København afspærrer computere, indtil borgernes sikkerhed er på plads

Afspærrede computere på Islands Brygge bibliotek
Illustration: Louise Olifent.
Der er adgang forbudt til alle offentlige bibliotekscomputere i København, indtil de er sikret med metalkabinetter. Men Vallensbæk har en endnu bedre løsning, mener ekspert.
2. oktober 2020 kl. 03:45
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Lige nu findes der ikke én tilgængelig bibliotekscomputer i København, for de er alle sammen spærret af, og det bliver de ved med at være, indtil borgerne er sikret bedre mod keyloggerangreb.
9. september blev kommunen nemlig opmærksom på nye forsøg på hacking, og derfor besluttede kommunen, at den ikke kunne leve med den manglende sikkerhed.

»Københavns Biblioteker stiller ikke pc’er til rådighed, før vi har fundet en tilfredsstillende løsning ift. sikkerhed,« skriver Jakob Heide Petersen, chef for Københavns Hovedbibliotek, i en e-mail og uddyber:

»En tilfredsstillende løsning er kort sagt en løsning, hvor det ikke er muligt at foretage keylogging.«

Den risiko findes nu, da computerne har åbne USB-porte, og det er muligt at trække keyboardstikket ud af maskinerne. De mange indgange øger ifølge Keld Norman, it-sikkerhedskonsulent ved it-sikkerhedsfirmaet Dubex, risikoen for, at hackere kan installere keyloggere.

Kultur- og Fritidsforvaltningen har foreløbig bestilt fem metalkabinetter fra Hewlett-Packard, som låser computerne inde og forhindrer, at keyboards kan udskiftes, og at der kan placeres USB-nøgler i computeren. Når kabinetterne leveres om 3-7 uger, skal de testes på Husum Bibliotek, og selvom der endnu ikke er bestilt til resten af bibliotekerne, regner kommunen med, at de offentlige computere atter bliver tilgængelige i løbet af dette efterår.

Log ind og få adgang
Du kan læse indholdet ved at logge ind eller oprette dig som ny bruger.
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
25
12. oktober 2020 kl. 12:14

Der findes flere løsninger der kunne være smartere af mange forskellige årsager end at have egentlige klienter stående, som også ville hjælpe på problemet med keyloggere Man kunne have en tynd klient der loadede en non-persistent virtuel maskine for hver ny bruger. En maskine med et read-only medie eller PXE boot med en linux distro Knoppix style Det vil også gøre almindelig management og opdatering markant nemmere. Kabel montering af mus/keyboard og ét, 1, kabel med en usb port ført op ved siden af tastaturet hvor brugeren sidder til brug for medie i begge tilfælde. Så er man kommet ret langt. Som andre har nævnt så er det her ikke en ny problemstilling, det forekommer mig at den dukker op med jævne mellemrum

24
4. oktober 2020 kl. 13:34

Uanset de tekniske fordele/mangler ved Ballerups løsning, så kan det godt undre, at Københavns kommune ikke har gjort noget ved problemet for længe siden. Det er jo en problemstilling, som har været kendt i årevis.

23
3. oktober 2020 kl. 11:11

Der er desværre en del fejl i mange ting - også i Bluetooth Her er en af de nyere (jeg har hørt om) som påvirker BLE og BR/EDR enheder ved udveksling af koder som kan trickes til at virke uden godkendelse:https://threatpost.com/bluetooth-bug-mitm-attacks/159124/

Bluetooth hopper i RF spektrum, men udsender en del energi - og kan relativt nemt ses med en spektrum analyzer. Hvor længe der mon går inden der er et hack der sampler hele 2.4GHz båndet og efterfølgende kan følge alle keyboards og deres hoppen, og muliggøre bruteforce dekryptering af trafikken? Ikke længe nok til at jeg vil inverstere i 'trådløse' keyboards... Kvantekrypteret keyboard - det er fremtiden :ø)

22
2. oktober 2020 kl. 18:20

Jeg forstår ikke helt hvorfor computer skal lukkes inde. Det må være forholdsvis simpelt at lave et beslag der skan skrues over keyboard tilslutningen, som vil forhindre at en keylogger kan være der. Det kunne sikkert laves på en uges eller to af en eller anden metal/smede virksomhed. Sandsynligvis er der ikke særlig mange forskellige publikums computere i Kbh, så der skal kun laves nogle få modeller af sådan et beslag.

