nrk.no

Han kan bryte seg inn i wifi-nettverket ditt fra gata

Kategori: Samfunn

PSSST! Det passordet du bruker, hvor bra er egentlig det? Her med Bjørn Martin Hegnes og hans utstyr for å avlytte nettverkstrafikk. Foto: Martin Gundersen/NRK


Har du et svakt passord på nettverket hjemme, er du ekstra sårbar for en kreativ innbruddsmetode.

I vår gikk Bjørn Martin Hegnes langs Oslos gater i rolig tempo. Med seg hadde han utstyr for å lytte på og kommunisere med wifi-nettverk. Over flere dager hentet han ned nok informasjon til å bryte seg inn i 549 wifi-nettverk, om han hadde villet det.

Ser man bort fra å bruke mobildata er wifi den vanligste måten nordmenn kobler seg på internett. For uvedkommende er det å koble seg på disse nettverkene en mulighet å overvåke hva noen gjør på nett og å trenge seg dypere inn.

– Hva kjennetegner passordene som du kunne knekke?
– Det er snakk om passord man gjerne finner i en ordbok, eller at de dukker opp i lister av ofte brukte passord, sier Hegnes.

Hegnes gjorde undersøkelsene til sin avsluttende oppgave ved Noroffs linje for nettverk og IT-sikkerhet. Han jobber nå innen IT-bransjen med skyløsninger og eksperimenterer med sikkerheten til trådløse enheter på fritiden.

En gylden mulighet

– Med teknikken som Hegnes har vist, er det relativt enkelt å massesjekke wifi-nettverk og velge seg ut bløtere mål, sier Martin Ingesen som leder Kovert.

Kovert tester sikkerheten til bedrifter ved å forsøke å bryte seg inn og ta over deres IT-systemer. Han mener teknikken kan ha noe for seg for kriminelle om de er villige til å tråle industriområder etter et fotfeste.

– Om man klarer å koble seg på nettet de ansatte bruker vil man ha tilgang til alle ressurser, servere og datamaskiner. Det er vårt utgangspunkt når vi sikkerhetstester andre bedrifter. Da har vi stor sjanse for å lykkes med å få tilgang til sensitiv informasjon og filer, sier Ingesen.

TESTER: Martin Ingesen undersøker sikkerheten til bedrifter ved å bryte seg inn. Foto: Cecilie Halvorsen

Ingesen er ikke like sikker på hvorfor noen vil forsøke å bryte seg inn i et hjemmenettverk, men er man først på nettverket, finnes det flere muligheter til å spionere og ta over datautstyr på nettverket.

– Hjemmenettet er sjelden godt sikret, og mange har ikke god kontroll over hva som skjer der, sier Ingesen.

Noen wifi-rutere bruker standard brukernavn og passord for å administrere nettverket. Det kan inntrengeren bruke til å sende noe nettrafikk gjennom utstyr de kontrollerer – dermed kan de overvåke deler av trafikken eller lettere lure brukeren til å installere skadevare.

Mange har også internettilkoblede dingser som er dårlig sikret. Dem er ofte enklere å ta over for uvedkommende om de har kjente sårbarheter.

Velg bedre passord

For å få tak i wifi-nettverkenes passord utnyttet Hegnes to kjente sårbarheter som påvirker den mest brukte sikkerhetsstandarden for wifi-nettverk, kalt WPA2. Alle rutere laget etter 2021 må støtte den sikrere versjonen WPA3, men den eldre standarden er likevel mest brukt for å sikre at alle enheter kan snakke med ruteren.

Han forteller at det tar lang tid å utnytte den sårbarheten som påvirker alle wifi-nettverk med WPA2.

– Den er mye mer krevende, fordi du må vente til det er noen på nettverket, kaste dem ut, og så vente til de igjen kobler seg på.

De to sårbarhetene gjorde at han fikk tak i et såkalt hashet passord for flere tusen wifi-nettverk. Dette er ikke nok til å logge seg på et wifi-nettverk.

Å hashe et passord er nemlig ment som en enveisgate som skal gjøre umulig å få tak i det egentlige passordet. Men datakyndige har kreative metoder å komme seg tilbake til passordet.

