Die Passwortknacker

Ein Blick hinter die Kulissen der Cracker

Wissen | Know-how

Nicht jeder Passwortknacker ist ein Krimineller – im Gegenteil. Die meisten sind sogar respektable Mitglieder der Security-Gemeinde. In eigenen Wettbewerben konkurrieren sie darin, immens komplexe Passwörter zu knacken. Ihre Motivation: Faszination an der Technik, sportlicher Ehrgeiz, das Training für professionelle Penetrationstests und oft sogar das Bemühen, die Welt ein bisschen besser zu machen.

Für die Nutzer von Online-Diensten wie LinkedIn, Last.fm oder der Dating-Plattform eHarmony war es unter Umständen der Verlust ihrer digitalen Persönlichkeit. Für Technikfreaks wie Jens „atom“ Steube sind es Schätze im Netz. Die Rede ist von den gestohlenen Nutzerdaten, die nach den Einbrüchen bei diesen Diensten im Internet kursierten. Die Szene spricht verharmlosend von „Leaks“; doch die Daten sind keineswegs irgendwie entfleucht – sie wurden gezielt geklaut.

Im Fall von LinkedIn veröffentlichte ein Unbekannter über sechs Millionen verschlüsselte Passwörter mit der Aufforderung, ihm doch beim Knacken zu helfen. Die Passwörter wurden zwar ohne die zugehörigen Nutzernamen und E-Mails veröffentlicht – aber man muss davon ausgehen, dass zumindest der ursprüngliche Poster diese Daten ebenfalls in seinem Besitz hat.

Doch Steube interessiert sich ohnehin nicht für die Namen oder E-Mail-Adressen. Sein Interesse gilt ausschließlich dem Knacken des Passworts – also aus dem veröffentlichten, kryptischen Hash-Wert das zugrunde liegende Kennwort zurückzugewinnen. Da die verwendeten Verfahren – die kryptografischen Hash-Funktionen wie MD5 und SHA1 – nicht umkehrbar sind, geht das nur durch Ausprobieren.

Das macht Steube keineswegs, um sich persönlich zu bereichern oder mit den gewonnenen Informationen digitale Identitäten zu rauben, sondern um der Herausforderung willen. Gelangt er ans Ziel, fördert er dabei auf den ersten Blick sichere Kennwörter wie „thatsthewayilikeitbabyidontwannaliveforever“ oder „qwertzuiopüasdfghjklöäyxcvbnm,.-“ zu Tage.

Im Hauptberuf ist der in München lebende Jens Steube Programmierer. „Mein Brotberuf hat so gut wie nichts mit IT-Sicherheit oder gar dem Passwortknacken zu tun“, erzählt er freimütig. Sein Interesse fürs Hash-Cracking wurde geweckt, als er eine praktische, lebensnahe Anwendung für den Einsatz von Grafikkarten für allgemeine Berechnungen suchte. Viele Aufgaben profitieren von der enormen Performance moderner 3D-Grafikkarten – man spricht von General Purpose Computation on Graphics Processing Units, kurz GPGPU.

„Ich will als Programmierer immer up to date sein. Also habe ich mich mit GPGPU befasst. Nachdem ich jedoch an den üblichen wissenschaftlichen oder wirtschaftlichen Anwendungen kein Interesse hatte, wandte ich mich dem Hash-Cracking zu“, erläutert der 34-Jährige seine Motivation. Ähnlich wie etwa Wetter- oder Börsen-Simulationen profitiert auch das Cracken von Passwörtern vom hohen Grad an Parallelität der Rechenoperationen, die ein moderner Grafikprozessor ermöglicht.

Eines der Resultate von Steubes Enagagement ist die Familie der populären Hashcracking-Tools Hashcat (CPU-basiert) und oclHashcat (GPU-basiert). Neben dem aus dem Unix-Umfeld stammenden Passwortcracker John the Ripper ist Hashcat mittlerweile das Standardwerkzeug von Hash-Knackern weltweit.

