle få folk til at prøve at logge på såsom 'Starbucks', 'MWC Free WiFi' og 'Airport_Free_Wifi_AENA'. Selvom de fleste nok ved, at man bør være forsigtig med at logge på et usikkert trådløst netværk, så var der altså mere end 2.000, der loggede på i løbet af de fire timer, Avast havde tændt for netværket.

De fleste loggede på uden at sikre sig med en VPN-tunnel, og dermed kunne sikkerhedsfirmaet se, at der i flere tilfælde blev sendt data, der kunne identificere brugeren. I 63 procent af tilfældene ville det være muligt at identificere brugeren og enheden.

Applikationer som Gmail og Facebook benytter HTTPS, og dermed kan eksempelvis indholdet af mails ikke aflæses. Men det vil være muligt at bruge information om brugeren indsamlet fra anden færden på internettet til efterfølgende phishing-angreb.

Avast oplyser ifølge Softpedia, at selskabet ikke har gemt data opsamlet i eksperimentet, men udelukkende analyseret det til statistiske formål.

Følg forløbet

Kommentarer (10)

Rune Gent

Det er vel derfor de fleste tænkende mennesker benytter en VPN? Som Michael Jensen så rigtigt skriver er alle netværk du ikke har kontrol over usikre.

Thue Kristensen

En stor del af kryptologi handler jo netop om at kunne kommunikere sikkert over et usikkert netværk. Hvis din emailtjeneste og de hjemmesider du bruger er designet korrekt, så vil du jo netop kunne bruge dem over en WIFI-tjeneste kontrolleret af "fjenden" (eller det værste fjenden kan gøre er at lukke for forbindelsen).

VPN burde ikke være nødvendig, i teorien. Selv om jeg godt ved at mange tjenester i praksis ikke er sikre.

Johnnie Hougaard Nielsen

VPN burde ikke være nødvendig, i teorien.

Enig. I praksis ville jeg heller ikke være bekymret ved fx Gmail check over et offentligt netværk. Min største uro ville være tanken om at andre apps (med lidt "varierende" sikkerhedsstatus) har en "phone home" funktion, der opdager at der er netværksforbindelse, og lige skal se om der er noget til mig. Når der er mange af dem (det er er dog ikke hos mig), kunne en fisketur baseret på en kendt svaghed give udbytte ved at lave en offentlig WiFi hotspot med bagtanker.

Dem som alligevel har magt til at afkræve data fra backend siden af en service (og måske ressourcer til at knække SSL), har den "særligt udsatte" ligeså megen grund til at bekymre sig om uden brug af offentlige (et mere præcist ord end "usikre") netværk.

Martin Sørensen

Selv med VPN kan det være svært at sikre sig at der ikke bliver overført følsomme data. Så snart min Android telefon ser at der er en internetforbindelse, så går den gladeligt i gang med at synkronisere og bl.a. logge på min POP3 mailserver som ikke bruger kryptering. Alt dette sker inden jeg kan nå at aktivere VPN forbindelsen da min telefon ikke gør dette automatisk.

Hvis man endeligt skal logge på et ukrypteret netværk (hvilket jeg holder mig fra), så bør man først sikre sig at al automatisk synkronisering er slået fra.

Martin Sørensen

Hvorfor så ikke bare opsætte POP3 mailserveren med kryptering eller bruge en anden ?


Nu administrerer jeg ikke selv den POP3 server, så det kan jeg ikke ændre på. Jeg kunne selvfølgeligt bruge en anden, men pointen er at der kan være mange andre apps der også sender data ukrypteret inden jeg kan nå at slå VPN til. Måske er der andre telefoner der har den funktion, men min Android telefon har ikke umiddelbart muligheden for automatisk at spærre for al datatrafik på ubeskyttede forbindelser. Det ville ellers give god mening at have den mulighed.

Log ind eller opret en konto for at skrive kommentarer

JobfinderJob i it-branchen