Studenten knacken IBM-Sicherheitsverfahren

Zwei Studenten aus Cambridge haben Schwachstellen einer IBM-Sicherheitssoftware aufgedeckt. Wie die britische Universität gestern mitteilte, haben sie sich mit der als sehr sicher geltenden Verschlüsselung des IBM 4758 Cryptoprozessors beschäftigt. Dieses Sicherheitsverfahren wird zur Absicherung von E-Commerce-Transaktionen und an Geldautomaten eingesetzt.

Die beiden Informatikstudenten Mike Bond und Richard Clayton arbeiteten zunächst unabhängig voneinander. Bond experimentierte mit Verschlüsselungssoftware, die das Application Programming Interface (API) eines IBM Cryptoprozessors manipulieren kann. Clayton hatte aus Standard-Bauteilen eine spezielle Hardware entwickelt, die mit der Brute-Force-Methode versucht, Passwörter von Sicherheitssystemen herauszufinden. Obwohl seine Hardware 33 Millionen Passwörter in der Sekunde prüfen konnte, hätte es damit noch 70 Jahre dauern können, das richtige Passwort zu finden. Erst die Zusammenarbeit mit dem Kommilitonen brachte den Durchbruch: In Kombination mit der Software von Clayton gelang es innerhalb eines Tages, den Schutz zu knacken.

Eine ausführliche Dokumentation sowie Listings der verwendeten Programme gibt es im Internet. Dort ist zu lesen, dass man zum Knacken des IBM-Sicherheitsprogramms lediglich die Hard- und Software der beiden Studenten sowie 20 Minuten ununterbrochenen Kontakt zum System und etwa einen Tag Zeit benötigt. Bei IBM hieß es am Freitag, man nähme die Berichte ernst, im normalen Bankalltag sei durch die aufgedeckten Sicherheitslücken aber keine Gefahr zu befürchten. (dwi)