Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Ohne Gewalt

Seite 2: Hauptsache drin

Inhaltsverzeichnis

Hauptsache drin

Durch einen Trick umgehen Angreifer solche Schutzmaßnahmen aber relativ leicht. Statt Tausende von Passwörtern an einem bestimmten Konto durchzutesten, probieren sie wenige schwache Passwörter an sehr vielen Accounts aus. Oft ist es ihnen nämlich egal, welchen Account sie knacken Hauptsache drin. Testet der Einbrecher dann nur so viele Wörter pro Konto, wie Fehlversuche zulässig sind, schlägt nicht mal der Angriffschutz zu und auf Server-Seite wird die Attacke nicht registriert. Zudem sind die Schutzmaßnahmen vor diesen Attacken nur für den jeweiligen Account wirksam. Zwar könnten Anbieter statt des Accounts die IP-Adresse eines Angreifers sperren, aber dies kann etwa für dynamisch zugewiesene Adressbereiche der Internetprovider nur temporär sein. Zudem laufen sie damit Gefahr, ganze Unternehmensnetze auszuschließen, die hinter einem Proxy versteckt sind und verprellen sich damit die Kundschaft.

Angriff

Ein Test sollte zeigen, wie erfolgreich solche Angriffsversuche durch das Ausprobieren schlichter weiblicher Vornamen als Passwort sein würde. Einen exemplarischen Test führten wir beim Online-Auktionshaus eBay durch. eBay ist das am häufigsten genutzte Online-Angebot in Deutschland und damit auch beliebtes Ziel von Identitätsbetrug und Accountmissbrauch. Aber auch viele andere Anbieter sind von diesem grundsätzlichen Problem betroffen.

Über die Bewertungslisten kann man besonders einfach Benutzerkennungen sammeln, um sie automatisiert auf schwache Passwörter zu testen.

Die verwendete Passwortliste bestand aus 220 Vornamen mit jeweils großem und kleinem Anfangsbuchstaben von adele bis Yvonne. Ziel war es, eine möglichst großen Menge von Accounts mit schwachen Kennwörtern zu finden. Die eBay-Nutzerkennungen für unseren Test sammelte ein selbst geschriebenes Perl-Skript, das sich rekursiv durch Bewertungslisten hangelte. Dabei sammelte es innerhalb weniger Stunden mehr als 120 000 eBay-Account-Namen. Wegen des speziellen Angriffsplans mit weiblichen deutschen Vornamen erfasste das Skript nur deutsche eBay-Kunden.

Den eigentlichen Test führte ein zweites Skript durch, das anhand der Listen versuchte, sich an eBay-Konten anzumelden. War der Login erfolgreich, so speicherte es die Account-Daten und meldete sich sofort wieder ab. Zur Durchsatzsteigerung spaltete sich das Skript in parallele Prozesse auf, um mehrere Nutzer-Accounts gleichzeitig durchzuprobieren.

Kleine Hürden

eBay versucht, sich gegen automatisierte Angriffe zu schützen. Nach einer unbestimmten und offenbar wechselnden Anzahl von Fehlversuchen blendet der Anbieter ein GIF-Bild mit einer vierstelligen Zahlenkombination im Login-Fenster ein. Die Zahl ist veränderlich und wird jedes Mal mit einer anderen Schriftart, Farbe und mit wechselndem Hintergrund angezeigt. Der Nutzer muss die angezeigte Zahl beim Login zusätzlich zu seinem Passwort angeben. Da es für Programme keine einfache Möglichkeit gibt, aus der GIF-Grafik die dargestellte Zahl zu extrahieren, wird es für einen Angreifer zunächst sehr schwierig, den Login-Prozess automatisiert durchzuführen.

Die Schutzmaßnahme ließ sich aber ziemlich trivial umgehen. So fiel auf, dass bei Aufruf eines frischen Browsers und dem Versuch, sich einzuloggen, die Anforderung für die Eingabe der Zahlenkombination zunächst wieder verschwunden war. Offenbar wurde der Status GIF einblenden nicht Server-seitig gespeichert. Eine genauere Untersuchung ergab, dass eBay in der URL eine Variable namens "bshowgif" übergibt. Ist diese auf den Wert 1 gesetzt, wird das Zahlen-GIF eingeblendet, bei 0 nicht. Das Skript passten wir so an, dass es jeden Anmeldeversuch mit "bshowgif=0" durchführte. Mittlerweile funktioniert dieser Trick nicht mehr: Ohne Eingabe der eingeblendeten Zahl bleibt das Konto gesperrt.

