Det russiske selskapet ElcomSoft har utviklet et program for passord-innhenting som fungerer opptil 100 ganger raskere enn tidligere utgaver.
Grafikkraft
Nøkkelen ligger i å benytte prosesseringskraften i grafikkprosessoren (GPU), i stedet for i den vanlige prosessoren.
Å bryte krypteringen på et trådløst nettverk kan gå 10 til 15 ganger raskere med NVIDIA GeForce 8800M eller 9800M-GPU, som er blant de heftigste løsningene for bærbare maskiner i dag.
Med en stasjonær PC med to eller flere NVIDIA GTX 280-kort, det ypperste av grafikkraft du får i dag, kan det gå 100 ganger raskere.
Tar alt
Tidligere har det kun vært såkalt WEP-kryptering som har vært sårbar for såkalte "brute force"-angrep, hvor et enormt antall ulike nøkler sendes mot det trådløse nettverket, i håp om at en av dem skal være den korrekte. Selv med gammel teknologi kunne enkelte WEP-krypterte tilkoblinger hackes på under to minutter.
Med det nye programmet blir også de kraftigere WPA- og WPA2-krypteringene utsatt, til tross for at de har milliarder av mulige krypteringsnøkler. Programmet er nemlig skreddersydd for å trenge seg inn i slike nettverk.
Det trenger bare å snappe opp noen få datapakker for å kunne utføre et brute force-angrep, og ElcomSoft mener programmet kan være et godt verktøy for selskaper til å finne ut om passordene deres er gode nok, selv om det vel er åpenbart at mennesker med uedle hensikter kan stå foran en revolusjon.
Les også: Hackere lærer cracking
Distribuert
Ifølge selskapet kan grafikkprosessorenes datakraft også benyttes til andre typer passord-hacking, for eksempel oppstartspassordet til Windows og å komme inn i passordbeskyttede Office- og PDF-dokumenter.
Og om ikke kraften i én PC er nok, kan programvaren skaleres opp til å benytte 10 000 PC-er i et distribuert nettverk, ifølge ElcomSoft.
VPN og kabler
Sikkerhetsbyrået Global Secure Systems mener utviklingen gjør at trådløse nettverk ikke lenger kan anses som sikre, selv om de benytter seg av den seneste krypteringsteknologien.
- Selskaper kan ikke lenger lite på standardiserte sikkerhetsmetoder for å beskytte sine data. Som et resultat råder vi nå klienter som benytter Wi-Fi i kontorene sine til å ta i bruk VPN-kryptering, sier direktør David Hobson i GSS til IT-nettstedet The Register.
Han mener selskaper med spesielle sikkerhetsbehov bør gå tilbake til kablede nettverk.
- Brute-force-dekryptering av WPA- og WPA2-systemene har vært på horisonten for teoretiske muligheter en stund allerede, og sannsynligvis benyttet av flere myndighetsorganisasjoner i ekstreme situasjoner, men bruken av NVidia-kortene til å øke dekrypteringshastigheten på en vanlig PC er bekymringsverdig, sier Hobson.
Stiller krav
Senioringeniør Atle Årnes i Datatilsynet sier at Personvernloven stiller krav til sikkerheten.
– Når det dukker opp nyheter som dette, er det viktig at sikkerhetsfolkene tar høyde for det. Vi i Datatilsynet krever risikovurderinger og kontinuerlig sikkerhetsgjennomgang, og kommer man frem til at datasikkerheten er tilstrekkelig, slår vi oss til ro med det, sier Årnes.
Les også: Sensitive data sendes ukryptert
Flere mekanismer
Han mener siste utvei må være å gå tilbake til kabler.
– Til sitt bruk er trådløse nettverk ganske OK, men det finnes personopplysninger man skal holde langt unna den type nett. Kommer man seg først forbi det første sikkerhetsleddet, er det ganske mye mer man kan foreta seg, selv om det som oftest finnes flere sikkerhetsmekanismer.
Informasjonsdirektør Ove Skåra tror utviklingen gir sikkerhetsbransjen fornyet grunnlag for sin virksomhet.
– En virksomhet som behandler person- og andre sensitive opplysninger må forholde seg til at de må ha en tilfredsstillende informasjonssikkerhet. Hvis det viser seg at krypteringen nå er veldig lett å knekke, må det komme inn i risikovurderingen hos virksomheter som baserer mye av kommunikasjonen sin på trådløse nettverk, sier han.
Les også: 10 gode råd for bedre IT-sikkerhet
