Brute-Force: Passwörter knacken mit roher Gewalt

Eine der ältesten Methoden, um Passwörter zu knacken, ist die Brute-Force-Attacke. Hier probieren Angreifer nacheinander alle möglichen Schlüssel durch, bis sie den passenden gefunden haben. ZDNet zeigt, wie man sich schützt.

Brute-Force-Attacken^[1] gelten als eher "klassischer Angriff", einige halten ihn für "weder intelligent noch effektiv". Und doch ist das Raten von Passwörtern noch längst nicht aus der Mode - im Gegenteil. "Hängen Sie mal einen FTP-Server ins Internet", erzählt Toralv Dirro, Sicherheitsexperte bei McAfee^[2], "sie werden zwei bis drei Attacken pro Woche sehen." Brute-Force-Angriffe haben es vor allem auf Passwörter von Nutzerkonten bei FTP oder SSH-Ports, aber auch auf Windows-Systeme abgesehen. Jede Software und jeder Host mit Remote-Zugang ist ein potenzielles Ziel. Die hohe Zahl der Angriffe liegt daran, dass Attacken vollkommen automatisiert durchgeführt werden können. Software-Tools suchen offene FTP- oder SSH-Ports im Internet, testen sie auf bekannte Sicherheitslücken und melden dem Initiator, wenn ein verwundbares System entdeckt wurde.

Passwort-Mathematik

Mit direktem Zugang zum System muss der Hacker nur selten mehr als ein paar Minuten investieren, um ein Passwort zu knacken.

Oft sind Computer und Server nur allzu leichte Beute. Bei einem fünfstelligen Passwort für einen Remote-Zugang wird der unbedarfte Nutzer häufig nur Buchstaben verwenden. Mit den 26 Zeichen im deutschen Alphabet - ohne Umlaute oder ß - könnte er eine beliebige Kombination zwischen "aaaaa" und "zzzzz" wählen. Das ergibt 26 hoch 5 Möglichkeiten, fast 12 Millionen. Ein Computer mit einem AMD Athlon-Chip und Linux als Betriebssystem kann zurzeit etwa zwölf Millionen Schlüssel pro Sekunde^[3] erzeugen und damit, theoretisch, binnen einer Sekunde den richtigen Schlüssel finden. Wenn er direkten Zugang zum System hat und die Schlüssel gleich ausprobieren kann, wird er mit etwa einer halben Millionen Versuche pro Sekunde in sechs Sekunden das Passwort geknackt haben. Experten wissen, dass es in der Praxis und mit handelsüblicher Hardware oft länger dauert - aber mehr als ein paar Minuten muss der Hacker selten investieren. Mit einem längeren Passwort macht man ihm das Leben schwerer. Bei einer Stelle mehr muss das System schon 309 Millionen Schlüssel probieren, noch eine Stelle mehr erhöht die Variationen auf 8 Milliarden Möglichkeiten und würde damit die Zeit zum Ausprobieren auf etwa 44 Stunden steigern. Werden Groß- und Kleinbuchstaben sowie Zahlen und Sonderzeichen verwendet, steigt die benötigte Zeit für die Suche exponentiell an.