Im folgenden Angriff testeten wir innerhalb von 48 Stunden fast 2600 Accounts, 27 davon mit Erfolg. Das entspricht einer Erfolgsquote von rund einem Prozent. Das ist eine bemerkenswerte Anzahl, bedenkt man, mit welchen geringen Ressourcen der Angriff durchgeführt wurde und wie simpel die durchprobierten Passwörter waren. Für höhere Trefferquoten sind größere Wörterlisten notwendig. Solche Tests decken auch schon mal 30 Prozent und mehr schwache Passwörter in Unternehmen auf.

Mit den Passwörtern hat ein Einbrecher natürlich auch Zugriff auf sämtliche hinterlegten Adress- und Kontodaten des jeweiligen Nutzers, kann an seiner statt eBay-Mails verschicken, Waren kaufen oder verkaufen. Immerhin werden Kreditkarteninformationen nicht mehr angezeigt. Der Nutzen eines geknackten Accounts dürfte für den Einbrecher vermutlich eher gering ein, da die Wahrscheinlichkeit, irgendwann erwischt zu werden, groß ist. Der Ärger für den unwissenden Benutzer ist aber nicht zu unterschätzen, muss er doch gegebenenfalls nachweisen, bestimmte Waren gar nicht ge- oder verkauft zu haben. Auch eBay selbst setzt sich einem gewissen Risiko aus. Sind erst einmal einige hundert oder tausend Accounts geknackt, kann man sich theoretisch durch alle Auktionen hangeln und mit irgendeiner zufällig gewählten Kennung Höchstbeträge auf alle gefundenen Auktionen bieten.

Mit den Ergebnissen unseres Tests konfrontiert, will eBay nun Verbesserungen an der Software vornehmen, um fehlgeschlagene Anmelde-Versuche genauer nachvollziehen zu können und Nutzer besser vor Passwort- Angriffen zu schützen. Ebenso arbeiten wir aktuell an der Integration einer neuen Funktion in den eBay-Marktplatz, die dem Nutzer bei der Wahl seines eBay- Passworts automatisch anzeigt, wie sicher es ist. Wir planen, diese Funktion noch in diesem Jahr zu integrieren , versprach eBay-Pressesprecherin Maike Fuest. Ob der Nutzer nun ein sicheres oder unsicheres Passwort wählt, bleibt aber weiterhin in seiner Verantwortung.

Auch das nach eigenen Aussagen zweitgrößte Online-Auktionshaus Auktionshaus Deutschlands, www. hood.de, wurde dem gleichen Test unterzogen. Hierzu waren nur geringe Änderungen an den Skripten durchzuführen. Erfolg hatten wir auch hier, allerdings war dieser nur von kurzer Dauer. Kurz nach Beginn des Angriffs wurde die IP-Nummer gesperrt, von der aus wir agierten, und wir erhielten eine geharnischte Anfrage von Hood, was unsere Aktion denn bezwecke. Es stellte sich heraus, dass Hood, obwohl auch hier keine Komplexitätsvorgaben für Passwörter vorhanden sind, in ihrer Software eine Erkennung von Passwort-Angriffen eingebaut hatte und auch die Alarmierung der Administratoren funktioniert. Nach eigenen Aussagen erweitert Hood gerade die eingesetzte Software, um weitere Sicherheitsmechanismen einzubauen.

Fazit

eBay-Nutzer dürften die Testergebnisse unruhig machen, ist doch auch der eigene Account vor solchen Attacken nicht sicher. eBay steht aber nur stellvertretend für viele andere Online- Dienstleister. Auch deren Kunden sollten sich um ihre Accounts Gedanken machen. Insbesondere sind Anbieter gefährdet, bei denen sich eine große Zahl von Benutzerkennungen zusammentragen lässt.

Notwendig sind wirksame Mechanismen, die dem Kunden die Wahl eines schwer erratbaren Passwortes abverlangen, ihm dabei aber auch Hilfestellungen geben. Daneben müssen die Anbieter die Anmeldeskripte gegen Tricks zum Unterlaufen der Schutzmaßnahmen verbessern.

Allerdings hindert niemand den Anwender, schon jetzt für mehr Sicherheit zu sorgen und ein besseres Passwort zu wählen. So sollte es nicht unter acht Zeichen lang sein und nicht nur Groß- und Kleinbuchstaben, sondern auch mindestens zwei Zahlen oder Sonderzeichen enthalten. Unterstützt werden Nutzer dabei durch diverse Passwort- Generatoren, etwa den kostenlosen Atory Password Generator (siehe Softlink). Und um mehrere Kennwörter für verschiedene Konten zu verwalten, bietet sich das Tool "Alle meine Passworte" an. (dab)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten