(Bilde: Finn Jarle Kvalheim, Tek.no)

Dette er supermaskinen norske statshackere bruker til å knuse passord

Med et par smarte teknikker tar det bare sekunder.

Kolsås/Tek.no: Vi måtte slå av og legge fra oss mobilene i resepsjonen, før vi fikk komme inn i ett av de mange byggene bak militærposten ved Kolsås Leir. I et møterom som er klarert for topphemmelige samtaler, fordi det både er lydtett og sperret for radiosignaler, satt vi oss ned.

Med oss er seksjonssjef Jørgen Botnan, informasjonssjef Kjetil Berg Veire og to menn til vi ikke kan fortelle hvem er.

De er en del av en elitegruppe av statsautoriserte hackere som jobber med inntrengingstesting av IT-systemer på vegne av Nasjonal Sikkerhetsmyndighet – NSM.

Bruk 5 minutter – slipp å huske passord igjen:
Vi ble overrasket over hvor enkelt det er å få et bra passord » (Ekstra)

Jobben til NSM er å beskytte Norge mot digitale angrep på kritiske virksomheter og organisasjoner. Og fienden er sterk. Enten det er en stat eller en organisasjon NSM må beskytte Norge mot, så er det snakk om en fiende som har god tid og store resurser. For være i best mulig stand til å kjempe mot dette streber NSM etter å leve som og imitere adferden disse angriperne. Ved å være som dem, kan de bekjempes.

Dette oppdraget løser inntrengingstesting-gjengen ved at de, på anmodning fra selskaper og organisasjoner, gjennomfører en serie av tester der de prøver å bryte seg inn i IT-systemene til selskapet. De gjør som de slemme hackerne ville gjort, og ser hvor langt de kommer. Underveis finner de da ut hva som må til for å hindre et like sterkt angrep.

Et slikt oppdrag starter som oftest ved at de rett og slett prøver å knekke passordene til brukerne som har tilgang til systemene. Til å utføre den jobben har spesialistene kraftig skyts og smarte teknikker.

Smarte triks og dårlige vaner

Jørgen Botnan, seksjonssjef i NSM.
Jørgen Botnan, seksjonssjef i NSM.Foto: Finn Jarle Kvalheim, Tek.no

Arbeidet med å knekke et passord går i prinsippet ut på at NSM må «gjette» seg frem til den rette kombinasjonen av tall, bokstaver og spesialtegn som utgjør passordet ditt. Man må rett og slett bare prøve seg frem, en operasjon som i utgangspunktet krever veldig mye datakraft – spesielt om passordene er lengre enn åtte tegn.

– Vi har ikke en regnemaskin som den som står hos CIA på Langley i USA, de har sikkert noen gigantiske greier som kan knekke lange passord. Men små land som oss kan komme fryktelig langt med å være smarte, ikke bare rå muskelkraft, forteller Botnan.

Det er nemlig et par faktorer som gjør det mye lettere for både NSM og ondsinnede hackere å knekke passord for å bryte seg inn i IT-systemer. 

– Vi utnytter det at mennesker er like, vi vet hvordan mennesker tenker, og hvordan mennesker lager passord. Da bruker vi den kunnskapen til å knekke passordene effektivt, og vi har mye empiri på dette, sier Botnan.

I tillegg er det et poeng at de ofte ikke trenger å knekke akkurat ditt passord. Skal de bryte seg inn i systemet til en større virksomhet finnes det kanskje 300 brukerkontoer med tilgang. Knekker de én av kontoene, så har de fått fotfeste i systemet.

– Da hjelper det ikke at de 299 andre i bedriften har et godt passord. 

Ett av tre passord knekkes lett

NSM har en spesialmaskin for knekking av passord.
NSM har en spesialmaskin for knekking av passord.Foto: Finn Jarle Kvalheim, Tek.no

For å illustrere hvordan vi gjerne lager passord som er ganske like, selv om de kan se helt tilfeldige ut, tar vi utgangspunktet i at «Sommeren2014» er passordet til en konto i en bedrift. Med 12 tegn er det et langt passord, men selv om det er langt kan det knekkes på bare noen sekunder. Hovedproblemet med det er at det er basert på et ord du finner i en ordbok, ordet «sommer». Da kan man i bunn og grunn bare prøve ord som står i spesielle ordlister, med stor forbokstav og noen tall på slutten, og vips er passordet knekt på veldig kort tid.

