c't 18/2017
S. 29
News
Security

Geknackte Passwörter suchen

Taucht ein Passwort nicht in dem Datensatz auf, bedeutet diese nicht automatisch, dass es sicher ist.

Der unabhängige Sicherheitsforscher Troy Hunt hat seinen Online-Dienst HaveIBeenPwned erweitert: Ab sofort kann man dort nicht nur geknackte Benutzernamen und Mailadressen ausfindig machen, sondern auch testen, ob ein bestimmtes Passwort (Klartext und SHA-1-Hash) bereits „verbrannt“ ist. Welche Nutzerkonten zu dem Passwort gehören, ist nicht ersichtlich. Sicherer ist es in jedem Fall, ein Kennwort nicht online zu prüfen, sondern sich das Archiv herunterzuladen. Dem Dienst liegt momentan ein Datensatz von 306 Millionen Passwörtern aus diversen Lecks zu Grunde. Da Angreifer diese als Erstes ausprobieren, sollte man kompromittierte Passwörter nicht mehr verwenden. (fab@ct.de)

Krypto-Krimi um Junipers Hintertür

Ein Team von Kryptoforschern belegt, dass der Netzwerkausrüster Juniper nicht nur die Sicherheit seiner Kunden durch eine Hintertür in ScreenOS gefährdete, sondern in der Angelegenheit nicht einmal die halbe Wahrheit erzählt hat. Der US-Kryptoexperte Stephen Checkoway analysierte gemeinsam mit Kollegen von vier Unis akribisch die Krypto-Funktionen der ScreenOS-Firmware-Images der vergangenen Jahre.

In einem mehrfach ausgezeichneten Paper dokumentieren Checkoway et al., dass und wie Juniper bereits 2008 eine Hintertür in sein Betriebssystem eingebaut hatte (siehe ct.de/yvdp). Wer einen internen Parameter des Zufallszahlengenerators kannte, konnte den gesamten VPN-Traffic der Juniper-Geräte entschlüsseln. Der Hacker, der sich 2012 Zugang zum Quellcode verschaffte, musste folglich nur noch diesen Parameter austauschen, um zukünftig selbst VPN-Traffic entschlüsseln und mitlesen zu können. Er tauschte damit sozusagen das Schloss an der von Juniper selbst angebrachten Hintertür aus, um die „Nobody but us“-Hintertür für seine eigenen Zwecke zu nutzen.

Erst 2015 beseitigte der Netzwerkausrüster mit einem eiligen Patch dieses klaffende Sicherheitsloch in seiner NetScreen-Plattform. (Monika Ermert/ju@ct.de)

Kommentieren