Ein Blick hinter die Kulissen der Cracker

Nicht jeder Passwortknacker ist ein Krimineller – im Gegenteil. Die meisten sind sogar respektable Mitglieder der Security-Gemeinde. In eigenen Wettbewerben konkurrieren sie darin, immens komplexe Passwörter zu knacken. Ihre Motivation: Faszination an der Technik, sportlicher Ehrgeiz, das Training für professionelle Penetrationstests und oft sogar das Bemühen, die Welt ein bisschen besser zu machen.

Für die Nutzer von Online-Diensten wie LinkedIn, Last.fm oder der Dating-Plattform eHarmony war es unter Umständen der Verlust ihrer digitalen Persönlichkeit. Für Technikfreaks wie Jens „atom“ Steube sind es Schätze im Netz. Die Rede ist von den gestohlenen Nutzerdaten, die nach den Einbrüchen bei diesen Diensten im Internet kursierten. Die Szene spricht verharmlosend von „Leaks“; doch die Daten sind keineswegs irgendwie entfleucht – sie wurden gezielt geklaut.

Im Fall von LinkedIn veröffentlichte ein Unbekannter über sechs Millionen verschlüsselte Passwörter mit der Aufforderung, ihm doch beim Knacken zu helfen. Die Passwörter wurden zwar ohne die zugehörigen Nutzernamen und E-Mails veröffentlicht – aber man muss davon ausgehen, dass zumindest der ursprüngliche Poster diese Daten ebenfalls in seinem Besitz hat.

Doch Steube interessiert sich ohnehin nicht für die Namen oder E-Mail-Adressen. Sein Interesse gilt ausschließlich dem Knacken des Passworts – also aus dem veröffentlichten, kryptischen Hash-Wert das zugrunde liegende Kennwort zurückzugewinnen. Da die verwendeten Verfahren – die kryptografischen Hash-Funktionen wie MD5 und SHA1 – nicht umkehrbar sind, geht das nur durch Ausprobieren.

Das macht Steube keineswegs, um sich persönlich zu bereichern oder mit den gewonnenen Informationen digitale Identitäten zu rauben, sondern um der Herausforderung willen. Gelangt er ans Ziel, fördert er dabei auf den ersten Blick sichere Kennwörter wie „thatsthewayilikeitbabyidontwannaliveforever“ oder „qwertzuiopüasdfghjklöäyxcvbnm,.-“ zu Tage.

Im Hauptberuf ist der in München lebende Jens Steube Programmierer. „Mein Brotberuf hat so gut wie nichts mit IT-Sicherheit oder gar dem Passwortknacken zu tun“, erzählt er freimütig. Sein Interesse fürs Hash-Cracking wurde geweckt, als er eine praktische, lebensnahe Anwendung für den Einsatz von Grafikkarten für allgemeine Berechnungen suchte. Viele Aufgaben profitieren von der enormen Performance moderner 3D-Grafikkarten – man spricht von General Purpose Computation on Graphics Processing Units, kurz GPGPU.

„Ich will als Programmierer immer up to date sein. Also habe ich mich mit GPGPU befasst. Nachdem ich jedoch an den üblichen wissenschaftlichen oder wirtschaftlichen Anwendungen kein Interesse hatte, wandte ich mich dem Hash-Cracking zu“, erläutert der 34-Jährige seine Motivation. Ähnlich wie etwa Wetter- oder Börsen-Simulationen profitiert auch das Cracken von Passwörtern vom hohen Grad an Parallelität der Rechenoperationen, die ein moderner Grafikprozessor ermöglicht.

Eines der Resultate von Steubes Enagagement ist die Familie der populären Hashcracking-Tools Hashcat (CPU-basiert) und oclHashcat (GPU-basiert). Neben dem aus dem Unix-Umfeld stammenden Passwortcracker John the Ripper ist Hashcat mittlerweile das Standardwerkzeug von Hash-Knackern weltweit.

Alexander Peslyak, Autor des Open-Source-Cracking-Tools John the Ripper, ist eine der faszinierenden Gestalten der Security Community. Unter seinem Handle Solar Designer hat er in vielen Bereichen wertvolle Beiträge zur IT-Sicherheit geleistet. Bereits 1997 stellte er einen Patch für den Linux-Kern vor, der den Stack als nicht ausführbar markierte – also viele Jahre bevor dieser Schutz vor Buffer Overflows in Linux oder gar Windows Einzug hielt. Außerdem wird ihm die Erfindung der sogenannten Privilege Separation zugeschrieben. Sie beruht darauf, dass Systemdienste Rechte abgeben, die sie nicht mehr benötigen, und erschwert somit ebenfalls das Ausnutzen von Sicherheitslücken. Die Motivation, den Passwort-Cracker John the Ripper zu entwickeln, war nach eigenen Aussagen vor allem die technische Herausforderung, es besser zu machen als die bereits existierenden Tools. Solar Designer ist einer der weltweit anerkannten Sicherheits-Experten. Das spiegelt nicht zuletzt auch der mit dem in der Szene typischen ironischen Unterton verliehene Pwnie-Award für sein Lebenswerk wieder. ... (ju)

Den vollständigen Artikel finden Sie in c't 3/2013.