En langt bedre løsning hadde vært om bokstavene var helt tilfeldige, for eksempel «Dxureyre2014». Dette passordet er fortsatt 12 tegn, men siden bokstavene nå er tilfeldige så antar du kanskje at det er mye sikrere? I realiteten er det egentlig ikke det. For om du sammenligner «Sommeren2014» med «Dxureyre2014» vil du se at de to har en god del fellestrekk.

Begge starter med en stor bokstav, etterfulgt av syv små bokstaver og fire tall. Mønsteret er det samme, og når NSM vet at mennesker gjerne lager passord med akkurat dette mønsteret, så blir det langt lettere å knekke passordet. Selv om de ikke vet hvilke tegn du har satt i passordet ditt, vet de hvilken «regel» du brukte – stor bokstav først, så små bokstaver, så tall. 

NSM ser ofte at passord av denne typen er det som sikrer kontoer med tilgang til selskapenes IT-systemer:

– Det er 33 prosent av passordene vi tar fryktelig lett med slike regler, sier Botnan.

At vi lager passord med mønster som dette er ofte en konsekvens av passordpolitikken et selskap gjerne har. Det sikkerhetsekspertene har sett er at brukeren prøver seg med et ord først når de skal opprette passordet, som «sommeren», men får da beskjed om at passordet også må ha tall. «sommeren2014» blir da neste forsøk, men det blir avvist fordi det mangler en stor bokstav. Og siden mennesker er mennesker, er det da naturlig å sette den store bokstaven først. 

I sum betyr dette at hackere veldig lett, på kort tid og med relativt enkel maskinvare, kan gjette seg frem til passordet ditt – selv om det både er lagt og har tilfeldige tegn.

Dette er komponentene

For om passordet ditt virkelig bestod av helt tilfeldige tegn, så ville det vært 92 varianter av hvert tegn i passordet. Men når man vet at den første bokstaven er stor, så er det bare 26 varianter av denne, ikke 92. Videre er det 26 varianter av de påfølgende små bokstavene og 10 varianter av hvert tall. Med et passord på 12 tegn er du da nede i 2 billiarder ulike kombinasjoner, og det er egentlig ikke så veldig mange.

Hadde passordet vært tilfeldig, med 92 varianter av hvert tegn, ville det tatt 46 000 år å knekke passordet. Men når NSM, og onsinnende hackere for den saks skyld, tar høyde for at vi mennesker gjerne lager passord med et spesielt mønster, kan et like langt passord knekkes på bare fem timer.

Det finnes nemlig spesiallagde maskiner som er designet for å knekke slike passord i et solid tempo, og de gjør det med ren GPU-kraft.

Foto: Finn Jarle Kvalheim, Tek.no

NSM har nemlig bygget sin egen kraftplugg av en maskin som har én oppgave: Å teste 130 milliarder hasher, altså varianter av et passord, hvert eneste sekund. Det er med denne datakraften de klarer å knekke et 12 tegn langt passord på fem timer.

Maskinen han viser frem til oss er bygget opp av to prosessorer, to SSD-er og en slump minne. Syv AMD Radeon HD 7970-kort står klare til dyst, og det er prosessorene i disse som leverer musklene til passordknekkingen.

Kortene er noen år gamle, men var det nyeste som fantes da maskina ble kjøpt. Hadde den vært oppgradert til de nyeste kortene AMD har i dag, Radeon 290x, ville den kunne levert 20 – 30 prosent bedre ytelse.

Det er heller ikke tilfeldig at det er nettopp fra AMD skjermkortene kommer, og ikke Nvidia. Arkitekturen til AMD kortene er ifølge NSM bedre egnet til akkurat denne spesialjobben.

NSMs hackere er klar i sin tale:
– Det er galskap å legge fra seg en usikret laptop » (Ekstra)

Norges beste mobilabonnement

Juni 2017

Kåret av Tek-redaksjonen

Jeg bruker lite data:

Ice Mobil 1 GB


Jeg bruker middels mye data:

Telio Go 5 GB


Jeg bruker mye data:

Komplett Maxiflex 12 GB


Jeg er superbruker:

Komplett Megaflex 30 GB


Finn billigste abonnement i vår mobilkalkulator

Forsiden akkurat nå

Til toppen