Alexander Peslyak, Autor des Open-Source-Cracking-Tools John the Ripper, ist eine der faszinierenden Gestalten der Security Community. Unter seinem Handle Solar Designer hat er in vielen Bereichen wertvolle Beiträge zur IT-Sicherheit geleistet. Bereits 1997 stellte er einen Patch für den Linux-Kern vor, der den Stack als nicht ausführbar markierte – also viele Jahre bevor dieser Schutz vor Buffer Overflows in Linux oder gar Windows Einzug hielt. Außerdem wird ihm die Erfindung der sogenannten Privilege Separation zugeschrieben. Sie beruht darauf, dass Systemdienste Rechte abgeben, die sie nicht mehr benötigen, und erschwert somit ebenfalls das Ausnutzen von Sicherheitslücken. Die Motivation, den Passwort-Cracker John the Ripper zu entwickeln, war nach eigenen Aussagen vor allem die technische Herausforderung, es besser zu machen als die bereits existierenden Tools. Solar Designer ist einer der weltweit anerkannten Sicherheits-Experten. Das spiegelt nicht zuletzt auch der mit dem in der Szene typischen ironischen Unterton verliehene Pwnie-Award für sein Lebenswerk wieder.

Die Crack-WM

Wie gut die Spezialisten mit ihren Werkzeugen umgehen können, beweisen sie regelmäßig bei verschiedenen, legalen Wettbewerben. Das seit 2010 jährlich im Rahmen der Hackerkonferenz Defcon in Las Vegas ausgetragene „Crack me if you can“ gilt als eine Art Weltmeisterschaft, bei der internationale Teams gegeneinander antreten. Organisator ist der IT-Sicherheitsdienstleister KoreLogic Security, Sieger in den Jahren 2010 und 2012: Team Hashcat.

„Das Team ist ein loser Verbund von Hashcat-Nutzern aus der ganzen Welt“, erklärt Steube. „Es besteht nur, um bei Wettbewerben wie ‚Crack me if you can’ mitzumischen“. Dabei beschränkt sich das Team nicht allein auf das namensgebende Tool, sondern hantiert unter anderem auch mit John the Ripper, dessen Autor nebst Fan-Gemeinde als „john-users“ natürlich ebenfalls am Start ist und 2012 nur denkbar knapp geschlagen wurde.

Zusammengefunden haben sich die Mannschaftsmitglieder von Team Hashcat vor einigen Jahren auf einer Webseite namens Hashkiller. Das dort gestartete Projekt Opencrack bot den Crackern aus unbekannten, wahrscheinlich dubiosen Quellen stammende Hash-Sammlungen, an denen sie sich versuchten. Die erfolgreichsten der Knacker, darunter Jens Steube, blieben in Kontakt und treten bei Wettbewerben gemeinsam an.

Teilweise findet die Mannschaft erst im Lauf des Wettstreits zusammen, wie beispielsweise beim letztjährigen Contest der russischen Hackerkonferenz Positive Hack Days: Einzelne Teammitglieder erfuhren erst fünf Stunden nach Start des Wettbewerbs, dass er überhaupt stattfindet. Trotz des späten Starts reichte es – nicht zuletzt durch die Optimierungen, die Steube seinem Tool oclHashcat-plus on-the-fly angedeihen ließ.

Der Ausrichter mischte unter die zu knackenden Codes nämlich überraschend PHPass- und DCC2-Hashes. PHPass ist ein Framework für das sichere Speichern von Passwörtern mit PHP, Domain Cached Credentials 2 ist ein fortgeschrittenes Hash-Verfahren, das Microsoft seit Windows Vista verwendet, um Zugangsdaten in der Registry abzulegen. In typischer Hackermanier improvisierte „atom“ passende Hash-Routinen für seinen Hash-Cracker und knackte damit dann Passwörter, die keiner sonst vorweisen konnte.

