OFFENTLIG: Diskusjonen om dens prinsipielle betydning er neppe over. Men i dag ble i det minste den såkalte "Max Manus"-dommen , eller som Twitter-brukere kjenner den: #krevsvar-saken, gjort offentlig. (Bilde: Colourbox)
Nvidia GTX 280. Skjermkort. Grafikkort. Data. (Bilde: Nvidia)

Alle trådløse nettverk er nå usikre

  • IT

Det russiske selskapet ElcomSoft har utviklet et program for passord-innhenting som fungerer opptil 100 ganger raskere enn tidligere utgaver.

Grafikkraft

Nøkkelen ligger i å benytte prosesseringskraften i grafikkprosessoren (GPU), i stedet for i den vanlige prosessoren.

Å bryte krypteringen på et trådløst nettverk kan gå 10 til 15 ganger raskere med NVIDIA GeForce 8800M eller 9800M-GPU, som er blant de heftigste løsningene for bærbare maskiner i dag.

Med en stasjonær PC med to eller flere NVIDIA GTX 280-kort, det ypperste av grafikkraft du får i dag, kan det gå 100 ganger raskere.

Tar alt

Tidligere har det kun vært såkalt WEP-kryptering som har vært sårbar for såkalte "brute force"-angrep, hvor et enormt antall ulike nøkler sendes mot det trådløse nettverket, i håp om at en av dem skal være den korrekte. Selv med gammel teknologi kunne enkelte WEP-krypterte tilkoblinger hackes på under to minutter.

Med det nye programmet blir også de kraftigere WPA- og WPA2-krypteringene utsatt, til tross for at de har milliarder av mulige krypteringsnøkler. Programmet er nemlig skreddersydd for å trenge seg inn i slike nettverk.

Det trenger bare å snappe opp noen få datapakker for å kunne utføre et brute force-angrep, og ElcomSoft mener programmet kan være et godt verktøy for selskaper til å finne ut om passordene deres er gode nok, selv om det vel er åpenbart at mennesker med uedle hensikter kan stå foran en revolusjon.

Les også: Hackere lærer cracking

Distribuert

Ifølge selskapet kan grafikkprosessorenes datakraft også benyttes til andre typer passord-hacking, for eksempel oppstartspassordet til Windows og å komme inn i passordbeskyttede Office- og PDF-dokumenter.

Og om ikke kraften i én PC er nok, kan programvaren skaleres opp til å benytte 10 000 PC-er i et distribuert nettverk, ifølge ElcomSoft.

VPN og kabler

Sikkerhetsbyrået Global Secure Systems mener utviklingen gjør at trådløse nettverk ikke lenger kan anses som sikre, selv om de benytter seg av den seneste krypteringsteknologien.

- Selskaper kan ikke lenger lite på standardiserte sikkerhetsmetoder for å beskytte sine data. Som et resultat råder vi nå klienter som benytter Wi-Fi i kontorene sine til å ta i bruk VPN-kryptering, sier direktør David Hobson i GSS til IT-nettstedet The Register.

Han mener selskaper med spesielle sikkerhetsbehov bør gå tilbake til kablede nettverk.

- Brute-force-dekryptering av WPA- og WPA2-systemene har vært på horisonten for teoretiske muligheter en stund allerede, og sannsynligvis benyttet av flere myndighetsorganisasjoner i ekstreme situasjoner, men bruken av NVidia-kortene til å øke dekrypteringshastigheten på en vanlig PC er bekymringsverdig, sier Hobson.

Stiller krav

Senioringeniør Atle Årnes i Datatilsynet sier at Personvernloven stiller krav til sikkerheten.

– Når det dukker opp nyheter som dette, er det viktig at sikkerhetsfolkene tar høyde for det. Vi i Datatilsynet krever risikovurderinger og kontinuerlig sikkerhetsgjennomgang, og kommer man frem til at datasikkerheten er tilstrekkelig, slår vi oss til ro med det, sier Årnes.

Les også: Sensitive data sendes ukryptert

Flere mekanismer

Han mener siste utvei må være å gå tilbake til kabler.

– Til sitt bruk er trådløse nettverk ganske OK, men det finnes personopplysninger man skal holde langt unna den type nett. Kommer man seg først forbi det første sikkerhetsleddet, er det ganske mye mer man kan foreta seg, selv om det som oftest finnes flere sikkerhetsmekanismer.

Roald, Berit
Og om man etter en sikkerhetsvurdering kommer frem til at den trådløse sikkerheten ikke holder, må man gå over til kablet nettverk, sier Årnes.

Informasjonsdirektør Ove Skåra tror utviklingen gir sikkerhetsbransjen fornyet grunnlag for sin virksomhet.

– En virksomhet som behandler person- og andre sensitive opplysninger må forholde seg til at de må ha en tilfredsstillende informasjonssikkerhet. Hvis det viser seg at krypteringen nå er veldig lett å knekke, må det komme inn i risikovurderingen hos virksomheter som baserer mye av kommunikasjonen sin på trådløse nettverk, sier han.

Les også: 10 gode råd for bedre IT-sikkerhet