Mig bekendt har mange bibliotker allerede beskyttelse software som forhindre installation af anden software, eller som bare nulstiller computeren mellem brugerne (dvs. fjerner alt som brugenen installere)

Bare at spærre adgangen til alle computere må også give folk uden computer problemer. De formodes at kunne bruge computere på biblioteket til alt forbindelse til det offentlige, men det kan de ikke.

21
2. oktober 2020 kl. 18:09

Ja det kunne bestemt være en bedre lås. Dog skal det noteres at jeg husker de metalbokse som tæt på 12 X 12 X 4 cm, så der skal mægtig små fingre til at komme ind med et usb-keylogger, jeg så gerne en mere lukket kasse, noget der ret let kunne have været lavet, ved at hullerne til låsen havde været "vredet" 90 grader så ville de i lukket stand sidde helt tæt, jeg ved at der i starten var brugere der hev usb/hdmi/strøm-stik ud af Ubuntu dåserne, noget der også ret let kunne sikres imod. Når nu man alligevel havde valgt denne model af dåser, kunne man også have valgt metalkabinetter hvor det er en af siderne der er indgang og istedet for disse store slidser i kabinettet have valgt nogen perforeret med masser små runde huller på få mm i diameter evt med en lille blæser, kabel indgangen ind i kabinettet kan være det mindst mulige, en lille udskæring mellem låge og kasse så der kun er plads til de nødvendige kabler,ja det tager så fem sek længere at skifte div dele ud ! Jeg gik selv som it-hjælper på Ballerup bib, og kom med div forslag, men blev ikke lyttet til. Jeg gik også runder op til min vagt, for at checke om det udstyr jeg skulle hjælpe brugere på var kompromiteret, fandt ingen usb-keyloggere, men alt muligt andet, brugere der frakomlede pc'er for at slippe for at nogen satte sig ved siden af, men det var i pre-covid windows 7 dagene, nu er det ubuntu på alle bruger dåserne !

Jan Heisterberg: Der er en del brugere der ikke har noget som helst udstyr selv og andre der ikke har delkomponenter til at kunne løse div opgaver som at printe (ja papir er desværre stadig en meget vigtig del i nogens virkelighed), der er også mange der ikke kan finde ud af de mange digitale muligheder dd, ind i mellem er der dem der har glemt noget inden de tog hjemmefra, og ikke havde tid til andet end at tage forbi Ball. bib. lige ved siden af Ball. station, der er også i dag ret ofte adm ansatte i kommunen der giver borgere besked om at "det må du få ordnet på biblioteket, det har vi ikke tid til !" (måske ved de heller ikke hvordan). IT-hjælpen på Ballerup bibliotek er meget brugt af alle aldersgrupper og høj som lav, samt af os blegansigter og alle de andre skønne hudfarver, der nu er en del af det danske samfund !

Jeg må tilstå at det vil være godt når Ballerup igen en dag lukker op for IT-hjælpen på biblioteket, når de ikke mere frygter ansvaret ift covid !

Hav en vidunderlig weekend allesammen !

Mvh Dave

20
2. oktober 2020 kl. 15:40

Og hvis man kravler rundt på gulvet for at se efter, om kablerne er på plads og uden "mellemled", så bliver man antastet, fordi andre tror, at man vil montere en keylogger.

19
2. oktober 2020 kl. 13:52

sæt maskinerne op i båse så ingen kan kigge over skulderen lure ens koder af

18
2. oktober 2020 kl. 13:47

fjern tastaturene og sæt virtuelt keybord op istedet så kan de jo slet ikke logge det når der ikke er noget

17
2. oktober 2020 kl. 13:46

noget helr andet hvis man kører systemet i en sandbox eller virtual machine, der kun er aktiv for hver enkelt bruger, ville det så ikke løse det ?

16
2. oktober 2020 kl. 13:38

en QR kode nok bedre end stregkode

15
2. oktober 2020 kl. 13:30

Hvad er formålet med en PC'er på et bibliotek ?

Det er vel adgang til internettets lyksaligheder, herunder offentlige hjemmesider og biblioteketnes kataloger.

Der må da være muligt at erstatte den der almindelige PCer, med såbarhederne, med en simpel web-browser-only maskine (Arduino?) ?

Måske er anden funktionalitet nice-to-have - men er det risikoen værd ?

14
2. oktober 2020 kl. 13:24

Brugeren skal ha tilknyttet sit fingeraftryk til sit biblioteks login og kun kunne logge ind med fingeraftryk bibloteks login må ikke være nem id men skal være et kun for biblioteket og med stregkode

13
2. oktober 2020 kl. 13:13

Den kriminelle kender adressen til en keylogger virus på en hjemmeside, går derefter på biblioteket åbner siden og kører keyloggern derfra, så er det jo lige meget om computern er skjult bag stålplader.

