Hacking II: Passwortangriffe

Das Scannen von Netzwerken ist – wie wir nun wissen – für uns das Fundament eines jeden Angriffs, da wir hierbei unsere Angriffsfläche erkunden. Den wohl schwächsten Faktor in der Sicherheitskette haben wir aber bisher außen vor gelassen: den Faktor Mensch. Schon bei den Domain-Namen von IT-Systemen durften wir feststellen, dass wir Menschen gerne komplexe Konstrukte mit möglichst einfachen Strukturen abbilden. Beispielsweise vergeben wir lieber aussagekräftige Namen anstelle von Zahlenfolgen. Es kann vorkommen, dass unsere Zielsysteme absolut sicher erscheinen und wir uns daher nicht-technischen Verfahren bedienen müssen, um einen Zugang zu den IT-Systemen zu erhalten. Diese Tatsache hat bereits Kevin Mitnick im Jahr 2002 in einem Satz zusammengefasst:

Companies spend millions of dollars on firewalls, encryption and secure access devices, and it’s money wasted, because none of these measures address the weakest link in the security chain.

Der Risikofaktor Mensch ist und bleibt die Sicherheitslücke Nr. 1 – was wir für unsere Zwecke nutzen können. Statt uns an einer gehärtete IT-Infrastruktur abzuarbeiten, könnten wir auch mit Schadsoftware bepackte USB-Sticks auf dem Unternehmensgelände fallen lassen und auf neugierige Angestellte warten. Solche sog. Social-Engineering-Angriffe im Rahmen eines Pentest sollten aber mit dem Auftraggeber abgesprochen werden, da hierbei gezielt Personen manipuliert werden.

Ein häufiger Einstiegspunkt in IT-Systeme sind die Passwörter von Benutzern. Wer von uns verwendet beispielsweise keines seiner Passwörter doppelt? Diese Frage zeigt auch hier, dass wir Menschen immer wieder versuchen, uns das Leben einfach zu gestalten. So stehen Passwörter meistens in einem Bezug zu ihren Schöpfern und/oder diese nehmen für ihre Benutzeraccounts keine Passwortänderungen mehr vor. Das Sammeln der Benutzer-Passwörter ist für uns somit von besonderem Interesse, da diese uns Zugang zu IT-Systemen gewähren können.

Grundsätzlich stehen uns zwei Wege zur Verfügung, wie wir an die Passwörter von Benutzerkonten gelangen können. Das Nächstliegende wäre, verschiedene Passwörter an einem Dienst auszuprobieren, bis wir uns erfolgreich als Benutzer anmelden können. Da hierbei die Login-Versuche über ein Netzwerk transportiert werden, bezeichnen wir diese Methodik als Online-Passwortangriff . Ferner könnten wir aber durch eine Schwachstelle X bereits Zugriff zu dem System haben. In diesem Fall können wir vielleicht sogar alle hinterlegten Zugangsdaten auslesen. Hierbei ist anzumerken, dass im Idealfall nur die salted hashes von Benutzerpasswörtern gespeichert sein sollten. Unsere Aufgabe wäre es daher die Passwörter anhand ihrer Hashes zu rekonstruieren. Da das sog. Cracken von Hashes lokal auf einem System vollzogen wird, bezeichnen wir diese Methodik auch als Offline-Passwortangriff .