Det Hegnes gjorde, var å bruke en kraftig datamaskin til å kjøre millioner av vanlige ord, populære passord, og andre kombinasjoner gjennom enveisgaten for hvert av de hashede passordene han ville gjette. Den metoden avslørte at noen av kjøreturene ga det samme hashede passordet som wifi-nettverket. Dermed kunne han konkludere med at akkurat dette hashede passordet tilhørte akkurat dette passordet.

Slik klarte Hegnes å gjette 549 passord i etterkant av å trålt Oslos gater. Det var omtrent 14 prosent av de hashede passordene han hentet ned.

Ingesens selskap har en passordknekkingsrigg til 300.000 kroner. Den bruker de til å knekke en annen type hashede passord som brukes av Windows-maskiner. Ingesen anslår at de typisk klarer å gjette 40 til 60 prosent av passordene som brukes i en bedrift.

Det kan virke håpløst å finne gode passord, men du kan gjøre noen enkle grep som gjør dine passord langt sikrere. Faktisk skikkelig vanskelige å knekke med metoden forklart over.

  • Du bør velge et passord som er langt, gjerne 4-5 ord, og enkelt å huske. Det er for eksempel bedre å ha passordet «vestlandet er best om sommeren» enn «M4R%%in10».
  • Det er også smart å ikke gjenbruke passord, ettersom mange populære tjenester har fått publisert brukernes passord på det mørke nettet. Disse passord-databasene er et populært første skritt for uvedkommende som vil bryte seg inn. Du kan selv sjekke om passord knyttet til en e-postkonto har kommet på avveie på nettsiden Have I Been Pwned.

> Flere passord-tips
> Du kan spores i det skjulte av hodetelefonene dine

Saken er oppdatert klokken 11.55 og 12:28 med en mer detaljert forklaring på hashede passord og hvordan de kan knekkes.

53 kommentarer

  1. I Norge så deles jo alt av privat info allerede offentlig. Navn, adresse ogTelefon på gulesider. Lønn, aksjer deles gledelig av myndighetene.

    Så dette er en made up fear. Trenger ikke hacke private Netverk i Norge. Bare søk opp den informasjonen du trenger for å scamme folk på internet.

    Bedrifter må sikre seg. Private personer er det fullstendig unødvendig siden the offentlig ikke bryr seg om private opplysninger.

    Svar på denne kommentaren

    • Kristian F (svar til Tom L.)

      Uenig med deg. Private nettverk kan fort bli veien inn til bedrifter. Se på hvordan f. eks LinkedIn ble eksponert i 2012 – inngangen var en ansatt som hadde innloggingsdetaljer for VPN på en privat maskin som ble kompromittert. Dette førte til at informasjon som brukernavn og passord ble lekket. Kilde: troyhunt.com/observations-and-thoughts-on-the-linkedin-data-breach/

      Lekkasjen av data fra LinkedIn førte videre til at Dropbox ble kompromittert i 2016.

      Anbefaler f. eks å høre på episode 86: The LinkedIn Incident fra podkasten Darknet Diaries.

    • Jan Johansen (svar til Tom L.)

      Kjekt hvis du har en nabo som ikke liker deg og laster ned store mengder ulovlig materiale på ditt nett. Det er *du* som er ansvarlig for bruken av det, og det er du som havner på glattcelle mens de går gjennom harddiskene dine, og det ditt navn og rykte som vil fullstendig ødelagt.

    • Hva om noen kriminelle cracker ditt nettverk og bruker det til kriminelle handliner: svindel, ulovlig pornografi, etc.? Hva om de infecter nettverket ditt for å sniffe pakker slik at de kan kanskje se datatrafikk før det blir kryptert? Alle burde sette sterke passord, oppdatere firmware/software og bruke tofaktor hvor enn det er mulig for å beskytte seg selv.

    • Tom L. (svar til Tom L.)

      Ja gode poeng for de få det gjelder som har stillinger som kan brukes som proxy til a ramme en bedrift.

      Men det store flertall av befolkningen, er informasjonen som trengs, allerede delt av myndigheter offentlig.

    • Tom L. (svar til Tom L.)

      Til Ola A.

      Jeg skjønner din bekymring, men den er utdatert.

