10.09.2012 15:58
Fingerabdruck-Software verrät Passwort
Wer sich an einem Notebook mit Fingerabdruckscanner per Fingerzeig anmeldet, hat unter Umständen ein Sicherheitsproblem: Zumindest bei den weit verbreiteten UPEK-Scannern kann jeder, der Zugang zur Registry hat, alle Windows-Passwörter auslesen und zur Anmeldung nutzen. Dies berichten die Krypto-Experten von ElcomSoft in ihrem Blog.
Der UPEK Protector Suite sollte man sein Windows-Passwort derzeit besser nicht anvertrauen.
Die Protector Suite war offenbar lange Zeit auf Notebooks vorinstalliert, die mit einem Fingerabdrucksensor des Zulieferers UPEK ausgestattet sind. Laut einer inzwischen von der Homepage des Zulieferers gelöschten Liste haben sämtliche namhaften Notebook-Hersteller Geräte mit UPEK-Sensoren bestückt. Darüber hinaus wird das Programm auch einzeln verkauft.
Die Protector Suite speichert das Windows-Passwort des Nutzers in der Registry, wenn er den Login per Fingerabdruck aktiviert. Die Passwörter sind zwar AES-verschlüsselt, die Verschlüsselung wurde offenbar jedoch fehlerhaft implementiert: ElcomSoft hat einen Weg gefunden, den zur Verschlüsselung genutzten, geheimen AES-Schlüssel zu rekonstruieren. Anscheinend ist dieser stets gleich.
Ein von ElcomSoft entwickeltes Tool extrahiert die Klartext-Passwörter aller Nutzer aus der Registry.
Zu Demonstrationszwecken haben uns die Krypto-Forscher ein Kommandozeilentool geschickt, das die ersten drei Zeichen der Kennwörter aller Nutzer anzeigt, die das Windows-Login zuvor aktiviert hatten. Hat ein Angreifer Zugang zu einem Windows-System, kann er ohnehin alle unverschlüsselten Daten auslesen und auch die Windows-Kennwörter ändern, um sich Zugang zum Account eines Anwenders zu verschaffen. Allerdings hat er dabei keinen Zugriff auf verschlüsselte Daten, die etwa durch die NTFS-Dateiverschlüsselung Encrypting File System (EFS) geschützt sind. Für deren Entschlüsselung ist das Windows-Passwort des Anwenders erforderlich. Derartige Spionage lässt sich etwa durch eine Vollverschlüsselung des Systems mit BitLocker oder TrueCrypt verhindern.
ElcomSoft empfiehlt, die Login-Funktion zu deaktivieren, wodurch das in der Registry gespeicherte Passwort gelöscht werden soll. Bei uns führte das jedoch nicht zum gewünschten Erfolg. Selbst nach dem Ändern des Windows-Passworts konnten wir es in der aktuellen Version mit dem Tool auslesen. Erst die vollständige Deinstallation der Treibersoftware schaffte Abhilfe.
UPEKs Mutterfirma AuthenTec bestätigte das Problem gegenüber heise Security und gab an, im Laufe dieser Woche eine Version zum Download anbieten zu wollen, die den geheimen Schlüssel mit einem gehärteten Algorithmus generiert.
(rei)
Ein Einstieg in die Analyse des Blackberry Z10 und des neuen Blackberry OS. 
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Ganze zwölf Sicherheitslücken soll die neue Quicktime-Version für Windows beseitigen - allesamt kritischer Natur. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
