Thursday, December 02, 2010

Passwords^10 : 2 dager om passord & PIN koder

Den 8 og 9 desember arrangeres det en 2-dagers konferanse om passord og PIN koder - og bare det! Arrangør er Per Thorsheim i samarbeid med Professor Tor Helleseth ved Selmersenteret, Universitetet i Bergen, og med Nisnet som sponsor. Per Thorsheim kan kontaktes på tlf 90 999 259 eller mail:
perkrøllalfathorsheim.net.

Konferansen er gratis, og åpen for alle, også media :-) Komplett program finnes her (PDF, 104KB, ingen javascript eller flash). Flere av presentasjonene vil inneholde mye matematikk/krypto, så er den advarselen gitt.

Formålet med konferansen er å presentere og diskutere noe som de aller fleste av oss må forholde seg til i hverdagen: passord & pin koder. Facebook, nettbank, dørene på jobben, mobiltelefonen eller den PIN koden som forsvant ut av hodet akkurat i det du kom frem til kassen etter 20 minutter i julepresang køen.

Vi har stadig flere passord, og kvaliteten på dem har ikke blitt nevneverdig bedre de siste 10-15 årene. Mange har det samme passordet i bruk på ulike tjenester, selv om dette er hverken anbefalt eller "lovlig" i henhold til en del virksomheters interne regler.

Teknologi og kunnskap om hvordan man knekker passord for å oppnå uautorisert tilgang til informasjon som er beskyttet har hatt en rivende utvikling i mange år, men kravene til passord har stort sett vært uendret i mange år. Det er også store sprik mellom hva sikkerhetseksperter anbefaler som minimum og hva som faktisk implementeres av organisasjoner og virksomheter. Gjennomsnittet tillater dessverre bruk av passord som lar seg knekke på få sekunder i mange tilfeller, og virksomheter flest virker ikke å være oppmerksom på denne trusselen i det hele tatt.

Litt om foredragene:

Howard Smith kommer fra Oracle i USA, hvor han leder deres interne team for sikkerhetstesting. Han vil snakke om menneskers valg av PIN koder. De har gjort en analyse av slike PIN koder, og ikke overraskende viser det at vi har en tendens til å velge PIN koder som er dårlige. Han stiller da spørsmål om det også bør innføres regelverk også for valg av PIN koder for å bedre sikkerheten.

Kirsi Helkala kommer fra Universitetet på Gjøvik, hvor hun er stipendiat innen informasjonssikkerhet. Hun har sett nærmere på opplæring av studenter i hvordan man lager og husker gode passord, og hvor effektiv denne opplæringen har vært over tid. Ett av funnene viser at de fleste faller tilbake til "dårlige" passord i løpet av relativt kort tid dersom ikke opplæringen repeteres eller videreføres.

Firmaet Elcomsoft ble spesielt godt kjent da en av deres forskere ble arrestert i USA i 2001, da han presenterte deres funn av svakheter i programvare fra Adobe. Saken ble bredt omtalt (mange linker på www.freesklyarov.org), og resulterte i full frifinnelse. På konferansen vil adm.dir. + en av deres forskere snakke om bruken av grafikkort til å knekke passord stadig raskere, samt vise programvare som benyttes av bl.a. politi og myndigheter for å få tilgang til krypterte iPhone/Blackberry telefoner.

Vi kan også legge til at Elcomsoft 30 November annonserte at de hadde funnet en svakhet i et spesielt tilbehør fra Canon for digitale speilrefleks kameraer. Dette tilbehøret brukes for å GPS/tidsstemple digitale bilder for bruk i juridisk sammenheng, og svakheten viser at slike bilder kan manipuleres uten å bryte den digitale "vannmerkingen" som skal sikre juridisk holdbarhet. Dette kan potensielt få konsekvenser i alle saker hvor slike bilder har blitt benyttet som bevismateriale, da det nå er bevist at man ikke kan stole på ektheten av disse bildene.

James Nobis er bedre kjent som en av utviklerne på www.freerainbowtables.com, et gratisprosjekt med stadig flere deltakere. Disse kjører hver en distribuert programvare som lager "rainbowtables", en form for data som bidrar til å knekke passord mye raskere enn tidligere. Pr desember 2010 deltar rundt 1200 maskiner i dette arbeidet, med en samlet datakraft tilsvarende en respektabel superdatamaskin. Hans presentasjon vil ta for seg prosjektets bakgrunn, status og fremtidsplaner.
(Et annet prosjekt som også lager slike rainbowtables heter A5/1, bedre kjent som krypteringen som benyttes i svært mange mobiltelefoner. Det prosjektet har dokumentert behovet for at alle GSM mobiltelefonnett bør oppgraderes umiddelbart for å tilby tilstrekkelig sikkerhet mot ulovlig avlytting.)

Firmaet Passware stiller med en helt ny versjon av sin "Passware Forensic Kit" programvare, og vil her gi den aller første demonstrasjonen av hvordan de kan hente ut krypteringsnøkler (=passord) fra  en maskin som i utgangspunktet er i såkalt hvilemodus ("hibernation"), og som benytter kryptering av hele harddisken. Dette er programvare som benyttes av politi og andre myndigheter for å få tilgang til maskiner som er kryptert, og det foreligger mistanke om kriminelle formål. For å sette dette i perspektiv så ble det for kort tid siden publisert en undersøkelse som sa at over 50% av virksomheter i England ikke benyttet harddisk kryptering på sine maskiner for å sikre dataene i tilfelle tyveri. Det er ingen grunn til å tro at situasjonen er spesielt bedre i Norge. Denne programvaren viser tydelig hvordan slik programvare ikke bare må tas i bruk, men det må også gjøres riktig på første forsøk.

For å avslutte med et litt større perspektiv på verden, så kommer Professor Sigbjørn Hervik fra Universitetet i Stavanger. Han er professor i matematikk, men har sin utdannelse innen teoretisk fysikk. Han avslutter konferansen med et populærvitenskapelig foredrag om hvor universet kommer fra, hvor det er, og hvor det er på vei. Stort større perspektiv er det vanskelig å avslutte med. :-)

--

Om meg selv i denne sammenhengen:
Selv har jeg gjennom jobb og privat i over 9 år "forsket" på passord. Jeg har tidligere sagt at "jeg har brutt meg inn i det meste hos de fleste, og fått lovlig betalt for å gjøre det!". Jeg er blant de best sertifiserte innen IT- og informasjonssikkerhet i Skandinavia, og jobber til daglig innen dette området.

Nå er jeg utrolig glad og stolt over å få til en 2-dagers konferanse om passord & pin koder. I seg selv er det temmelig unikt å lage en slik konferanse, og det blir bare mer unikt når noe slikt har sitt utspring i, og arrangeres i Bergen. Faktisk kjenner jeg ikke til at det har blitt arrangert noe tilsvarende noe annet sted - noen gang.

Det jeg er aller mest glad for, er alle de foredragsholderne som kommer. Flere av dem har jeg mye kontakt med, og da jeg sendte mail med spørsmål om de ville komme, så var svarene "Ja, selvfølgelig!". Og det på deres egen regning!


Så med stor fare for at min bedre halvdel blir litt skuffet (ja, jeg er faktisk gift og har en datter på 4 år), så må jeg virkelig si at julen kommer tidlig i år for min del. Litt bursdag og nyttårsaften også, vil jeg påstå.

mvh.
Per Thorsheim
Mobil: +47 90 999 259

No comments:

Post a Comment

All comments will be moderated, primarily for spam. You are welcome to disagree with my posts of course.