      Man bruker ikke private netverk til slikt lenger. Helt andre mekanismer til å skjule sin identitet som er betydelig mer effektivt

    • Tom L. (svar til Tom L.)

      Så kan man veldig enkelt spoofe 2fa/mfa fordi alle navn og telefon nummer deles offentlig.

      Eksempel
      De fleste navn og telefon nummer er tilgjengelig offentlig via nett tjenester,det betyr at hvem som helst kan laste ned den databasen via f.eks API (som er det enkleste men ikke sofistikert).

      Når du vet telefon nummeret 2fa/mfa tilhører…….

    • Til Tom L.:

      Hvilke da? Jeg har en M.Sc. i informasjonssikkerhet og kjenner nokså greit til visse type risikoer. Det at du oppforder til at folk ikke skal sikre IT-systemene sine er ikke greit. Ta gjerne en titt over hos aktører som Nullbyte, så får du se hvor mye rart man kan gjøre på nettverk som har blitt cracket. APTer er nok ikke ute etter å cracke din personlige router, men selv en tenårings (eller en script kiddie) kan få fyrt opp Kali Linux og Aircrack-ng i disse dager.

    • Men hvem vet, kanskje det er en ny Dread Pirate Roberts som sitter på hjemmenettverket til noen der ute. Selv om personen prøver å beskytte seg med Tails, proxy chains og Tor.

  2. Ingvald Alfredsen

    En grunn til å bryte seg inn på private nettverk ville vært å kunne begå kriminalitet uten å bli tatt. Du er juridisk ansvarlig for hva andre gjør på nettverket ditt.
    Derfor anbefaler jeg å sikre nettverket ordentlig. Sett deg inn i lister over populære passord og bruk ikke slike dumme passord noen steder noen gang. Eksempler kan være «abc123», «qwerty», «pokemon». Google «password security». Forøvrig likte jeg tipset for å lage passord i denne artikkelen da tilfeldige strenger av store/små bokstaver, tall og spesialtegn er et mareritt å huske.

    Svar på denne kommentaren

    • Ingvald Alfredsen (svar til Ingvald Alfredsen)

      Vel jeg er ikke advokat men jeg tar utgangspunkt i det at jeg er ansvarlig. Iallefall kan det bli en del fjas med myndighetene til de finner ut at det ikke var du som gjorde det der. Mye trøbbel bare for å slippe å lage et ordentlig passord. Selvfølgelig er det usannsynlig at sånt skjer, men ikke sats på at det ikke skjer. Antagelig så er det nok større sjanse for at noen utnytter et sikkerhetshull i den eldgamle Linux-kjerna på ruteren din og installerer en bot for å utføre DDOS-angrep med den enn det er for at noen bryter seg inn på WIFIen din. Men bedre føre var tenker jeg. Bruk en passordbehandler sånn som «Password Safe», ta ordentlig sikkerhetskopi av databasefila når den blir endret på, og begynn å lage ordentlige passord.

    • Som slagoffer har jeg ikke lenger hukommelse til disse tilfeldige strenger. Folk i spionromaner husker mange lange, 50 karakterer om en gang, og jeg forstår det simpelthen ikke.

      Så bruker jeg bare et par, fy på meg. Ett er fornavnet til yndlingsfilosofen pluss dødsåret, det andre er fornavnet og bursdag til min siste kjæreste — virker farlig ja, MEN hun har aldri vært i Norge, eksistensen er ikke kjent for mange og hun er dessuten død.

      Jeg har hverken nettbank eller konto på sosial medier. Jeg tror at jeg er et vanskeligere mål.

    • Gunnar Haraldsson (svar til Ingvald Alfredsen)

      Är detta journalisme eller kriminalitet? Kan man verkligen gå runt och hacke nett överallt i Norge utan konsekvens gränsar/uppmanar inte detta till kriminalitet?

  3. «Det Hegnes gjorde var å bruke en kraftig datamaskin til å kjøre enveisgaten millioner av ganger for hvert av de hashede passordene.»

    Dette er jo helt feil, og ville åpenbart vært en umulig fremgangsmåte. Du kan kjøre de hashede passordene gjennom «enveisgaten» så mange millioner ganger du vil, du får ikke noen klartekstpassord av det.