12
2. oktober 2020 kl. 11:58

Fra billedet af Ballerup Kommune's kabinetter: Hvis man vælger en lås der lader døren stå SÅ åben, er det begrænset hvor meget sikkerhed det giver. Det kabel der er forrest (og som godt kunne være keyboard kablet) ser ud til at være til at tage ud og sætte en logger i.

11
2. oktober 2020 kl. 11:19

Hvad med at de brugte f.ex. https://www.zdnet.com/article/this-usb-firewall-protects-against-malicious-device-attacks/ - en "USB firewall" - som sættes imellem - således at man KUN kan anvende "udvalgte usb kommandoer" - f.ex. dem der anvendes ved et usb storage device - så undgås sikkerhedsproblemerne, og borgerne kan stadigvæk komme med deres billeder mm.

Det beskytter ikke imod malware på usb stick'en - men det er samme problem som når de læser email - så der skal en software løsning til at sikre imod det problem (jeg er personligt fan af PureOS til en langt sikrere dele-pc).

10
2. oktober 2020 kl. 11:06

Og når så bibliotekerne har foranstaltet de påpegede tiltag, er det så sikkert for folk at anvende dem til personlige ting. Der skulle jo 'lig på bordet' før det blev åbenbaret at de agerere uagtet værktøj for tyve. Mus og tastatur er af andre årsager formentlig wired - det er godt, for de proprietære protokoller på 2.4Ghtz der anvendes er set havende ringe kryptering. Så kunne en 'bog' der lå og flyd, diskret blive afhentet efter at have ligget et stykke tid og samlet oplysninger. Hvad med computernes indmad, hvilke lid skal vi fæste til at nogen er ansvarlig. Er der bevidsthed ud i alle landet købstæder om at der ikke må bruges radiobåret datastrøm input devices - hverken blutooth eller andre dongler med proprietære protokoller. Hvis kabler ikke er godt impedans tilpasset så udståler de også noget der fanges af påklistrede 'tang amparemetre' og endelig kan kabler klippes over hvis nogen får meget arbejdsro. Det åremål der gået før aktuelle data anonymiseringsbrister blev opdaget afgør for mig hvilken brug bibliotekscomputere er begrænset til.

9
2. oktober 2020 kl. 10:56

Korrekt men han har jo ret. Hvis den ledige usb port faktisk ikke er en usb port men i virkeligheden en sata controller med en USB forlænger kan der være nok så meget malware den usb-stick uden de kan køres direkte.

Det blandet med software restrationer mod install og kørsel af fremmede programmer bør holde kriminelle ude.

8
2. oktober 2020 kl. 10:32
7
2. oktober 2020 kl. 10:24

Det ville da være smart hvis man kunne installere et Sata til USB drev i en pc. Altså et sata drev som fungere ligesom f.eks. de små kort læsere, men har i stedet en indgang til et USB pind. En fordel er at det ikke vil være muligt for en hacker at ændre noget som helst i den pågældende pc så som at ændre i enten UEFI eller slå Secure boot fra eller indsætte en keylogger, fordi, sata drevet udelukkende fungere som et almindelig drev og derfor ikke bør være i stand til at videresende eventueller USB komandoer til pc'en.

6
2. oktober 2020 kl. 10:19

Men der er borger der ikke kan finde ud af det og de computer står der nettop for dem så der bør være en tilgænnelig usb. Resten af beskyttelsen kan nemt klares med software mod install og kørsel af fremmmede programmer.

5
2. oktober 2020 kl. 10:15

USB porten er en risiko. Det er mere sikkert at gemme i skyen.

4
2. oktober 2020 kl. 10:06

Man kan eventuelt fastgøre en enkelt usb forlænger på bordet ved siden af musen med en klar og visuel besked om at den skal være tom med mindre brugeren selv har indsat deres USB stick.

Det vil da løse problemet med total nedlukning og samtidig beskytte brugeren.

2
2. oktober 2020 kl. 08:38

nej - det kræver at man ved hvad man skal kigge efter - det vil kun være en fordel for IT folk der alligevel aldrig ville gøre brug af disse maskiner...

1
2. oktober 2020 kl. 08:26

Ville det ikke være bedre at alle kan se kabinettet og gøre brugeren i stand til visuelt at undersøge om der er tegn på kompromittering?