Ohne Gewalt
Anwender lieben es einfach -- Cracker auch. Mit erstaunlich geringem Aufwand ist es letzteren möglich, Zugang zu fremden eBay-Accounts zu erlangen. Denn es finden sich immer ein paar mit schwachen Passwörtern.
Administratoren dürften immer wieder an "luschigen" weil halt einprägsamen Passwörtern ihrer Schäfchen verzweifeln: Wer interessiert sich denn bitte ausgerechnet für meinen eBay-Account? Ich hab da doch gar nichts Geheimnisvolles gespeichert, dürfte eine Standard-Meinung zum Thema lauten. Das ist so lange richtig, wie die Intention des Angreifers tatsächlich darin besteht, einen einzelnen, zuvor ausgewählten Account zu knacken. Wenn es aber nur darum geht, Zugriff zu irgendeinem Account zu bekommen, etwa um unter falscher Flagge bei eBay zu betrügen, dann ist das leider erschreckend einfach möglich.
Wie das funktioniert, sei im Folgenden dargelegt und selbstverständlich, wie der Einzelne sich dagegen schützen kann. Bei Online-Dienstleistern wie Amazon, eBay und vielen anderen ist in der Regel eine vorherige Anmeldung erforderlich. Neben dem Benutzernamen muss der Anwender noch ein Passwort eingeben: Fertig ist das Nutzerkonto. Um das Konto vor unautorisierten Zugriffen zu schützen, sollte das Passwort zum einen geheim bleiben und zum anderen nicht leicht zu erraten sein. Doch obwohl Passwort-Angriffe eigentlich ein alter Hut sind, stellen viele Anbieter keine besonderen Komplexitätsanforderungen an Passwörter. Einige erlauben sogar Passwörter, die genau so lauten wie der Benutzername. Sonderzeichen, Großbuchstaben oder Zahlen im Kennwort, die das Erraten schwerer machen, sind selten Pflicht. Der Angreifer hat hier meist leichtes Spiel.
Theorie ...
Die klassische Methode, um Passwörter zu knacken, sind so genannte Brute-Force-Angriffe. Dabei probiert ein Angreifer systematisch alle möglichen Buchstaben-, Zahlen- und Sonderzeichenkombinationen eines Passworts durch. Mit jeder möglichen Zeichenkombination unternimmt er einen Login-Versuch. Gelingt der, ist das Passwort erraten. Das größte Hindernis hierbei ist die riesige Anzahl von Kombinationsmöglichkeiten der Passwortzeichen.
Probiert man nur 26 Kleinbuchstaben für das Passwort, so ergeben sich bei sechs Zeichen schon 309 Millionen verschiedene Kombinationen. Mit Groß- und Kleinbuchstaben, Ziffern und acht Sonderzeichen kommt man auf einen Zeichenvorrat von 70 Zeichen, was bei einer Passwortlänge von sechs Stellen rund 118 Milliarden verschiedene Kombinationen ergibt. Schafft man es, pro Sekunde zehn Passwörter auszuprobieren, nimmt das Durchprobieren aller Möglichkeiten 373 Jahre in Anspruch.
... und Praxis
Leider neigt der Mensch dazu - wenn man ihn nur lässt - sich eben nicht völlig kryptische Passwörter aus wirren Zeichenkombinationen auszudenken, sondern einfach normale Wörter wie Hawaii oder Hasso zu benutzen - ohne Sonderzeichen oder Zahlen. Hier setzen so genannte Dictionary- oder Wörterbuch-Angriffe an. Anstatt alle möglichen Zeichenkombinationen durchzuprobieren, nimmt man nur Begriffe aus Wörterbüchern und Verzeichnissen. Entsprechende Listen umfassen zwischen wenigen Tausend bis zu rund 200 000 Wörtern, womit es sich für den Angreifer schon leichter rechnet: Selbst bei 200 000 Wörtern wäre er in oben genanntem Beispiel so in unter sechs Stunden mit dem Probieren durch.
Wenn der Anwender so triviale Wörter mit Sonderzeichen, Zahlen und Kombinationen aus Groß- und Kleinbuchstaben kombiniert, erhöht er die Möglichkeiten deutlich. Doch meist wird nur ein Sonderzeichen oder eine Zahl vorangestellt oder hinten angehängt, Silben werden vertauscht oder die Wörter rückwärts buchstabiert. Und darauf haben sich die Cracker längst eingestellt: Programme wie John the Ripper oder crack sind in der Lage, solche Variationsmuster nachzubilden und aus einfachen Wortlisten die entsprechenden Permutationen zu generieren.
