Dette indlæg er alene udtryk for skribentens egen holdning.

Trådløs Paranoia

10 kommentarer.  Hop til debatten
Blogindlæg18. november 2007 kl. 10:30
errorÆldre end 30 dage

Lyden af ringklokken trækker mig ud af sengen, groggy efter netop at være faldet i søvn ovenpå en god times læsning af Gibsons "Count Zero". Jeg får aldrig gæster søndag nat kl. 00:30 og spoler hastigt bekendtskabskredsen igennem på vej ned ad trappen uden at finde nogen kandidater. Mørket udenfor er gabende tomt, der er ingen ved døren eller på vejen og det er hverken Halloween eller første april. Alternativt.

Næste formiddag er den gal igen, spøgelser ved døren og jeg skifter batterierne: min røgalarm har det med at larme når den er ved at blive flad. Da det bliver weekend afmonterer jeg efter utallige falske alarmer ringklokken og finder et andet mærke i byggemarkedet. Den er nok defekt, tænker jeg, men den nye er ikke bedre. På vej tilbage til stuen efter falsk alarm ser jeg gennem vinduet min nabos hoveddør lukke i og pludselig går det op for mig.

Søndag morgen tager jeg den gamle kontakt med ud på plænen og ringer på. Et øjeblik sker der intet, men så dukker min nabo op i døren iført boksershorts, stadig med barberskum i halvdelen af det forvirrede ansigt. Jeg trykker igen og storgriner: min nabo har netop fået nye vinduer i og valgte samtidig en trådløs ringklokke. En anden model end min, men åbenbart nært beslægtet. Disse enheder er fra fabrikken indstillet til at sende på samme frekvens, men kan dog med lidt manuallæsning omkodes.

Ringklokker er primitive størrelser, hvor man ikke har fundet det umagen værd at indbygge logik der gør det muligt for flere enheder at sende på samme frekvens uden at genere hinanden som vi kender det fra Bluetooth eller trådløse netværk. De er symptomatiske for en tid hvor kabler forsvinder og hvor vi tager nye radiobaserede kommunikationsmidler til os ofte mere eller mindre ukritisk.

Artiklen fortsætter efter annoncen

Ovenpå affæren med dørklokken har jeg været igennem en mindre trådløs selvransagelse. Det var en øvelse, der bl.a. afslørede at nøglen til min bil formodentlig højst er 64 bit og kan knækkes på en god time. Hvad værre er, det kan gøres mens jeg sidder på en fortovscafé og drikker kaffe og nøglen ligger i lommen.

Den trådløse trend skaber ganske vist helt nye muligheder for menneskelig interaktion og kommunikation, men åbner samtidig en Pandoras æske af sikkerhedsproblemer.

Mobiltelefonen er formodentlig den største enkeltstående risiko for at få stjålet personlige oplysninger med sin Bluetooth forbindelse, sit GSM, 3G og GPRS, samt for nogens vedkommende WIFI. Disse protokoller er ganske vist krypterede, typisk med 128 bit nøgler, men alligevel.

Læg til den netværksmæssige side, at mobiler efterhånden kan gå på nettet og dermed blive sårbare overfor phishing, vira, malware og alskens andre velkendte ubehageligheder. Det er noget af en udvikling når man skal til at tænke i antivirus software til sin telefon!

Men sådan er det og det er ikke bedre med de private trådløse netværk, der i ro og mag kan kortlægges fra vejen udenfor med en almindelig bærbar pc, såkaldt war-driving, war-biking eller war-walking afhængig af det anvendte transportmiddel. Med lidt ekstra indsats kan megabyte efter megabyte suges ud af æteren og efter lidt gumlen på de hentede data kan netværkskoden knækkes. Voila, der røg nøglen til netbanken.

Grænserne for hvad der er sikkert flytter sig hastigt: gårsdagens uknækkelige kryptoalgoritme er morgendagens sikkerhedsbrist. Jeg kan mærke den kolde, klamme fornemmelse af trådløs paranoia komme snigende ...

Min ringklokke understøtter 16 forskellige frekvenser og sender nu på en anden end min nabos, men jeg har ikke checket dem der bor på den anden side eller dem bagved eller ... Jeg gruer stærkt for den dag alle dem i boligblokken overfor skifter til trådløs.

...

I public service afdelingen skal jeg lige huske at minde om Version2's fødselsdag på torsdag den 22/11. Om der stadig er ledige pladser kan man undersøge ved at maile til jmc@version2.dk.

10 kommentarer.  Hop til debatten
Fortsæt din læsning
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
9
20. november 2007 kl. 08:36

Stephan,

Jeg er usikker på din pointe, men nøgler kommer jo som jeg nævnte i alle mulige afskygninger og jeg har stadig til gode at se en altomfattende løsning for alle mine nøglebehov baseret på en database eller en browser.

Selv hvis vi afskærmer diskussionen til nøgler i it-systemer vil de forskellige organisationer man agerer hos selv suverænt udstede usb-tokens, brugernavn/password, certifikater, fysiske dongles med one-time-password, etc. etc. til brug for VPN, websites, tykke klienter, citrix, osv. Gang det med et antal organisationer og du har et nøglekaos ikke ulig det hedengangne tiders pedeller på landets folkeskoler må have været ramt af.

Jeg har svært ved at se det lette i at håndtere den problematik.