    Det han har gjort, er å kjøre millioner av ord fra ordlister og kjente, ofte brukte passord gjennom denne «enveisgaten». Når et av disse passordene får en hash som er en match med en hash han har samlet inn fra et nettverk, vet han hvilket ord/passord som hører til den aktuelle hashen, og har funnet passordet.

    Det er jo også noe man gjør bare én gang, hvilken input (ord/passord) som gir hvilken output (hash) lagrer man i en tabell man kan bruke igjen neste gang. Så slår man ganske enkelt hashen opp i tabellen.

    Svar på denne kommentaren

    • Martin Gundersen (NRK) (svar til G-A)

      Hei! Du har rett at ordstillingen i setningen kan misforstås. Jeg har oppdatert enda en gang med bittelitt mer detaljer i setningen. (Du vil kanskje kjenne igjen en formulering og to.)

    • Kenneth Hansen (svar til Raymon S. Hansen)

      Ruteren er kun involvert i å sende ut hashen. Det blir aldri gjort disse forsøkene på nettverket men en bruker et fint program kjørende på en PC langt unna den en sjekker, og det programmet utnytter skjermkort for maksimal hastighet. Dette er i praksis det samme som mining

    • Salting er fint for å lagre ulike unike brukerpassord sentralt, men ikke så praktisk når hasher skal deles for å autentisere enheter begge veier. Det er selvfølgelig ikke perfekt å sende ut pakker som lar seg brute force, men WPA2 er en ganske gammel standard, og hasfunksjonen (PBKDF2) var vel ressursintensivt nok den gang, til at dette ble vurder som sikkert nok.

      En løsning med ett felles passord for alle brukere (enheter) vil uansett aldri bli fryktelig sikkert.

    • Hashen her er vel ESSIDen din? Mener å ha lest det er anbefalt at du bruker en ESSID som er unik (og minst 16 byte lang). F.eks. sære norske dialektord eller annet skal vel i det minste forhindre det er brukt i noen pregenerert regnbuetabell.

  4. Kenneth Andresen

    Har en relativt ny Android, og den støtter nok WPA3, men det gjør ikke Android versjonen. Og det ser ut til å være en policy om å ikke gi en oppdatering som gir gamle android versjoner WPA3 støtte – ellers hadde jeg gått over til WPA3 selv. Uansett – WPA2 og WPA er jo så dårlige at man kommer inn uansett passord. Handler jo bare om å sparke brukere ut slik at de må logge seg på igjen og knekke pålogginssekvensen. Trenger ikke avansert utstyr for dette. Jeg kjører forresten OpenVPN over WIFI, og kan egentlig kryptere alt likevel.

    Svar på denne kommentaren

  5. Er det slik å forstå at Bjørn Martin har gått gatelangs over flere dager for å «vente til det er noen på nettverket, kaste dem ut, og så vente til de igjen kobler seg på»?

    Altså har han sendt ut haugevis av såkalte DeAuth-pakker som kaster folk ut av nettverkene sine. Dette avbryter folks aktivitet på Internett, avbryter eksisterende forbindelser som VPN-tilkoblinger og møter for som sitter på hjemmekontor og lignende?

    Jeg hadde blitt rasende om jobbmøtene mine konstant buffret og hakket fordi noen vil skryte i avisene om hvor mange handshakes de har samlet. Dette må jo være like ulovlig som jamming og DoS?

    Svar på denne kommentaren

    • Geir-Arne Nyborg (svar til U-L)

      Man trenger ikke sende noen deauth-pakker for WPA2 lenger. Å koble av én enhet én gang vil (helt åpenbart) ikke være noe DDOS-angrep.

  6. Jeg regner med de kjente svakhetene fra seinere år det refereres til er KRACK en.wikipedia.org/wiki/KRACK og FragAttacks en.wikipedia.org/wiki/FragAttacks og for noen routere Kr00k en.wikipedia.org/wiki/Kr00k . (Fint om man kunne vært litt spesifikk i en dybdeartikkel.) Nå er disse svakhetene patchet i mye firmware og operativsystemer og annen programvare, så det sikkerhetstiltak folk bør sørge for alltid, i tillegg til å bruke veldig sikre passord som vanskelig lar seg bruteforce, er å sørge for at firmware/OS/programvare på de dingser man kjører til enhver tid er oppdatert til nyeste versjon. WPA2 som protokoll er forløbig ikke kompromittert. Det var implementasjon av protokollen som var kompromittert i disse svakhetene.

