TDC suger folks selvvalgte wifi-kodeord ud af routere og gemmer dem i klartekst
Måske går du ikke lige og tænker over det, men det udstyr, du har stående derhjemme, og som giver dig adgang til internettet, tilhører tit og ofte din internetudbyder. Og udbyderen har som regel også fjernadgang til udstyret.
Den adgang bliver hos TDC og virksomhedens datterselskaber Fullrate og Yousee blandt andet brugt til at hive kodeord på wifi-forbindelser ud af kundernes routere. Også de kodeord, folk selv har valgt.
Det samme gælder det såkaldte SSID, altså navnet som bruges til at identificere wifi-nettet fra eksempelvis en mobiltelefon.
»Vi ligger inde med både SSID og Wifi-kodeord. Årsagen er, at vi gerne vil kunne hjælpe vores kunder fra fjernt hold. Det er en meget almindelig problemstilling, at en kunde har glemt sit kodeord. Dataene er beskyttet, og det vil kræve, medarbejderen logger ind for at tilgå disse data, hvilket også betyder, at det bliver logget. Man kan med andre ord se, hvem der har været inde for at se på kundens oplysninger,« oplyser kommunikationsrådgiver hos TDC, Povl Damstedt Rasmussen via mail.
Han fortæller, at en udlevering af kodeordet i udgangspunktet sker til det telefonnummer, der er registreret på kunden. Det sker hovedsageligt via sms, men kan også ske ved et telefonopkald.
Fullrate bruger mail
Version2 er dog også bekendt med, at TDC-selskabet Fullrate i løbet af i år i forbindelse med router-skifte sender det selvvalgte wifi-kodeord fra den tidligere router i klartekst via mail. Den procedure er der ved at blive lavet om på, fortæller Povl Damstedt Rasmussen.
»Fremover vil du ved router-skifte også modtage en mail, men her vil du enten få den nye routers SSID og forudindstillede kodeord oplyst, eller du vil alternativt få at vide, at du kan finde oplysningerne på 'Mit Fullrate' (Fullrates selvbetjeningsløsning), såfremt du har foretaget en ændring allerede.«
Hvem har adgang til disse kodeord?
»Det har medarbejdere, der skal kunne yde support eller drift i forhold til kunden. Det er dog som sagt bag adgangskontrol,« oplyser Povl Damstedt Rasmussen.
Mener TDC så, det er en sikker måde at behandle folks kodeord på?
»Ja, vi vurderer, at vi har den rette sikkerhedsforanstaltning i forbindelse med håndteringen af de nævnte kodeord.«
Version2-blogger Henrik Kramshøj har udover en fortid i internetudbyder-branchen også forstand på blandt andet routere og netværkssikkerhed. Og han mener ikke, TDC's nuværende omgang med folks wifi-kodeord virker god.
»Det er en dårlig idé at indsamle det og gemme det. Og det er en dårlig idé at udlevere det. Man burde hellere sende et nyt. Det ville være min opfordring til deres procedure,« siger Kramshøj.
Han mener, TDC burde oplyse sine kunder om, at de får deres wifi-kodeord suget ud af routere. Men generelt burde TDC helt lade være, mener Henrik Kramshøj.
»Der er ikke nogen grund til, at det skal ligge som en klartekst-database inde hos TDC.«
Wifi-kodeord, og hvad så?
Men hvad kan der egentlig ske ved, at uvedkommende får kendskab til dit wifi-kodeord? Under de rette omstændigheder: En del.
Hvis du for eksempel har brugt det samme kodeord i flere sammenhænge, ja, så kan uvedkommende med kendskab til dit kodeordet og din identitet også skaffe sig adgang til eksempelvis din mail-konto.
I den sammenhæng er det, som det vil være flere Version2-læsere bekendt, generelt en god idé ikke at genbruge det samme kodeord alt for mange steder. Men det er svært at huske mange forskellige kodeord. Det er der dog lavet programmer, der kan hjælpe med.
»Et generelt råd er at installere en kodeordshusker, det kan man ikke sige nok gange. Og så bruge individuelle passwords overalt. Jeg er ikke der endnu, men jeg er da godt på vej,« siger Kramshøj.
Derudover giver kendskab til SSID og wifi-kodeord i sagens natur også adgang til netværket. Og medmindre brugeren kører med en eller anden form for segmentering, betyder det også adgang til delte netværks-ressourcer, som netværksharddisk og delte mapper.
Kodeord: 12345
Og da den slags enheder i udgangspunktet befinder sig på et lukket netværk, er det ikke sikkert, brugeren lige har tænkt nærmere over at sikre adgangen til dem synderligt. Og dermed kan udefrakommende potentielt få adgang til feriebillederne fra Lanzarote - eller det, der er værre.
»En NAS står jo trygt og godt derhjemme på det krypterede netværk, så den kunne jeg sagtens forestille mig havde et password a la '12345'.«
Derudover er der flere andre og mere netværkstekniske muligheder for at lave ravage via den adgang et wifi-kodeord kan give til lokalnetværket.
»Du vil have meget nemmere ved at overtage, hvis du eksempelvis skulle lave et målrettet angreb,« siger Henrik Kramshøj.
Som eksempel nævner Kramshøj DNS spoofing, som blandt andet kan bruges til at udføre et man-in-the-middle-angreb. Altså hvor angriberen lægger sig mellem offeret og en tjeneste, så det bliver muligt at aflure datatrafikken.
Et andet eksempel på, hvordan kendskab til et wifi-kodeord kan misbruges, er afkodning af folks trådløse trafik. Den trådløse trafik er i udgangspunktet krypteret.
Men for at skabe forbindelse til et privat wifi-netværk anvendes der typisk det, der kaldes en pre shared key, eksempelvis WPA-PSK. Og hvis det er tilfældet, så er det med kendskab til wifi-kodeordet muligt at lytte med på datalinjen.
»Hvis du har opsamlet trafik gennem længere tid, så vil du kunne dekryptere det hele. Og så vil du selvfølgeligt også kunne aflytte det, der foregår lige nu og her,« siger Henrik Kramshøj.
Er det ok, at en internetudbyder indhenter wifi-kodeord og lagrer dem i klartekst i support øjemed? Kramshøj siger nej, TDC siger ja, men hvad siger du?