Jens Steube kann den Wettbewerben auch unabhängig vom Spaß am Knacken und der damit verbundenen Herausforderung Positives abgewinnen: Zum einen profitiere beispielsweise im Fall von „Crack me if you can“ der Veranstalter. Denn der Sicherheitsdienstleister KoreLogic fordert von den Teilnehmern das Offenlegen aller verwendeten Tools und auch der jeweiligen Finessen beim Einsatz dieser Werkzeuge. Auf diese Weise könne KoreLogic bei Penetrationstests mit fortgeschrittenen Techniken unsichere Passwörter der Mitarbeiter des Auftraggebers aufspüren. Letztendlich diene dies der Verbesserung der Passwortsicherheit, hofft Steube.

Im Endeffekt profitiere vom systematischen Passwortknacken auch die Allgemeinheit. Erst durch die Analyse großer Mengen echter Passwörter lassen sich deren typische Schwächen ermitteln und dann auch gezielt bekämpfen. Dabei stelle sich zum Beispiel mehr und mehr heraus, dass die typischen Vorgaben zu Gültigkeitsdauer, Länge und zum Verwenden von speziellen Zeichentypen nicht wirklich zielführend sind. Jens Steube selbst arbeitet deshalb an einer Bibliothek, die eine neue Generation von Passwort-Policies ermöglichen und schwieriger auszutricksen sein soll.

Auch außerhalb der Wettbewerbe setzt Steube seine Fähigkeiten konstruktiv ein. So hatte Kaspersky letztes Jahr die Crypto-Gemeinde um Hilfe beim Entschlüsseln des mysteriösen Gauss-Trojaners gebeten, der seinen wahren Zweck hartnäckig vor den Viren-Analysten verbirgt. Dazu enthält er einige verschlüsselte Code-Fragmente, die erst mit Informationen des Zielsystems entschlüsselt werden. Da das bisher nicht gefunden wurde, sind die Reverse-Engineering-Spezialisten aufs Raten angewiesen.

Über die Weihnachtsferien schrieb Steube deshalb ein Spezialprogramm namens oclGaussCrack, das die bisher eher stümperhaften Knackversuche um ein Vielfaches beschleunigt. Es kommt damit auf fast eine halbe Million Versuche pro Sekunde mit einer AMD Radeon HD 7970 und steht nun der Allgemeinheit als kostenloses Open-Source-Tool zur Verfügung. Kaspersky bedankte sich prompt bei Steube für einen „wesentlichen Meilenstein“ bei der Lösung des Gauss-Rätsels.

Trotz allem ist dem Entwickler natürlich bewusst, dass sein Werkzeug prinzipiell auch für Illegales verwendet werden kann. Im Fall der sämtlich mit Klarnamen, Alter und beruflicher Position bekannten Mitglieder von Team Hashcat ist sich Steube jedoch sicher, dass keiner einem zweifelhaften Nebenerwerb nachgeht. „Die meisten Vertreter der Hashcracking-Szene arbeiten als Pentester und können so Beruf und Hobby ideal vermischen“, verteidigt Steube sein Hobby.

Außerdem hält er nichts davon, Tools wie Hashcat unter Verschluss zu halten: „Was wir herausfinden, kann doch von jedem anderen Programmierer auch entdeckt werden. Von daher ist das Offenlegen des Wissens der bessere Weg. Denn so weiß jeder um Möglichkeiten sowie Schwächen und kann alarmieren beziehungsweise sein eigenes Verhalten anpassen.“

Grauschattierungen

Der oft geäußerte Vorwurf, Cracking-Tools wie Hashcat oder John the Ripper seien in Deutschland illegal, beruht im Übrigen auf einem Missverständnis. Zwar stellt der sogenannte Hacker-Paragraf 202c das „Vorbereiten des Ausspähens und Abfangens von Daten“ und dabei insbesondere Herstellung und Verbreitung von „Computerprogramme[n], deren Zweck die Begehung einer solchen Tat ist“ unter Strafe. Doch bereits 2009 stellte das Bundesverfassungsgericht in der Ablehnung einer diesbezüglichen Verfassungsbeschwerde klar, dass das Gesetz keine Programme betreffe, „deren funktionaler Zweck nicht eindeutig kriminell sei“. Insbesondere sogenannte Dual-use-Tools, die sich auch für legitime Zwecke nutzen ließen, fallen nicht darunter. Konkret geht es dem Gesetzgeber also darum, den Entwickler eines Trojaners verfolgen zu können. Selbst das BSI verteilte Sicherheits-CDs, die den Passwortknacker John the Ripper enthielten.