Viele Systeme verwenden daher Schlüssel mit 40, 256 oder 2048 Bit Länge, also 40 oder mehr Stellen, und sind gegen reine Brute-Force-Attacken recht sicher. Doch immer noch werden für Remote-Zugänge Passwörter mit vier bis acht Stellen verwendet. Die einfachste Sicherung gegen einen Brute-Force-Angriff wäre es, die Anmeldeversuche auf eine bestimmte Zahl zu begrenzen. Ein Nutzer mag vielleicht drei Versuche brauchen, um sich an sein Passwort zu erinnern - oder um einzusehen, dass er es vergessen hat, aber sicher keine 50 Anläufe. Doch bei vielen Systemen ist eine solche Begrenzung für den Login-Vorgang nicht vorgesehen. Genau diesen Umstand machen sich Hacker zunutze. So waren bis vor kurzem eine ganze Reihe von Versionen des beliebten Fernwartungs-Tools VNC^[4] ohne Schutz vor Brute-Force Attacken ausgestattet.
Weil es in der Natur der Dinge liegt, sich wahllose Zahlen- und Buchstabenkombinationen schlecht merken zu können, nehmen viele Nutzer trotz aller Warnungen gängige Wörter als Passwort. Der Passwort-Check von CNLab in der Schweiz zeigt, dass bei über 25.000 Passwörtern die ganz große Mehrheit innerhalb von null bis vier Tagen zu knacken gewesen wäre^[5]. Profis wissen das: Dictionary-Attacks probieren einfach alle Wörter eines Wörterbuches durch. Eine andere Methode beruht auf Statistik und Gewohnheit: Hacker probieren übliche Passwort-Nutzernamen Kombinationen durch. Die "Top-300-Passwörter" sind leicht im Internet zu finden, ebenso Wörterlisten, häufige Account-Kombinationen und häufige Vornamen.

Hash-Dateien verraten Geheimnisse

Viele Administratoren haben keine Zeit oder nicht die richtige Ausbildung, um Attacken zu identifizieren.

Auch innerhalb eines Netzes kann jemand versuchen, in Systeme einzubrechen. Wer ohnehin schon drin ist, kommt leichter an die Passwort-Dateien. Das macht den Angriff einfacher. Viele Systeme verschlüsseln die Passwörter mit einer Hash-Funktion^[6]. Hash ist eine Einweg-Funktion, der ursprüngliche Text lässt sich aus dem Komprimat nicht mehr rekonstruieren. Auch Angreifer können das nicht, und doch sind Hash-Daten gegen Brute-Force-Attacken anfällig. Im Internet kursieren so genannte "Rainbow-Tables", in denen die Hash-Werte häufig verwendeter Passwörter stehen. Stimmt ein Wert in der Tabelle mit einem Wert in der Passwort-Datei überein, ist die Suche vorbei.
Eigentlich sollten Intrusion-Detection-Systeme^[7] (IDS) Brute-Force-Angriffe aufspüren. Doch auch die Angreifer wissen, dass man ihrem Treiben auf der Spur ist: "Sie versuchen möglichst subtil und unerkannt in die System einzubrechen, damit die Netzwerksniffer nicht Alarm schlagen", erklärt Garry Siddaway, Head of Product Marketing EMEA bei Cybertrust^[8]. Es ist eine schwierige Balance: Ein IDS-System, das sofort Alarm schlägt, wenn ein Benutzer sein Passwort vergessen hat und ein paar Möglichkeiten durchprobiert, ist genauso schlecht wie eines, das 100.000 Log-In-Versuche übersieht. "Ein intelligentes IDS muss zwischen sporadisch vorkommenden und permanenten Fehlversuchen differenzieren", fordert Hermann Klein, Country-Manager DACH beim Sicherheitsspezialisten Stonesoft^[9]. Nur wenn ein ernster Hintergrund erkennbar ist, sollte das System Alarm schlagen oder sogar automatisch reagieren. Ärgerlich ist allerdings, wenn dann ein Außendienstmitarbeiter aus dem System ausgeschlossen wird. "Die Technologie ist schon sehr weit, aber man muss trotzdem die Logfiles genau beobachten, um Attacken zu identifizieren", meint Siddaway, und dafür hätten viele Administratoren keine Zeit oder nicht die richtige Ausbildung.

