IT-Sicherheit: Freie Fahrt für Cyber-Gangster

Das Amsterdamer Réseaux IP Européens Network Coordination Centre (RIPE NCC) existiert seit 1992. Es ist eine Organisation, die unter anderem Bereiche von IP-Adressen vergibt. Diese werden bei der Kommunikation in Netzwerken genutzt, um Rechner zu identifizieren. RIPE-Passwörter werden von einigen Administratoren allerdings äusserst leichtsinnig gewählt, wie Sebastian Schreiber herausgefunden hat. Er ist Geschäftsführer des Sicherheitsanbieters SySS aus dem süddeutschen Tübingen. 20 Minuten Online hat mit ihm über die Risiken gesprochen.

Sebastian Schreiber: Wir haben die RIPE-Datenbank heruntergeladen und die so genannten Hashcodes daraus extrahiert. Dann haben wir sie geknackt. Ein Hash ist so etwas Ähnliches wie eine Checksumme über ein Passwort. Das Geniale ist: Man kann aus dem Passwort ganz einfach den Hash erzeugen, aber nicht umgekehrt. Vereinfacht gesagt geht es darum, das Original-Passwort so zu verschlüsseln, dass man etwas erhält, aus dem man es nicht rekonstruieren kann, anhand dessen man aber überprüfen kann, ob ein Passwort-Kandidat auch das Passwort ist.

Wir hatten jeweils eine Liste mit Passwort-Kandidaten, die bearbeiteten wir mit der MD5-Hash-Funktion und guckten, ob für uns das herauskommt, was in der RIPE-Datenbank steht. Wie lange es dauert, hängt von der eingesetzten Hash-Funktion ab. Es gibt welche, bei denen wir mehrere Milliarden Versuche pro Sekunde starten können, aber auch solche, bei denen wir nur 3 000 hinbekommen. So konnten wir zum Beispiel bei Oracle-Hashes ein ganzes Langenscheidt-Wörterbuch in drei Hundertstelsekunden durchprobieren.

Wir haben Teile des Gratis-Programms «John The Ripper» für diese Hashes modifiziert und die Geschwindigkeit des Tools erhöht. Meine Firma wird dafür bezahlt, Lücken in IT-Infrastrukturen zu finden. In diesem Fall hatte uns ein Unternehmen beauftragt, und da sind wir auf die Problematik gestossen. Es gibt dutzende Passwort-Cracker gratis im Netz. Man braucht schnelle Hardware, also einen aktuellen PC mit einer Highend-Grafikkarte. Der Preis für ein System beträgt etwa 1300 Franken.

Wir erhielten etwa 500 von Unternehmen, Behörden und Privatpersonen – zum Beispiel 1111, London, Manchester, extrem, Mandarin, Nautilus oder 1967a – aus Letztgenanntem könnte man auf das Geburtsjahr des Technikers schliessen. Diese Passworte sind allesamt trivial. Aber auch komplexere Passworte lassen sich ermitteln: Bei diesen wird beispielsweise der Buchstabe E im Firmennamen durch die Zahl 3, alle Ts werden durch 2, Bs durch 8 ersetzt und so weiter. So etwas machen Administratoren gern. Dieser triviale Mutationsfilter sorgt zwar dafür, dass ein menschlicher Angreifer dieses Passwort nicht knacken kann, unsere Software hingegen schon.

Wir haben elf Unsicherheitskandidaten entdeckt. Hätten wir auch französische Vokabeln von unserer Software verwenden lassen, wären es sicher mehr gewesen. Auch die Schweizer Techniker sind oftmals sorglos bei der Wahl ihrer Kennwörter: So schützt sich die Finanzdirektion Bern mit einem Firmennamen, der nur fünf Buchstaben hat. Eine Privatbank nimmt einfach ihren Namen, diverse Telekommunikationsanbieter verwenden typische Urlaubsländer oder Computerbegriffe. Die Bundesbehörden der Schweizerischen Eidgenossenschaft nutzen den Namen einer bekannten Fantasyfigur.

Sie sollten so bald wie möglich eine zwölfstellige, sinnlose Kombination von Zahlen und Buchstaben wählen. Noch besser wäre es allerdings, einen so genannten PGP-Key zu nutzen. Ripe bietet diese Möglichkeit. Dann hätten wir keine Chance. Denn dieser basiert auf asymmetrischer Kryptographie. Und die ist bislang nicht geknackt worden.

Wenn jemand von einem Rechner aus eine Straftat begehen möchte, könnte er die Datenbank so verändern, dass der Name von jemand anderem als deren Besitzer auftaucht. Denn man könnte die eigene IP-Adresse, eine Art Nummernschild des Computers, so aussehen lassen, als stammte sie beispielsweise von der Regierung. Immerhin bekommen RIPE-Nutzer eine E-Mail, wenn jemand ihre Einträge verändert hat.

Ich gehe davon aus, dass viele Administratoren die Passwörter auch für andere Datenbanken einsetzen, die weitaus brisantere Informationen enthalten. Möglich wären dann auch das Kapern von Domains oder fingierte Anträge zum Providerwechsel. Beides könnte schliesslich dazu führen, dass die jeweiligen Webseiten lahm gelegt werden.