    Svar på denne kommentaren

  7. På tide å gå vekk fra kun en frase, og heller ta i bruk mer avanserte løsninger som eks. RADIUS? Dvs, velge WPA(2/3) Enterprise istedenfor standard WPA2 eller 3? Dvs at man må benytte brukernavn/passord. Det finnes aksesspunkt som har integrert støtte for dette. Men da kan man ikke gå på eks. Elkjøp eller Power og kjøpe forbrukersøppel.

    Svar på denne kommentaren

  8. «Den er mye mer krevende fordi du må vente til det er noen på nettverket, kaste dem ut, og så vente til de igjen kobler seg på.»

    Dette stemmer ikke helt. De fleste moderne rutere med WPA2 sikring av aksesspunktet støtter også ofte 802.11r standarden. Rutere som støtter 802.11r vil sende en PMKID ved tilkoblingsforsøk som kan brukes til å tippe passord offline på samme måte som hash fra suksessfulle tilkoblinger kan. Dette betyr at du ikke trenger å kaste noen ut fra nettet og lytte etter tilkobling igjen, men at du kan få tak i en hash-ekvivalent av å prøve å logge inn med feil passord.

    Med denne nye metoden ville man nok få tak i en god del flere passord enn 579, men dette ville da vært en aktiv innhenting og ikke passiv lytting som dette (forhåpentlegvis) var.

    Hilsen Otto, 4. året Kommunikasjonsteknologi NTNU

    Svar på denne kommentaren

  9. Man får noe bedre sikerhet med å ikke ha unødig høy senderstyrke på ruter.

    Man kan også begrense tilgang avhengig av unik utstyr-ident (MACH adresse), men utstyr kan bruke kopiert MACH. Bare unødig komplisert?

    Svar på denne kommentaren

  10. Når det gjelder passord, er det lurt å bruke en såkalt passordhåndterer, som lagrer brukernavn og passord til alle de forskjellige tjenestene.

    En god passordhåndterer har en innebygget generator som lar deg spesifisere hvor komplisert og hvor mange tegn du vil ha i passordet. (Det er fortsatt tjenester der ute som har en maksgrense på 8 tegn, dessverre!)

    En god passordhåndterer integrerer også med nettleseren din, samt andre programmer du har på telefonen eller datamaskinen, slik at den kan automatisk fylle ut brukernavn og passord på den aktuelle tjenesten når den åpnes på skjermen.

    Aller best pr. i dag er en passordløs autentisering basert på krypterte nøkkelpar. En nøkkel lagres på tjenestens nettjener, mens en annen som passer sammen med den, lagres på telefonen og datamaskinen din. WebAuthn er et eksempel på et system for en slik påloggingsmetode, selv om det finnes andre systemer som går etter samme prinsippet.

    Svar på denne kommentaren

  11. Daniel Olai Danielsen

    Problemet med et passord av typen «vestlandet er best om sommeren» er at det er svakt mot ordbokangrep, og ikke mye sterkere enn et 5-tegns passord.. En tilfeldig generert 32-tegns string (eller lenger, hvis det støttes) fra en passord-tjeneste er veldig mye vanskeligere å knekke, og helt uproblematisk å huske da man aldri trenger å se passordet en gang.

    Som mange andre lurer jeg også på om wardriving har blitt lovlig i Norge nå?

    Svar på denne kommentaren

    • Ingvald Alfredsen (svar til Daniel Olai Danielsen)

      Morfologien til ordene vil kanskje hjelpe litt? (Vestland > Vestlandet, bra > best, sommer > sommeren). Tenk på hvor mange kombinasjoner av fem ord det finnes med hensyn til alle mulige ordformer per ord. Vil tro at et femtegns passord vil være betydelig svakere.

    • Petter Christensen (svar til Daniel Olai Danielsen)

      Bernt HR. Antall tegn betyr litt men…..

      Kompleksiteten i passordet betyr alt.

      Jeg kan knekke ett passord 5 tegn på 1-5 timer med brut force.

