I takt med att alla nätverkskomponenter blir allt mer
komplexa ökar tilltron till alla tänkbara fabriksinställda
värden.
De flesta har inte tid eller möjlighet att fundera över alla
detaljer utan "default" duger gott. Eller gör det kanske inte det?
Det vanligaste exemplet på att det enkla inte är det geniala är det
trådlösa nätverket.
Om tillverkare tidigt valt att leverera allt från trådlösa
nätverkskort till accesspunkter med åtminstone wep, wired
equivalent privacy, som standardinställning, hade vi inte haft så
många "publika" trådlösa nät.
Givetvis finns det tillfällen där ett standardvärde ger fullt
tillräcklig säkerhet, men det finns allt för många exempel på att
ett standardvärde har valts utifrån en annan horisont. Inte minst
om man studerar standardvärden i konsumentprodukter där
användarvänlighet har legat i blickfånget och säkerhet haft
underordnad betydelse.
Ett slående exempel, där synsättet på en konsumentprodukt
respektive en kommersiell produkt åskådliggörs, är brandväggen. För
en konsument är det mesta tillåtet redan från start medan en
kommersiell brandväggsprodukt är helt stängd från start. Det skulle
aldrig accepteras kommersiellt att utgå från en öppen arkitektur
som ska täppas till, men av någon anledning så ska det accepteras
av en konsument vars kunskaper inte sällan är ringa inom
området.
Ett annat område där standardvärdet kan ställa till det är
användar-id och lösenord. Alla standard anvädar-id är kända, likaså
alla standardlösenord, eller som i många fall en avsaknad av
lösenord. Vad fri tillgång till en nätverkskomponent innebär är
inte svårt att räkna ut. Det kan i sin tur kombineras med en känd
sårbarhet, vilket öppnar för oanade möjligheter till att konstruera
virus, maskar och trojaner.
Alla standardvärden behöver självfallet inte vara relaterade till
hög eller låg säkerhetsgrad. Det kanske vanligaste exemplet är att
alla nätverkskomponenter är standardinställda till att förhandla
hastighet och duplex, trots att förhandlingen om den senare inte
alltid lyckas.
En misslyckad förhandling om duplex innebär en
överföringskapacitet som endast är några procent av tillgänglig
kapacitet. Visst har nätverkskomponenterna fått bättre
standardvärden, men det är fortfarande en mycket lång väg att gå
tills dess att alla standardvärden som försämrat nätsäkerheten är
ändrade till det bättre. Dessvärre går det nog inte att ändra
historien utan det enda sättet att komma tillrätta med problemet är
att lära av historien och ha ett betydligt högre säkerhetstänkande
när ett standardvärde bestäms.
Det är nog också den enda vägen till att kunna surfa lugnt
framgent.
© 2005 Thomas Nilsson, Certezza AB