Die Linie zwischen Schwarz und Weiß verläuft beim Knacken von Passwörtern fließend. So stammen beispielsweise die täglich zu Tausenden auf Pastebin veröffentlichten Hashes oftmals aus illegalen Einbrüchen in Web-Server. Doch die Crackerszene schert sich nicht allzu sehr um diese fragwürdige Herkunft. Für sie sind diese Leaks große und kleine Goldadern und willkommenes Lehr- und Trainingsmaterial. So habe man „natürlich“ auch den LinkedIn-Leak unter die Lupe genommen und im Lauf der Zeit knapp 95 Prozent der über sechs Millionen Hashes knacken können, gesteht Steube ein. Nie sei es ihm dabei jedoch darum gegangen, sich Zugang zu irgendwelchen Konten zu verschaffen, versichert er im gleichen Atemzug – und das durchaus glaubhaft.

Bei der Cracker-Ethik gibt es aber sehr wohl Unterschiede. So veröffentlichen viele etwa ihre geknackten Hashes quasi als Beweis mit stolz geschwellter Brust in den einschlägigen Foren und machen sich so zu Gehilfen der Einbrecher. Verantwortungsbewusstere Cracker wie Steube oder sein amerikanischer Teamkollege Martin Bos, genannt „Pure Hate“, laden die von ihnen erfolgreich geknackten Hashes grundsätzlich nicht wieder in die Foren, aus denen die Leaks stammen. Man wolle sich weder finanziell an den geknackten Daten bereichern, noch den Cyber-Kriminellen das Leben erleichtern, erklärt der Sicherheitsberater beim US-Unternehmen Accuvant.

Höchstleistung

Einen Teil seiner Faszination bezieht das Passwortknacken aus der rohen Rechengewalt, die dabei zum Einsatz kommt. Die zum Knacken von Passwörtern verfügbare Rechenleistung explodierte in den letzten Jahren geradezu. Hauptursache dafür ist, dass der Grafikkartenhersteller Nvidia 2007 und später auch ATI (heute AMD) Programmierschnittstellen für ihre Chips anboten. Plötzlich stand auch Hobby-Crackern in ihren PCs Leistung von mehreren Teraflops zur Verfügung, die noch um die Jahrtausendwende Spezial-Clustern für über 100 Millionen Dollar vorbehalten war. Heute kommen als Programmierschnittstellen für die GPUs vor allem das offene OpenCL und Nvidias proprietäres CUDA zum Einsatz.

GPUs sind sehr gut geeignet, um sich ständig wiederholende Operationen mit ganzen Zahlen durchzuführen. Nachdem solche Operationen in der Kryptografie eine wichtige Rolle spielen, bietet sich GPGPU zum Hashcracking geradezu an. Insbesondere die AMD-GPUs erfreuen sich aufgrund ihrer hohen Leistung größter Beliebtheit. Eine einzelne „Tahiti-GPU“ (AMD Radeon HD 7970) beschleunigt etwa das Erzeugen eines MD5-Hashes um den Faktor 20 im Vergleich zu einer herkömmlichen CPU. Ihr im Vergleich zur Nvidia-Konkurrenz hohes Tempo rührt unter anderem daher, dass AMD spezielle Bit-Operationen wie „bitalign“ („rotate“) oder „BFI_INT“ („bitselect“) zugänglich macht, die gängige Krypto-Funktionen enorm beschleunigen. Auch Jens Steube knackt mit Hilfe von AMD-Karten. Er setzt auf zwei Radeon HD 6990, die beispielsweise 40 Milliarden Single-NTLM-Hashes (Windows-Passwörter) pro Sekunde testen können.