WLAN - kaum gesichert

WLANs sind notorische Angriffsziele^[10] von Brute-Force-Attacken. WEP gilt schon seit Jahren als unsicher und das Lightweight Extensible Authentication Protocol (LEAP) von Cisco fiel 2003 einer Sicherheitslücke zum Opfer. Ein Tool von Sicherheitsexperte Joshua Wright fing den Anmeldedatenaustausch ab und führte dann einen Off-Line-Brute-Force-Angriff aus. Binnen Minuten waren alle für LEAP genutzten Passwörter geknackt. Komplexe Passwörter bleiben von dem Angriff unberührt, wie Cisco einwendet, trotzdem sollten mit WPA2-verschlüsselte Daten mittels PEAP oder TLS-Authentisierung getunnelt werden.
Die einfachste Gegenmaßnahme gegen Brute-Force Attacken ist, keine Passwörter zu verwenden. Smart-Cards, Token oder Einmal-Passwörter hebeln Brute-Force-Angriffe effektiv aus. "Jedes beliebige Passwort, welches Format es auch immer haben mag, kann letztlich geknackt werden", mahnt Mike Puglia, Product Manager beim Sicherheitshersteller Bluesocket. Wenn es nicht ohne Passwort geht, ist eine strenge Policy vonnöten, die lange Passwörter erzwingt, sie häufig wechseln lässt und Zahlen, Sonderzeichen und Groß- und Kleinschreibung durchsetzt. Es gibt im Internet kleine Trainingstools^[11], um Mitarbeitern beizubringen, wie man solche Ungetüme entwirft und sich merkt. Am einfachsten mit der guten, alten Eselsbrücke: Der Satz: "Am 14. ist Valentinstag, nicht vergessen!" ergäbe zum Beispiel "A14iVnv!".

Man kann Hacker auch mit ihren eigenen Waffen schlagen. Zum Beispiel indem man die eigenen Passwörter mit ihren Tools testet. Das geht unter anderem mit "John the Ripper". der mit Unix, Windows, DOS, BeOS und Open VMS arbeitet. Die Software führt eine Brute Force-Attacke durch, loggt sich jedoch nie ein, so dass der Account nicht gesperrt wird. Auf der gleichen Website gibt es eine OSS-Software, die nur Passwörter zulässt, die John nicht knacken konnte.

Die Software "Hydra" ist ein Login-Cracker für Telnet, FTP, HTTP, HTTPS, HTTP-Proxy, LDAP, SMB, SMBNT, MS-SQL, MYSQL und viele Protokolle und Anwendungen mehr. Wer die eigenen Passwörter damit checkt, wird schnell feststellen, wo noch Nachholbedarf ist. Dort findet sich auch der "pptp-Bruter", der gegen den TCP-Port 1723 eingesetzt werden kann, um VPN-Endpunkte zu knacken. das Tool nutzt eine Lücke in Microsofts Anti-Brute-Force-Maßnahmen und erlaubt dem Angreifer 300 Login-Versuche pro Sekunde. Toralv Dirro von McAfee hat entnervt zu einer ganz anderen Maßnahme gegriffen: Er hat seinen SSH-Zugang auf einen anderen als den Standard-Port gelegt, damit automatisierte Attacken ihn nicht mehr finden. Es ist zwar ein Rückzug, aber das ist ihm gleich: "Ich war es einfach leid", seufzt der Sicherheitsexperte. Doch mit "AMAP" ist der nächste VPN-Server schnell gefunden. Die Software testet, welcher Dienst sich hinter welchem Port verbirgt, indem es die Antworten auf Anfragen interpretiert.

URLs in diesem Artikel:
[1] = http://de.wikipedia.org/wiki/Brute-Force-Attacke
[2] = http://www.mcafee.com
[3] = http://www.orange.co.jp/~masaki/rc5/rfratee.html
[4] = http://de.wikipedia.org/wiki/VNC
[5] = https://www.cnlab.ch/codecheck/check-statistics.php
[6] = http://de.wikipedia.org/wiki/Hash-Funktion
[7] = http://de.wikipedia.org/wiki/Intrusion_Detection_System
[8] = http://www.cybertrust.com/
[9] = http://www.stonesoft.de/en/
[10] = http://www.zdnet.de/security/praxis/0,39029462,39142125,00.htm
[11] = https://www.cnlab.ch/codecheck/game-intro.de.php