Abwehr
Um Brute-Force- und Dictionary-Angriffe zu erschweren, verhindert der Server nach einer bestimmten Anzahl von Fehlversuchen weitere Login-Versuche. Dazu sperrt er den betreffenden Account oder blockiert neue Logins für eine bestimmte Zeit. Das Sperren ist für Diensteanbieter und Nutzer gleichermaßen lästig, ermöglicht es doch jedermann, den Account eines anderen durch Fehleingaben stillzulegen. Das führt zu Unmut beim Kunden und Arbeit am Helpdesk des Anbieters. Das Verhindern eines erneuten Einloggens nach drei Fehlversuchen für einige Minuten ist im Allgemeinen für beide Seiten tragbar und verlängert automatisierte Angriffe bereits so sehr, dass sie undurchführbar werden. Allerdings gibt es auch hier die Möglichkeit für einen Dritten, diese Ausschlusszeit durch ständige Fehlversuche permanent zu verlängern und den Account unbenutzbar zu machen.
Hauptsache drin
Hauptsache drin
Durch einen Trick umgehen Angreifer solche Schutzmaßnahmen aber relativ leicht. Statt Tausende von Passwörtern an einem bestimmten Konto durchzutesten, probieren sie wenige schwache Passwörter an sehr vielen Accounts aus. Oft ist es ihnen nämlich egal, welchen Account sie knacken Hauptsache drin. Testet der Einbrecher dann nur so viele Wörter pro Konto, wie Fehlversuche zulässig sind, schlägt nicht mal der Angriffschutz zu und auf Server-Seite wird die Attacke nicht registriert. Zudem sind die Schutzmaßnahmen vor diesen Attacken nur für den jeweiligen Account wirksam. Zwar könnten Anbieter statt des Accounts die IP-Adresse eines Angreifers sperren, aber dies kann etwa für dynamisch zugewiesene Adressbereiche der Internetprovider nur temporär sein. Zudem laufen sie damit Gefahr, ganze Unternehmensnetze auszuschließen, die hinter einem Proxy versteckt sind und verprellen sich damit die Kundschaft.
Angriff
Ein Test sollte zeigen, wie erfolgreich solche Angriffsversuche durch das Ausprobieren schlichter weiblicher Vornamen als Passwort sein würde. Einen exemplarischen Test führten wir beim Online-Auktionshaus eBay durch. eBay ist das am häufigsten genutzte Online-Angebot in Deutschland und damit auch beliebtes Ziel von Identitätsbetrug und Accountmissbrauch. Aber auch viele andere Anbieter sind von diesem grundsätzlichen Problem betroffen.
Die verwendete Passwortliste bestand aus 220 Vornamen mit jeweils großem und kleinem Anfangsbuchstaben von adele bis Yvonne. Ziel war es, eine möglichst großen Menge von Accounts mit schwachen Kennwörtern zu finden. Die eBay-Nutzerkennungen für unseren Test sammelte ein selbst geschriebenes Perl-Skript, das sich rekursiv durch Bewertungslisten hangelte. Dabei sammelte es innerhalb weniger Stunden mehr als 120 000 eBay-Account-Namen. Wegen des speziellen Angriffsplans mit weiblichen deutschen Vornamen erfasste das Skript nur deutsche eBay-Kunden.
Den eigentlichen Test führte ein zweites Skript durch, das anhand der Listen versuchte, sich an eBay-Konten anzumelden. War der Login erfolgreich, so speicherte es die Account-Daten und meldete sich sofort wieder ab. Zur Durchsatzsteigerung spaltete sich das Skript in parallele Prozesse auf, um mehrere Nutzer-Accounts gleichzeitig durchzuprobieren.
Kleine Hürden
eBay versucht, sich gegen automatisierte Angriffe zu schützen. Nach einer unbestimmten und offenbar wechselnden Anzahl von Fehlversuchen blendet der Anbieter ein GIF-Bild mit einer vierstelligen Zahlenkombination im Login-Fenster ein. Die Zahl ist veränderlich und wird jedes Mal mit einer anderen Schriftart, Farbe und mit wechselndem Hintergrund angezeigt. Der Nutzer muss die angezeigte Zahl beim Login zusätzlich zu seinem Passwort angeben. Da es für Programme keine einfache Möglichkeit gibt, aus der GIF-Grafik die dargestellte Zahl zu extrahieren, wird es für einen Angreifer zunächst sehr schwierig, den Login-Prozess automatisiert durchzuführen.
Die Schutzmaßnahme ließ sich aber ziemlich trivial umgehen. So fiel auf, dass bei Aufruf eines frischen Browsers und dem Versuch, sich einzuloggen, die Anforderung für die Eingabe der Zahlenkombination zunächst wieder verschwunden war. Offenbar wurde der Status GIF einblenden nicht Server-seitig gespeichert. Eine genauere Untersuchung ergab, dass eBay in der URL eine Variable namens "bshowgif" übergibt. Ist diese auf den Wert 1 gesetzt, wird das Zahlen-GIF eingeblendet, bei 0 nicht. Das Skript passten wir so an, dass es jeden Anmeldeversuch mit "bshowgif=0" durchführte. Mittlerweile funktioniert dieser Trick nicht mehr: Ohne Eingabe der eingeblendeten Zahl bleibt das Konto gesperrt.