Doch das ist noch nichts Besonderes. Beinahe zehnmal so schnell ist ein Anfang Dezember im Rahmen der Konferenz Passwords^12 vorgestellter Cluster mit insgesamt 25 AMD-Karten verteilt auf fünf per Infiniband verbundenen Maschinen. Das Resultat: Eine speziell angepasste Hashcat-Variante bringt es auf beeindruckende 348 Milliarden NTLM-Hashes pro Sekunde. Für das Entschlüsseln eines acht Zeichen langen Windows-Passworts würde der Verbund somit zirka fünfeinhalb Stunden benötigen. Ein mit dem NTLM-Vorgänger LM gesichertes, 14 Zeichen langes Windows-XP-Kennwort entschlüsselt der Cluster in knapp sechs Minuten.

Wie wichtig angesichts solch schierer Hardware-Power ein entsprechend aufwendiger Hashing-Algorithmus ist, belegen weitere vom Cluster-Bauer Jeremi „epixoip“ Gosney veröffentlichte Benchmarks: Kommt bcrypt oder Sha512crypt zum Einsatz, kann der Cluster nur noch 71 000 beziehungsweise 364 000 Kombinationen pro Sekunde durchprobieren. Weitere Details dazu erklärt der Artikel ab Seite 88.

Die Ressourcen der Untergrund-Cracker sind für Außenstehende schwer abzuschätzen. Zwar verwenden sie die gleichen Tools wie die Hobbyisten, doch bei der eingesetzten Hardware gibt es viele Fragezeichen. Zumindest haben die kriminellen Banden da einen Joker in der Hinterhand: Es wäre problemlos möglich, Bot-Netze aus infizierten PCs für diesen Zweck einzusetzen. Mit einer durchschnittlichen Rechenleistung von 100 Mhash/s könnte ein aus 100 000 Zombies bestehendes Botnetz den MD5-Hash eines komplexen, zehnstelligen Passworts in knapp drei Wochen knacken. Doch während etwa dezentrales BitCoin-Mining zu den Standard-Funktionen gängiger Bot-Netz-Baukästen gehört, haben spezielle Passwort-Knack-Module für Bot-Netze zumindest noch keine große Verbreitung gefunden.

Das Ziel der Kriminellen ist es ohnehin nicht, alle noch so komplexen Passwörter einer geklauten Login-Datenbank zu entschlüsseln. Angesichts der Riesenmengen an kursierenden Zugangsdaten haben sie mehr als ausreichend damit zu tun, die niedrig hängenden Früchte zu Geld zu machen. Dabei nutzen sie vor allem die Tatsache, dass Passwörter häufig wiederverwendet werden. Die Gauner testen also erbeutete Passwörter auch gleich beim E-Mail-Provider und einer Reihe von populären Diensten wie Facebook oder Paypal, bei denen man sich mit der E-Mail-Adresse anmelden kann. Der Aufwand, auch die letzten 30 Prozent der Passwörter noch zu knacken, lohnt sich für sie kaum.

Eine weitere unbekannte Größe sind natürlich Geheimdienste – allen voran die US-amerikanische NSA. Von der kann man jedoch getrost annehmen, dass ihre Ressourcen alles in den Schatten stellen, was ambitionierte Hobby-Cracker, Industrie und Forschung aufbringen können.

Die Macht des Worts

Doch nicht nur die Hardware, auch die eingesetzte Software hat sich in den letzten Jahren deutlich verbessert – mit dem Resultat, dass heutzutage selbst scheinbar sichere Passwörter wie „poIU09*&l1nk3d1n“ geknackt werden.

