Har du et svakt passord på nettverket hjemme, er du ekstra sårbar for en kreativ innbruddsmetode.
I vår gikk Bjørn Martin Hegnes langs Oslos gater i rolig tempo. Med seg hadde han utstyr for å lytte på og kommunisere med wifi-nettverk. Over flere dager hentet han ned nok informasjon til å bryte seg inn i 549 wifi-nettverk, om han hadde villet det.
Ser man bort fra å bruke mobildata er wifi den vanligste måten nordmenn kobler seg på internett. For uvedkommende er det å koble seg på disse nettverkene en mulighet å overvåke hva noen gjør på nett og å trenge seg dypere inn.
– Hva kjennetegner passordene som du kunne knekke?
– Det er snakk om passord man gjerne finner i en ordbok, eller at de dukker opp i lister av ofte brukte passord, sier Hegnes.
Hegnes gjorde undersøkelsene til sin avsluttende oppgave ved Noroffs linje for nettverk og IT-sikkerhet. Han jobber nå innen IT-bransjen med skyløsninger og eksperimenterer med sikkerheten til trådløse enheter på fritiden.
En gylden mulighet
– Med teknikken som Hegnes har vist, er det relativt enkelt å massesjekke wifi-nettverk og velge seg ut bløtere mål, sier Martin Ingesen som leder Kovert.
Kovert tester sikkerheten til bedrifter ved å forsøke å bryte seg inn og ta over deres IT-systemer. Han mener teknikken kan ha noe for seg for kriminelle om de er villige til å tråle industriområder etter et fotfeste.
– Om man klarer å koble seg på nettet de ansatte bruker vil man ha tilgang til alle ressurser, servere og datamaskiner. Det er vårt utgangspunkt når vi sikkerhetstester andre bedrifter. Da har vi stor sjanse for å lykkes med å få tilgang til sensitiv informasjon og filer, sier Ingesen.
Ingesen er ikke like sikker på hvorfor noen vil forsøke å bryte seg inn i et hjemmenettverk, men er man først på nettverket, finnes det flere muligheter til å spionere og ta over datautstyr på nettverket.
– Hjemmenettet er sjelden godt sikret, og mange har ikke god kontroll over hva som skjer der, sier Ingesen.
Noen wifi-rutere bruker standard brukernavn og passord for å administrere nettverket. Det kan inntrengeren bruke til å sende noe nettrafikk gjennom utstyr de kontrollerer – dermed kan de overvåke deler av trafikken eller lettere lure brukeren til å installere skadevare.
Mange har også internettilkoblede dingser som er dårlig sikret. Dem er ofte enklere å ta over for uvedkommende om de har kjente sårbarheter.
Velg bedre passord
For å få tak i wifi-nettverkenes passord utnyttet Hegnes to kjente sårbarheter som påvirker den mest brukte sikkerhetsstandarden for wifi-nettverk, kalt WPA2. Alle rutere laget etter 2021 må støtte den sikrere versjonen WPA3, men den eldre standarden er likevel mest brukt for å sikre at alle enheter kan snakke med ruteren.
Han forteller at det tar lang tid å utnytte den sårbarheten som påvirker alle wifi-nettverk med WPA2.
– Den er mye mer krevende, fordi du må vente til det er noen på nettverket, kaste dem ut, og så vente til de igjen kobler seg på.
De to sårbarhetene gjorde at han fikk tak i et såkalt hashet passord for flere tusen wifi-nettverk. Dette er ikke nok til å logge seg på et wifi-nettverk.
Å hashe et passord er nemlig ment som en enveisgate som skal gjøre umulig å få tak i det egentlige passordet. Men datakyndige har kreative metoder å komme seg tilbake til passordet.
Det Hegnes gjorde, var å bruke en kraftig datamaskin til å kjøre millioner av vanlige ord, populære passord, og andre kombinasjoner gjennom enveisgaten for hvert av de hashede passordene han ville gjette. Den metoden avslørte at noen av kjøreturene ga det samme hashede passordet som wifi-nettverket. Dermed kunne han konkludere med at akkurat dette hashede passordet tilhørte akkurat dette passordet.
Slik klarte Hegnes å gjette 549 passord i etterkant av å trålt Oslos gater. Det var omtrent 14 prosent av de hashede passordene han hentet ned.
Ingesens selskap har en passordknekkingsrigg til 300.000 kroner. Den bruker de til å knekke en annen type hashede passord som brukes av Windows-maskiner. Ingesen anslår at de typisk klarer å gjette 40 til 60 prosent av passordene som brukes i en bedrift.
Det kan virke håpløst å finne gode passord, men du kan gjøre noen enkle grep som gjør dine passord langt sikrere. Faktisk skikkelig vanskelige å knekke med metoden forklart over.
- Du bør velge et passord som er langt, gjerne 4-5 ord, og enkelt å huske. Det er for eksempel bedre å ha passordet «vestlandet er best om sommeren» enn «M4R%%in10».
- Det er også smart å ikke gjenbruke passord, ettersom mange populære tjenester har fått publisert brukernes passord på det mørke nettet. Disse passord-databasene er et populært første skritt for uvedkommende som vil bryte seg inn. Du kan selv sjekke om passord knyttet til en e-postkonto har kommet på avveie på nettsiden Have I Been Pwned.
> Flere passord-tips
> Du kan spores i det skjulte av hodetelefonene dine
Saken er oppdatert klokken 11.55 og 12:28 med en mer detaljert forklaring på hashede passord og hvordan de kan knekkes.