10
Indsendt af Anonym (ikke efterprøvet) den fre, 04/17/2009 - 11:49

Det kræver kun en stringent model.

I modsætning hertil er fælles brugerstyring som garanterer at der er ikke er sikkerhed for nogen, at riskoen maksimeres, at systemerne bliver stive og ramt af legacy, samt at INGEN tager udgangspunkt i behov og innovation fordi al fokus dirigeres hen på at kontrollere og styre borgerne.

Det er ganske enkelt WORST CASE.

8
Indsendt af Anonym (ikke efterprøvet) den man, 11/19/2007 - 19:21

Kåre,

Det er påfaldende som vi er faret vild i problemet med nøgler. Intet er jo nemmere end at holde styr på mange nøgler - databasen er jo opfundet. Det er ikke en god sikkerhedsløsning, men browsere har f.eks. en model til at du kan håndtere mangle nøgler - det skal "bare" systematiseres og sikres.

7
19. november 2007 kl. 15:44

Jeg skal indrømme, at der var en vis fornøjelse forbundet med at forstyrre min nabo midt under barberingen når det ses i relation til hans natlige påringninger, men så heller ikke mere :-)

Der er mange facetter af det her, bla. hvordan laver man en god model for håndtering af digital identitet som brugeren kan håndtere, samt hvordan man undgår at denne identitet kompromitteres? Hvordan undgår man et hav af akkreditiver, som det er i dag med pinkoder, signaturer, dongles og alt muligt andet man skal huske eller have på sig for at identificere sig?

RFID teknologi el. lign. der kan scannes og som aktiveres bare ved at man er i nærheden er næppe løsningen i hvert fald.

6
Indsendt af Anonym (ikke efterprøvet) den man, 11/19/2007 - 14:04

Distancebounding er mere en teoretisk tanke end noget som fungerer i virkeligheden. F.eks. RFID-signalet rejser ca. 22 meter på et clocktick ved 13,56 mHz - det giver en attacker masser af rum for at bryde ind i protokollen.

Prisen skal ikke ses på en dør alene, men snarere på omkostningen for dig at sætte dig ind i en bestemt styringsmodel og kunne håndtere den.

Det er f.eks. efter min mening desideret uansvaarligt at staten med digital signatur nu sælger dig til en central gatekeeper-kontrolleret model uden tanke for at det faktisk tvinger dig ind i en model , du ikke selv kan bestemme over.

Selve algoritmen og nøglen kan sagtens være forskellige og tilpasset til behovet, men brugerinterfacet skal kunne genbruges, være godt sikret og du skal kunne forstå det.

Ellers ser vi en dårlig gentagelse af kreditkort krigen, hvor det drejer sig om at erobre pladsen i din tegnebog, selvom et kort sagtens kunne understøtte millioner af nøgler og mange forskellige protokoller.

5
19. november 2007 kl. 12:39

Ja, i mange situationer med autentifikation over en trådløs kanal er Mafia-angrebet (aka. Relay Attack), et potentielt problem. Der findes dog en række løsningsforslag, rækkende fra distance bounding protocols, til mere lowtech-løsninger baseret på alternative side-kanaler (fx at man kan se devicet man autentificerer med).

En interessant løsning om bilnøgler er: http://www.wired.com/wired/archive/14.08/carkey.html. Som Stephan er inde på, så nytter det jo ikke noget med super-duper autentifikation hvis man alligevel kan cracke bilen ved at hive op og ned i håndbremsen 47 gange...

Ifht. dørklokker kan man jo overveje hvor meget mere man er villig til at betale for at slippe for Kåres scenario - faktisk lyder det jo nærmest som om Kåre er begejstret over at have set naboen i boxers.

4
Indsendt af Anonym (ikke efterprøvet) den man, 11/19/2007 - 09:06

Rigtigt set, men nemt at drage de forkerte konklusioner.

Mit indlæg til EUs Security Research Conference addresserer denne problemstilling. Bemærk specielt Mafia Fraud Attack som den rigtigt grimme sag for mobil sikkerhed, der klart taler imod enhver form for automatisk identifikation uden brugerinvolvering.http://www.src07.de/index.php?option=com_content&task=view&id=36&lang=en

Man skal samtidig have med at perimetersikkerheden på serversystemer og specielt databaser gennemhulles, dvs. det er IKKE et valg mellem centralisering og decentralisering, men - som f.eks. med EPJ - at nedbryde de fysiske siloer, men samtidig at distribuere nøglekontrollen fora t opbygge en logisk sikkerhedsmodel til erstatning af den tidligere fysiske perimetersikkerhed.

Man skal styrke DIN mobile styring af dine nøgler, identiteter og data for at sikre alle.

Dvs. bilen skal IKKE identificere dig, men du skal bevise din specifikke nøgle overfor bilen.

3
18. november 2007 kl. 23:55

Arh ja, hvis det er RFID er det jo en anden sag. Jeg vil klart foretrække at det krævede noget handling fra brugeren i forhold til nøglen før man kunne få data fra den, ellers er det jo lige til højrebenet at få det knækket.

1
18. november 2007 kl. 12:42

Din bilnøgle udsender forhåbentligt ikke data medmindre du trykker på den, så hvordan skal den nøgle den bruger kunne knækkes hvis der ikke er noget data at se?

Ellers et godt indlæg, giver en lidt at tænke over.