Fast alle Angriffe beruhen mittlerweile auf Wörterbüchern. Ausgangsbasis für ein Cracker-Wörterbuch ist jeweils ein herkömmliches Wörterbuch wie der Duden; im Netz finden sich Wortsammlungen aller möglichen Sprachen. Nach und nach werden die Einträge von den Passwort-Freaks durch de facto geknackte Passwörter ergänzt beziehungsweise ersetzt. Daher sind Hash-Leaks wie der von LinkedIn so wertvoll für die Cracker. Ein besonderer Glücksfall für die Szene war der Hack der Nutzerdatenbank von RockYou Ende 2009. Stolze 32 Millionen Einträge mit Nutzerdaten standen zur Verfügung. Das Besondere: Die Passwörter waren nicht verschlüsselt, es galt also keine Hash-Werte zu knacken. Vielmehr wanderte die riesige Sammlung im Klartext in die Wörterbücher von legalen und illegalen Hackern.

Steubes eigene Wörterbücher umfassen derzeit zirka 110 Millionen Wörter – seiner Einschätzung nach eine vergleichsweise bescheidene Sammlung. Aber die Liste ist auch nur der Ausgangspunkt für die viel ausgefeilteren Angriffe, auf deren Konto die Mehrzahl der geknackten, echten Passwörter gehen. Die klassische Wörterbuchattacke, bei der ein Tool wie John the Ripper jeden Eintrag einzeln und unverändert gegen den jeweiligen Hashwert des Passworts testet, wird dabei nur noch zur Initialisierung der eigentlich relevanten Knackroutinen benötigt.

In der Folge kommen dann zunächst einmal statische Regeln zum Einsatz, die die Passwörter systematisch modifizieren. Sie werden in einer Art simplen Programmiersprache definiert und stellen gängige, von Menschen genutzte „Passwort-Verbesserungen“ nach: Ersetze Groß- durch Kleinbuchstaben, schreibe Wörter rückwärts und hänge bestimmte Zahlen an. Spezielle l337-Speak-Regeln sorgen dafür, dass „l1nk3d1n“ kaum mehr Sicherheit bietet als das Original „LinkedIn“.

Nachdem auch diese Passwort-Variationen durchgenudelt wurden, sind meist schon einige Passwörter geknackt. Die werden dann analysiert, um weitere Durchläufe zu verfeinern und zu beschleunigen. Diese Analyse verrät übrigens auch oft die Quelle der Daten. Beim Leak der 15 Millionen Last.fm-Hashes stach schon nach kurzer Zeit der Substring „lastfm“ besonders heraus. Nachdem das einmal erkannt war, wurden spezielle Crack-Läufe gestartet, die dieses Muster auf alle denkbaren Arten variierten. In der Folge wurden selbst Passwörter wie „z3r0c00l@Last.fm“ geknackt. Insgesamt tauchte die Zeichenkette in über 43 000 Passwörtern in der einen oder anderen Form auf.

Das Grundproblem von Passwörtern ist, dass Menschen Muster brauchen, um sich Zeichenketten einzuprägen. Und genau diese Muster kennen die Cracker besser als die Menschen, die sie teilweise auch unbewusst benutzen. Oft schleichen sie sich durch Gewöhnung ein – etwa weil man sie häufig gesehen oder getippt hat. Zeichenkombinationen wie :-), xD und <3 haben deshalb längst ihren Weg in die Regelsätze der Cracker gefunden.

Auch einfache Modifikationen von Wörtern bieten kaum zusätzlichen Schutz. Alle denkbaren Schemata, ein Wort abzuwandeln, lassen sich in Cracking-Regeln gießen und dann automatisiert abarbeiten. Spezielle Tools helfen den Crackern dabei, aus Passwort-Leaks neue Muster und Regeln zu extrahieren. „Von Menschen erdachte Kennwörter zeigen immer Muster, die sich mit unseren Analysetools ausmachen lassen“, erklärt Steube fast schon ein wenig stolz. Einige dieser Tools stellt der folgende Artikel genauer vor. (ju)

Artikel kostenlos herunterladen

Kommentare

Kommentare lesen (66 Beiträge)

Anzeige