      Bare store små bokstaver – noen minutter
      Bare store små bokstaver og tall – 10- 20 minuter
      Bare store og små bokstaver ett spesial tegn type +×÷=/_[][email protected]#€%^ osv 1-5 timer

      8-9+ (jo flere jo bedre) tegn med store og små bokstaver og tall – antageligvis noen år.

    • Jeg så her en dag en vitenskapelig artikkel som beregnet entropien per ord i naturlig tekst til rundt 6-9 bits per ord (avhengig av språk).

      En tilfeldig valgt bokstav blant store + små vil ha rundt 5,8 bits per bokstav.

      Så får man finne ut hva som er lettest å huske 🙂

      Kanskje er det beste å velge noen ord helt tilfeldig siden entropien per ord da er mye høyere, men da blir det mer av typ «analfabetisk undergrunn totalisator ferie» enn «vestlandet er best om sommeren».

    • Kjetil T. (svar til Lars)

      Sjelebroder! Eg har også openwireless.org som gjestenettverk, men du bør nok ikkje putte IoT-rask inn på det, kan vere litt for freistande for naboguten å tulle med lysa dine eller Chromecasten din.

      All min trafikk med utenomverda er uansett kryptert dobbelt, med wireguard-VPN til ein VM eg kontrollerer og krypterte protokollar som HTTPS på toppen av dette.

  12. Juhu – jaha. Du har brutt det inn i nettverket. Liksom. Hva skal du gjøre da? Stjele gratis wifi fra naboen? Mulig at du vil klare å snoke litt om nettverket er koblet opp til en Windows-maskin. Det problemet har ikke jeg – da jeg bruker Linux – som er bygd fra grunnen av med sikkerhet i minnet.

    Mulig jeg er dum i hodet, men WPA2 krypteringen er ikke så dårlig at du bare trenger passordet for å «se» hva slags info som går mellom maskiner. Da ville det vært meningsløst å bruke passord fordi alle på det samme nettverket bruker samme passord uansett. Da kan du like gjerne bare ha nettverket åpent. Sannsynligvis alle ha åpent nettverk uten at det ville fått andre konsekvenser enn at folk har lettere tilgang til internett.

    Han der tjener penger på å dra rundt med passordknekkeren sin og få «boomers» til å svette i underbuksa fordi han klarte å gjette wifi passordet deres. Det er jo fint at han har funnet en måte å dekke sine kostnader til livets opphold, men særlig nyttig er det nok ikke.

    Svar på denne kommentaren

  13. Mange nettsteder o.l. har passordregler som krever bruk av visse tegn og forbyr bruk av andre. Det hindrer bruk av setninger som du anbefaler og gjør det vanskelig å lage passord som man kan klare å huske.

    Svar på denne kommentaren

  14. Nå er jo mobilnettet i Norge ukryptert, så er rart de klager på wifi sikkerhet. Når mobilnettet er som en walkietalkie. Alle kan koble seg på og høre på samtaler eller sms ++ (Og det er faktisk veldig lett å gjøre!)

    Svar på denne kommentaren

  15. Det er veldig mange steder man må lage et passord med store og små bokstaver, tall og spesialtegn. Da begynner det å bli vrient å få til noe liknende med sommeren på vestlandet. Jeg gjør det når jeg får lov, og banner når jeg må lage et som må være andre steder enn i mitt eget hode.

    Svar på denne kommentaren

  16. Jeg stusser over at ikke artikkelen omtaler lovligheten/ulovligheten ved aktiviteten. Her skaffer man seg tilgang til et beskyttet passord.

    Det virker som en aktivitet som rammes av gjerningsbeskrivelsen i straffeloven § 205 bokstav b

    «bryter en beskyttelse eller på annen uberettiget måte skaffer seg tilgang til informasjon som overføres ved elektroniske eller andre tekniske hjelpemidler,»

    Passordet er informasjon som brukeren av nettverket typisk ønsker at holdes hemmelig.
    Det taler for at tilgang er uberettiget.

    lovdata.no/dokument/NL/lov/2005-05-20-28/*#*

    Svar på denne kommentaren

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *. Les vår personvernserklæring for informasjon om hvilke data vi lagrer om deg som kommenterer.