Menü
Security

Lehren aus dem Twitter-Hack

Von
vorlesen Drucken Kommentare lesen 259 Beiträge

Ein 18-jähriger Student mit dem Pseudonym GMZ hat in einem Interview mit Wired die Verantwortung für den jüngsten Twitter-Hack übernommen. Dort erklärt er auch, wie es gelungen ist, die Accounts von Obama, Britney Spears, Fox News und anderen zu missbrauchen. Der Einbruch gelang über ein schwaches Passwort eines administrativen Accounts.

GMZ setzte ein selbstgeschriebenes Skript auf Twitter-Zugänge an, das die Wörter eines englischen Wörterbuchs durchprobierte. Bei der populären Twitter-Nutzerin Crystal wurde es mit dem Passwort "happiness" fündig. Erst nachdem er sich als Crystal angemeldet hatte, stellte er fest, dass sie offenbar zu Twitters Support-Team gehörte und er damit Zugang zu den Administrations-Tools hatte. Über den Passwort-Reset-Mechanismus konnte er sich dann Zugang zu beliebigen Accounts verschaffen.

Da GMZ die Sache offenbar zu heiß wurde, entschied er sich, das nicht selbst auszunutzen. Stattdessen bot er in einem Forum an, auf Anfrage Zugangsdaten zu Twitter-Accounts zu versenden. So gelangten dann unter anderem die Zugangsdaten der Accounts von Barack Obama, Britney Spears, Facebook, CBS News, Fox News und Rick Sanchez in fremde Hände.

Natürlich kann man Crystal den schwarzen Peter zuschieben, dass sie ein zu einfaches Passwort gewählt hat. Doch die Erfahrung mit Passwortknackprogrammen lehrt, dass man im Schnitt unter hundert Accounts immer ein paar einfache Passwörter findet – zumindest solange es keine technischen Maßnahmen gibt, die eine gewisse Komplexität erzwingen. Und das kommt bei Diensten, die ein Massenpublikum erreichen wollen, nicht gut an.

Doch auch einfache Passwörter können ausreichend schützen, wenn der Angreifer nicht auf einfachem Weg sehr viele davon durchprobieren kann. Die EC-Karten-PIN etwa besteht nur aus vier Ziffern und gilt trotzdem als ausreichend sicher, weil die Karte nach drei Fehlversuchen eingezogen wird. Das grundsätzliche Problem war folglich eher, dass in den Login-Vorgang bei Twitter keinerlei Mechanismus eingebaut war, der auf wiederholt fehlgeschlagene Anmeldeversuche reagiert. So konnte das Skript sehr schnell und vor allem unbemerkt große Mengen an Passwörtern durchprobieren.

Das klingt im ersten Moment nach einem Einzelfall von Fahrlässigkeit. Doch bei genauerem Hinsehen stellt man fest, dass sehr viele Web-Dienste davon betroffen sind. Denn während es sehr einfach ist, beispielsweise den Login-Vorgang an einem Desktop zu verzögern, ergeben sich daraus bei Systemen, die darauf optimiert sind, sehr viele Anfragen sehr schnell abzuarbeiten, in der Praxis viele Probleme. Wer also einen von außen zugänglichen Dienst mit Login anbietet, tut gut daran, sich jetzt Gedanken darüber zu machen, ob er gegen einen solchen einfachen Wörterbuchangriff wirklich ausreichend geschützt ist.

Siehe dazu auch:

(ju)