tisdag 22 september 2015

Säkra ditt trådlösa nätverk (från Microsofts Wi-Fi Sense)!

Suck. Då var det nog verkligen dags att ändra några parametrar (igen) för att vara säker på att lösenordet till ditt trådlösa nätverk inte är ute och flyger på Internet på "egen" hand. Detta gäller oavsett vilket operativsystem du själv använder. Vad det handlar om är en generell inställning i din router som gör att Microsoft inte kan lämna eller låna ut ditt nätverk. Grejen är alltså att se till att du själv får full kontroll på ditt trådlösa nätverk och det görs genom att lägga till frasen _optout i nätverksnamnet.



Bakgrund

I samband med att Microsoft släppte sitt senaste operativsystem Windows 10 så infördes en ny funktion vars syfte säkert är att underlätta för oss användare. Men att underlätta innebär en faktisk säkerhetsrisk. Funktionen heter Wi-Fi Sense och så här beskriver PC för alla den:
"Den nya funktionen Wi-Fi Sense gör det lättare att hitta trådlösa nätverk. Många nätverk är som bekant skyddade av lösenord, men om du har varit inloggad en gång så sparas lösenordet så att du loggas in automatiskt i fortsättningen. Wi-Fi Sense låter dig dela de här lösenorden med dina vänner. Har exempelvis din syster loggat in på sitt favoritkafés trådlösa nätverk får även du tillgång till det. [...] 
Wi-Fi Sense har fått kritik av säkerhetsexperter, och om du känner dig orolig går funktionen att styra själv"

Problem

Att den har fått kritik av säkerhetsexperter tvivlar jag knappast på. Åtminstone inte då det framkommer att mitt trådlösa nätverk kan vara vidöppet för personer som jag inte har någon som helst koll på (under förutsättning att de är i närheten så klart). Det räcker med att jag har delat ut nätverket till någon en gång för att det mer eller mindre börjar spridas utan att jag har någon kontroll över till vilka eller till hur många. Jag behöver inte ens köra Windows 10 själv. Det räcker med att den jag har gett tillåtelse att använda mitt nät har (eller hade) Windows 10 med Wi-Fi Sense.

Så vill man definitivt inte ha det!
Jag delar ut mitt trådlösa nätverk till de jag vill och bara dem!


Lösning

Wi-Fi Sense är självklart en funktion som man kan stänga av, om man vill det, i Windows 10. Detta styr dock bara i vilken mån du själv delar och får tillgång till andras delade nätverk. Om man istället vill förhindra att ens eget nätverk över huvud taget kan delas ut, av dig själv eller av någon annan, så bör man definitivt göra en del ändringar i sin router. Detta gäller alltså för alla, alltså oavsett om man kör Windows 10 eller ej och om man har ett trådlöst nätverk hemma.

För att komma åt konfigurationen till routern använder man oftast en vanlig webbläsare (Chrome, Internet Explorer, Safari, Firefox etc) och skriver 192.168.0.1 (eller möjligen 192.168.1.1) i webbläsarens adressfält. Även som dessa två är de vanligaste så kan det kan vara ett annat så kallat ip-nummer eller kanske t o m en adress med bokstäver, ett så kallat domännamn (typ www.google.se), men läs i så fall i manualen till routern eller (ofta) på en etikett på själva routern.

OBS: Ändringar i routerkonfigurationen bör endast göras när man är ansluten med nätverkskabel. Alltså inte trådlöst, WiFi.

Därefter bör din router självfallet vara skyddad med ett lösenord som du har valt själv och i så fall får du mata in användarnamn (ofta admin) och lösenord för att komma vidare.


Så här ser konfigurationen ut för min del:

Denna sida (klicka på bilden) ser så klart något annorlunda ut om du använder en annan router än i mitt fall Netgear CG3700, men principen och tillvägagångssättet är samma.

Här har jag gått in på Wireless som styr hur mitt trådlösa nätverk ska uppföra sig. Det man ska göra är att lägga till frasen _optout till sitt nätverksnamn (även kallat SSID), som jag har gjort på bilden efter den första och tredje svarta rutan (som bara döljer mina nätverksnamn i övrigt).

Därefter klickar man på Apply (eller kanske Enable eller Utför) och väntar en kort stund på att ändringen genomförs. Logga sedan ut.

Att det för min del är två rutor jag måste lägga till _optout i beror på att mitt trådlösa nätverk använder en så kallad Dual Band-teknik. Det är inte alls säkert att din router gör det. Huvudsaken är att man ändrar namnet (SSID'n) på nätverket på alla ställen som finns. Detta gör att ditt trådlösa nät inte blir tillgängligt för kreti och pleti bara för att du råkar ha delat ut det en gång. Den personen som du har delat ut det till levererar ju ditt lösenord (andra och fjärde svarta rutan på bilden ovan) till i princip vem som helst, såvida hen har funktionen Wi-Fi Sense igång.

Enda nackdelen med att ändra nätverksnamn är att man nästa gång man ska använda sitt trådlösa nät (WiFi) måste mata in lösenordet på nytt.


Kommentar

Förutom denna säkerhetsåtgärd (tillägget _optout i namnet) bör man definitivt se till att skydda sitt trådlösa nätverk med bra kryptering, och med bra menar jag WPA2. (Finns inte WPA2 så bör man nog helst skaffa en ny router. En äldre standard heter WEP men den standarden ska man inte använda eftersom det nästan är samma sak som att inte använda någon kryptering alls.) Att skydda med WPA2-kryptering gör att ingen kan sitta i trapphuset eller i en bil ute på gatan och läsa av allt som du skriver och skickar ut på Internet. Med allt menar jag verkligen allt, till exempel vad du skickar för e-post, gör för inlägg på Facebook och andra forum och till och med de lösenord som du skriver in.* Har du dessutom inget lösenord till ditt nätverk så har personen i trappan eller på gatan dessutom full tillgång till dina datorer och kan lägga in allt möjligt på dem, t ex virus, maskar, trojaner, keyloggers och även bilder och filmer som man definitivt inte vill ha på någon av sina datorer.**


Mer information (förutom länken till PC för alla i inledningen ovan):



Edit:
*) Ett grundskydd mot "avlyssning" av din digitala kommunikation finns så klart i och med att hemsidor (t ex Facebook) använder https-protokollet istället för bara http. Detta hjälper dock föga om du t ex kommunicerar med e-post, vilket i grunden är som att skicka vykort istället för brev. Att använda https är dessutom något som är upp till hemsidorna och alltså inte något som man själv styr över. Nu ska det sägas att de allra allra flesta större sajterna faktiskt använder https, men varför inte ha ett extra lagers skydd i form av krypterat trådlöst nätverk. Då slipper man i alla fall oroa sig.

**) Här utgör brandväggar ett grundskydd. Men det olagliga intrånget måste nog i princip rikta sig mot routern innan det kan ta sig in i dina datorer. Jag är ingen självfallet ingen expert på det här med datorsäkerhet men jag väljer personligen att sätta ett (eget) lösenord till själva routern. Om inte annat så för att åtminstone förhindra att någon utomstående kan göra ändringar där som jag inte tillåter, t ex att de kan ta bort WPA2-krypteringen för mitt trådlösa nätverk.