GUIDE: Det er skremmende lett å cracke trådløse nett
Guide

Det er skremmende lett å cracke trådløse nett

Vi viser deg hvordan du gjør ditt eget nettverk helt sikkert.

Denne saken ble først publisert på Hardware Ekstra 10. juni, og er nå åpnet til glede for alle lesere. Bli medlem her »

Det foregår en evig kamp mellom de som prøver å lage sikre datasystemer, og de som prøver å bryte seg inn i dem. For å forhindre uvedkommende fra å lese eposten eller låne litt penger fra nettbanken din finnes det sikkerhetsmekanisker i hvert ledd, fra du skriver inn passordet på tastaturet ditt, til serveren i motsatt ende gir deg tilgang til dine velfortjente kroner. 

shutterstock_106031888.
Det dukker stadig opp verktøy som krever mindre kunnskap og erfaring for å knekke trådløse nettverk.  Foto: Shutterstock

Men på veien lurer det farer, og den største er ofte ditt eget trådløse nettverk hjemme. Å være på det samme trådløse nettverket som lumske datasnoker er en særdeles dårlig idé. Hvis tjuvradden har brutt seg inn på nettverket ditt, er det nemlig en smal sak å fange opp ukryptert trafikk.

Passordbeskyttelsen på nettverket forhindrer nemlig bare uvedkommende i å koble seg til, og gir ingen beskyttelse mot at noen plukker opp brukernavn, passord og lynmeldinger hvis de først er tilkoblet.  

Det er også mulig for tjuvradden å erstatte sikkerhetssertifikatene til krypterte nettsider, eller å omdirigere trafikken til en tilsvarende, men ukryptert, nettside som kan lure passordet fra deg.

Det finnes en rekke enkle måter for å bryte seg inn på et trådløst nettverk, men de fleste vil nok foretrekke å ha nettverket for seg selv. Derfor er det viktig å ha et skikkelig sikkert hjemmenettverk – og det er ikke nok å stole på konfigurasjonen du får direkte fra nettleverandøren. I denne guiden skal vi fortelle deg hvordan du sikrer nettet på skikkelig vis.

Bli med over på neste side, så forteller vi deg hvorfor det er så problematisk »

Den store synderen

shutterstock_122784145.

Tilbake i 1999 kom den første sikkerhetsstandarden for trådløse nettverk på plass, under navnet Wired Equivalent Privacy (WEP). I ettertid har det blitt oppdaget flere sikkerhetshull, og krypteringen kan i dag knekkes på svært kort tid.

Vi byttet om krypteringen på vårt eget nettverk til WEP, og etter bare 10 minutter hadde vi klart å knekke koden kun ved hjelp av en Linux-distribusjon og laptopens innebygde trådløse nettverkskort. Å bytte til en nyere sikkerhetsstandard er med andre ord en god start, men ikke helt tilstrekkelig i seg selv.

Krypteringen er ikke sterkere enn passordet

For å bøte på problemet WEP skapte, kom Wi-Fi Protected Access (WPA) i 2003. Det er per i dag ingen kjente sikkerhetshull som gjør det lettere å knekke nettverkspassordet til WPA-krypterte nett, og etterfølgeren WPA2 har gjort standarden enda sikrere.

shutterstock_129460004.
Lugubre personer kan observere håndtrykket mellom nettverksruter og tilkoblende enheter.

Til tross for at krypteringen regnes som sikker, er det langt ifra umulig å knekke passordet. Innbrudstjuven kan følge med på når en annen datamaskin kobler seg til nettverket, for å så fange opp en viss del av samhandlingen mellom datamaskinen og nettverksruteren. Denne interessante delen av kommunikasjonen kalles et handshake.

Ved å regne seg frem til en nøkkel, Pairwise Master Key (PMK), basert på nettverkets navn og et selvvalgt passord, er det mulig å teste nøkkelen mot håndtrykket for å finne ut om det valgte passordet er korrekt.

