Nachdem das FBI kürzlich weitreichendere Abhörbefugnisse für das Internet gefordert hat, suchen die US-Behörden nun nach neuen Möglichkeiten, Verschlüsselungen zu umgehen. Laut Howard Cox von der Abteilung Computerkriminalität und Urheberrecht des US-Justizministeriums verfügen Ermittler über keine rechtliche Handhabe, Verdächtige zur Herausgabe von Passwörtern zu zwingen. „Das wäre eine erzwungene Aussage, das können wir nicht tun.“
Eine zuslässige Option sei, Software- und Hardwarehersteller um Unterstützung zu bitten. Solche Absprachen müssen Cox zufolge meist im Vorhinein getroffen werden.
„Jeder Anwärter, der die Akademie des Secret Service besucht, absolviert eine Woche Training in Computerforensik“, erklärt Stuart Van Buren, Agent des Secret Service. Mittlerweile gehöre es zum Standardrepertoire, Betreiber von Internetdiensten per Gerichtsbeschluss dazu zu bewegen, Passwörter von Verdächtigen herauszurücken.
„Wenn wir zwei oder drei Passwörter finden, können wir uns darauf einen Reim machen“, sagt Van Buren. „Da gibt es viel, was wir finden können.“ In manchen Fällen gebe es keine Alternative zu einer sogenannten Brute-Force-Methode: Man schreibt ein Programm, das alle möglichen Passwortkombinationen testet. Wenn das Passwort kurz genug und nur aus Klein-, Großbuchstaben sowie Zahlen zusammengesetzt sei, bestehe „eine begründete Chance, dass ich es finde“, so Van Buren.
Für ein siebenstelliges Passwort braucht Van Buren drei Tage, weil es 62 hoch 7, also rund 3,5 Billionen mögliche Kombinationen gibt (26 Groß- und 26 Kleinbuchstaben sowie zehn Ziffern). Ein achtstelliges Passwort würde 62-mal so lang dauern. „Auf einmal sehe ich mich einem Jahr Arbeit gegenüber. Das ist nicht machbar“, sagt Van Buren.
Anstatt in einen verschlüsseltes Computer einzubrechen, versucht der Secret Service, sich Zugriff zu verschaffen, während das Gerät noch in Betrieb ist – und so die Verschlüsselung zu umgehen. Van Buren skizziert eine Möglichkeit: Man müsse sicherstellen, dass der Verdächtige online ist – etwa mittels Internet-Chat – und ihn unter einem Vorwand zur Haustür locken. Der Verdächtige werde verhaftet und der Computer durchsucht.
Auch die heimliche Installation eines Keyloggers sei Usus. Eine weitere Option sind laut Cox vom Justizministerium Exploits, die sich über Peripheriegeräte nutzen lassen.
Wikileaks will mit der Veröffentlichung von vertraulichen Dokumenten mehr Transparenz schaffen. Das kommt nicht überall gut an. ZDNet bietet in diesem Special Nachrichten und Hintergrundberichte über die umstrittene Whistleblower-Plattform.
Bisher unbekannter Bedrohungsakteur versucht über gefälschte IP Scanner Software-Domänen Zugriff auf IT-Umgebungen zu erlangen.
Der Bericht zeigt bereits nutzbare Angriffsanwendungen und bewertet die Risiken, die davon ausgehen.
Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…
Cubbit ist das weltweit erste Unternehmen, das Cloud-Objektspeicher anbietet. Es wurde 2016 gegründet und bedient…
Unbefugte können Schadcode einschleusen und ausführen. Auslöser ist eine fehlerhafte Implementierung einer Android-Funktion.
iPhones und iPads belasten das Ergebnis. Außerdem schwächelt Apple im gesamten asiatischen Raum inklusive China…