Infiltriert
Im folgenden Angriff testeten wir innerhalb von 48 Stunden fast 2600 Accounts, 27 davon mit Erfolg. Das entspricht einer Erfolgsquote von rund einem Prozent. Das ist eine bemerkenswerte Anzahl, bedenkt man, mit welchen geringen Ressourcen der Angriff durchgeführt wurde und wie simpel die durchprobierten Passwörter waren. Für höhere Trefferquoten sind größere Wörterlisten notwendig. Solche Tests decken auch schon mal 30 Prozent und mehr schwache Passwörter in Unternehmen auf.
Mit den Passwörtern hat ein Einbrecher natürlich auch Zugriff auf sämtliche hinterlegten Adress- und Kontodaten des jeweiligen Nutzers, kann an seiner statt eBay-Mails verschicken, Waren kaufen oder verkaufen. Immerhin werden Kreditkarteninformationen nicht mehr angezeigt. Der Nutzen eines geknackten Accounts dürfte für den Einbrecher vermutlich eher gering ein, da die Wahrscheinlichkeit, irgendwann erwischt zu werden, groß ist. Der Ärger für den unwissenden Benutzer ist aber nicht zu unterschätzen, muss er doch gegebenenfalls nachweisen, bestimmte Waren gar nicht ge- oder verkauft zu haben. Auch eBay selbst setzt sich einem gewissen Risiko aus. Sind erst einmal einige hundert oder tausend Accounts geknackt, kann man sich theoretisch durch alle Auktionen hangeln und mit irgendeiner zufällig gewählten Kennung Höchstbeträge auf alle gefundenen Auktionen bieten.
Mit den Ergebnissen unseres Tests konfrontiert, will eBay nun Verbesserungen an der Software vornehmen, um fehlgeschlagene Anmelde-Versuche genauer nachvollziehen zu können und Nutzer besser vor Passwort- Angriffen zu schützen. Ebenso arbeiten wir aktuell an der Integration einer neuen Funktion in den eBay-Marktplatz, die dem Nutzer bei der Wahl seines eBay- Passworts automatisch anzeigt, wie sicher es ist. Wir planen, diese Funktion noch in diesem Jahr zu integrieren , versprach eBay-Pressesprecherin Maike Fuest. Ob der Nutzer nun ein sicheres oder unsicheres Passwort wählt, bleibt aber weiterhin in seiner Verantwortung.
Auch das nach eigenen Aussagen zweitgrößte Online-Auktionshaus Auktionshaus Deutschlands, www. hood.de, wurde dem gleichen Test unterzogen. Hierzu waren nur geringe Änderungen an den Skripten durchzuführen. Erfolg hatten wir auch hier, allerdings war dieser nur von kurzer Dauer. Kurz nach Beginn des Angriffs wurde die IP-Nummer gesperrt, von der aus wir agierten, und wir erhielten eine geharnischte Anfrage von Hood, was unsere Aktion denn bezwecke. Es stellte sich heraus, dass Hood, obwohl auch hier keine Komplexitätsvorgaben für Passwörter vorhanden sind, in ihrer Software eine Erkennung von Passwort-Angriffen eingebaut hatte und auch die Alarmierung der Administratoren funktioniert. Nach eigenen Aussagen erweitert Hood gerade die eingesetzte Software, um weitere Sicherheitsmechanismen einzubauen.
Fazit
eBay-Nutzer dürften die Testergebnisse unruhig machen, ist doch auch der eigene Account vor solchen Attacken nicht sicher. eBay steht aber nur stellvertretend für viele andere Online- Dienstleister. Auch deren Kunden sollten sich um ihre Accounts Gedanken machen. Insbesondere sind Anbieter gefährdet, bei denen sich eine große Zahl von Benutzerkennungen zusammentragen lässt.
Notwendig sind wirksame Mechanismen, die dem Kunden die Wahl eines schwer erratbaren Passwortes abverlangen, ihm dabei aber auch Hilfestellungen geben. Daneben müssen die Anbieter die Anmeldeskripte gegen Tricks zum Unterlaufen der Schutzmaßnahmen verbessern.
Allerdings hindert niemand den Anwender, schon jetzt für mehr Sicherheit zu sorgen und ein besseres Passwort zu wählen. So sollte es nicht unter acht Zeichen lang sein und nicht nur Groß- und Kleinbuchstaben, sondern auch mindestens zwei Zahlen oder Sonderzeichen enthalten. Unterstützt werden Nutzer dabei durch diverse Passwort- Generatoren, etwa den kostenlosen Atory Password Generator (siehe Softlink). Und um mehrere Kennwörter für verschiedene Konten zu verwalten, bietet sich das Tool "Alle meine Passworte" an. (dab [1])
URL dieses Artikels:
https://www.heise.de/-270518
Links in diesem Artikel:
[1] mailto:dab@ct.de
Copyright © 2004 Heise Medien