En eventuell cracker vil da fange opp håndtrykket mellom datamaskinen og ruteren, for å deretter generere en haug med nøkler ut i fra nettverksnavnet og en forhåndsvalgt liste med passord. Til slutt kan han teste disse nøklene mot håndtrykket for å sjekke om listen inneholdt rett passord til nettverket. Det er også mulig å gå systematisk til verks, ved å teste ethvert mulige passord.

shutterstock_96991634.
Crackere nytter seg gjerne av massive ordbøker på opptil hundre gigabyte eller mer. 

Har du et svakt passord, et passord som finnes i ordlister, eller et som innbruddstjuven selv kan generere ut i fra informasjon som adresse, navn og telefonnummer, har du et nettverk som er sårbart for ytre inntrengere.

Å kalkulere slike nøkler krever stor datakraft, og den overstående fremgangsmetoden har i lang tid vært lite gjennomførbar for lengre passord. Men med kraften fra dagens datakomponenter er det fullt mulig å gjøre dette, på relativt kort tid.

Grafikkort svært godt egnet

Det har nemlig blitt mulig å bruke grafikkortet til å generere slike nøkler, og disse gjør en utmerket jobb til akkurat dette. Med et nettverksnavn og en liste med passord er det mullig å sette skjermkortet i gang med å generere slike nøkler. Disse nøklene kan senere sjekkes mot håndtrykket, og denne operasjonen krever i motsetning ganske lite regnekraft.

IMG_6161.jpg.
Et Radeon HD 7970 gjør samme jobben som over 20 stk i7-3770K prosessorer. 
Foto: Jørgen Elton Nilsen, Hardware.no

Et Nvidia GeForce GTX Titan klarer å knuse gjennom 90 000 nøkler per sekund, og et AMD Radeon HD 7970 klarer rundt 115 000 nøkler per sekund. Til sammenligning klarer en Intel i7 3770k-prosessor rundt 5000 nøkler per sekund.

En slik samling med nøkler gjelder kun for ett spesifikt nettverksnavn. Det betyr at nøklene kan testes både opp mot naboens «dlink»-nettverk, såvel som nettverk med samme navn hvor som helst i verden.

Det er også mulig å laste ned samlinger med forhåndsgenererte nøkler til en samling med vanlige nettverksnavn, noe som medfører at en innbryter kan teste et vanvittig antall passord på kort tid, gitt at han allerede har en samling med nøkler til det spesifikke nettverksnavnet.

Tiden det tar for å knekke WPA er akkuratt den samme som trengs for WPA2, og er helt uavhengig av avstand og mottakerstyrke til det trådløse nettverket.

Et langt, tilfeldig passord vil være tilnærmet umulig å knekke ved hjelp av denne metoden, men «hansen1984» og «Tideveien77a» kan knekkes i løpet av minutter hvis angriperen har gode ordlister.

WPS – den skjulte sårbarheten

WFA_WPS_Mark_Vert..

Wi-Fi Protected Setup (WPS) skal angivelig gjøre det enklere – og tryggere – for ukyndige å koble enheter til nettverket. Ved å bruke denne standarden er det mulig å få tilgang til nettverket kun ved hjelp av en 8-sifret kode som er klistret på selve ruteren, og det var det.

Men i desember 2011 fikk datakriminelle verden over en fin julegave. Det ble funnet en grov usikkerhet i standarden, som gjør det mulig å sjekke om de første fire sifrene i koden er korrekt, uavhengig av om resten av koden er korrekt. Som om dette ikke var nok, var det siste sifferet et kontrollsiffer som kan regnes ut ved hjelp av de syv foregående siffrene. I praksis ble dermed den 8-siffrede koden redusert til to koder på fire og tre siffer, som reduserer antall mulige nøkler fra   100 000 000 til 11 000.

Angrepstiden varierer ut i fra rutermodell og avstand fra nettverket, men svært få rutermodeller er sikret mot sårbarheten. Et gjennomsnittlig angrep tar gjerne rundt fire til fem timer, så med andre ord er heller ikke WPS en fullgod løsning i seg selv.

Les mer: Designfeil funnet i trådløse rutere »

Å skjule nettverket er ingen god løsning

Innbruddsprosessen i en WPA-kryptering avhenger som tidligere nevnt ikke av rutermodell, men av nettverksnavnet. Noen trådløse rutere tilbyr muligheten til å skjule nettverksnavnet, slik at det ikke blir synlig i listen over nettverk i nærheten av deg. Da må du manuelt skrive inn nettverksnavnet på enheten som skal kobles til. Det kan ved første øyekast virke som en god løsning, men den har flere klare ulemper.

shutterstock_141752524.
Hvis du skjuler nettverksnavnet i ruteren, vil hver tilkoblede enhet kringaste navnet. 

Dette er mindre gjennomtenkt funksjon, da det medfører at alle tilkoblede enheter – og enheter som tidligere har vært tilkoblet og som for øyeblikket ikke er tilkoblet noen nettverk – sender ut nettverksnavnet i alle retninger, enten de befinner seg hjemme eller på flyplassen.

I stedet for at én enkelt enhet, ruteren, kringkaster nettverksnavnet har nå alle tilkoblede laptoper, mobiler, og nettbrett fått denne oppgaven. Navnet er fortsatt skjult for det nakne øyet, men enhver programvare som søker etter nettverk vil plukke opp både nettverket og dets navn.

Bla videre for å se hvordan du beskytter deg mot disse svakhetene »

Sårbarhetene nevnt på forrige side kan gjøre det svært lett for uvedkommende å bryte seg inn i nettverket ditt, selv om du har en splitter ny ruter. Men ved å endre et par innstillinger på selve ruteren, kan du gjøre det nærmest umulig for selv de mest hardnakkede skurkene å bryte seg inn. 

Et WPS-angrep kan være unnagjort på en formiddag, og et svært omfattende angrep på WPA med ordbok kan gjøres på én uke, hvis angriperen har et par AMD Radeon HD 7970-skjermkort tilgjengelig. 

Men om du tar i bruk en tilfeldig, 8-siffret kode med tall og norske bokstaver, må skurken gjerne bruke flere tiår på å gjette seg frem – og det er det vi ønsker.

Dette er triksene

Det første du må gjøre er å logge inn på ruterens konfigurasjonsside. Denne ligger ofte på nettadressen 192.168.0.1, men du finner den som «Default Gateway» ved å kjøre kommandoen «ipconfig» i kommandolinjeverktøyet, slik bildet til høyre viser.

firmwarePNG.

1: Oppdater firmware

Det første du bør gjøre når du er inne, er å oppdatere ruterens firmware. Noen har innebygde funksjoner for å gjøre dette, mens andre krever at du besøker en nettside. Uansett vil vi anbefale å sjekke ruterprodusentens internasjonale supportside såvel som den norske, slik at du får den nyeste versjonen.

2: Bytt til et unikt nettverksnavn

bad essidPNG.
Standard nettverksnavn er ingen lur idé.

good ssidPNG.

Bruker du et standard nettverksnavn (SSID) som «dlink», «NETGEAR» eller «linksys» bør du skifte til noe som er relativt unikt. Som vi også nevnte på forrige side finnes det ferdige samlinger med nøkler som kan testes på kjente nettverksnavn, og det er ikke gunstig. Innbrudstyven har kanskje sin egen samling, og da kan det være greit å unngå de vanligste nettverksnavnene. 

Det som er viktig er altså at nettverksnavnet er noe annet enn det som er normalt – så kall det hva du vil.

3: Ikke skjul nettverksnavnet

Som vi nevnte på forrige side, kommer det deg ikke til gode å skjule netterksnavnet. Det lager mer jobb for deg, og navnet blir egentlig ikke skjult. Derfor har du ingen grunn til å skjule nettverket, kanskje heller tvert imot.

4: Bruk WPA2 med AES-kryptering

wpa2 onlyPNG.

Velg den nyeste krypteringen som er tilgjengelig. Selv om det neppe gjør det vanskeligere for crackeren med metodene som er kjent i dag, bør du allikevel velge WPA2-kryptering og AES over WPA og TKIP. Har du en ruter som kun støtter WEP-standarden, bør du først som sist bare investere i en ny ruter.

5: Bruk et godt passord på det trådløse nettverket

Det finnes flere verktøy for å sjekke hvor godt et passord er, men disse er ikke helt nøyaktige. Mest sannsynlig vil det være sikrere å velge et langt og vanskelig passord for så å fysisk skrive dette ned på en lapp, enn å velge et lett passord.

En kjent, og forholdsvis grei metode, er å velge et langt passord som er lett å huske. Det er antageligvis svært få innbruddstjuver som har ordlister omfattende nok til å inneholde «onkelRAGNARSferiehyttePÅtoten». Passordet blir mye sterkere om du benytter deg av norske bokstaver som æ, ø og å, tegn og tall. Skal du lage et passord sammensatt av ord, bør det inneholde dialektuttrykk som ikke finnes i ordbøker, og det bør helst være ganske langt.

6: ..og på ruterens konfigurasjonsside

sys pwPNG.

For å være på den sikre siden bør du også sette et nytt passord for å få tilgang til ruterens konfigurasjonsside. Dette trenger å ikke være av samme kaliber som passordet til det trådløse nettverket, men det må ikke være det samme eller et lett gjettelig passord. Igjen er det nok bedre å velge et vanskelig passord for så å klistre dette på ruteren, enn å bruke standardpassordene.

7: Slå av fjernadministrasjon

Noen rutere støtter konfigurasjon over internett. Denne funksjonen pleier å være avslått som standardvalg, men det kan være lurt å sjekke at denne er av.

8: Slå av WPS-funksjonen

wpsPNG.

Grunnet sikkerhetshullet som dukket opp for to år siden, er det svært viktig at du slår av Wi-Fi Protected Setup (WPS). Denne gir deg null sikkerhet, og er bare til bry.

MAC-filtrering gjør ikke nytten

mac spoofing.
Å forfalske en MAC-adresse er en smal sak. 

Hver eneste nettverksenhet, det være en mobiltelefon, nettbrett eller nettverkskort, har en unik MAC-adresse knyttet til seg. Denne brukes blant annet av ruteren for å holde styr på hvilke enheter som er hvilke. 

I mange rutere har du muligheten til å lage en liste over MAC-adresser som er godkjent til å koble til nettverket. Vi anbefaler ikke å slå på denne funksjonen, da det er en triviell sak å omgå denne sperren. MAC-filtrering vil bare gjøre det mer tungvindt for deg, uten å virke som en sperre mot en eventuell innbryter.

Vær obs på falske sikkerhetssertifikat

Skulle noen med onde hensikter ønske å få tilgang til en av dine mange brukerkontoer på nettet, er dette en smal sak om han er på samme nett som deg og nettsiden ikke bruker SSL-kryptering. En SSL-kryptert nettside starter med URL-adressen https, i motsetning til ukrypterte nettsider som starter med http

untrusted ssl.
For all del, ikke fortsett!

En vanlig metode for å få nyss i slik kryptert informasjon, er å sende deg et falskt sikkerhetssertifikat. 

Du vil da få opp en melding tilsvarende den i bildet til høyre, som er litt forskjellig avhengig av nettleser.

Et stalltips i slike situasjoner er naturligvis å ikke fortsette. En alternativ årsak til denne meldingen, er at systemklokken din ikke samsvarer med klokken til serveren. Sjekk da at dato og klokkeslett er korrekt, og prøv igjen.

En annen metode er å fjerne SSL-krypteringen fra nettsiden. Vær ekstra oppmerksom på at sider som nettbanken har https i nettadressen ved innlogging.

For de ekstra paranoide

Mange rutere har muligheten til å slå av tilgang til ruterkonfigurasjon via det trådløse nettverket, slik at du kun kan konfigurere ruteren hvis du er fysisk tilkoblet med kabel. Det betyr at ingen kan endre på innstillingene uten å fysisk være til stede i rommet der ruteren står. Dette vil gjøre nettverket ditt enda sikrere, men er kanskje unødvendig og tungvindt for de fleste brukere.

Vil du være helt anonym når du surfer?
Slik skjuler du identiteten din på Internett »

 

Norges beste mobilabonnement

Sommer 2019

Kåret av Tek-redaksjonen

Jeg bruker lite data:

Sponz 1 GB


Jeg bruker middels mye data:

GE Mobil Leve 6 GB


Jeg bruker mye data:

Chili 25 GB


Jeg er superbruker:

Chili Fri Data


Finn billigste abonnement i vår mobilkalkulator

Forsiden akkurat nå

Til toppen