Nichts ist sicher
14.08.2015, 09:21 Uhr
Wie Profis an fremde Passwörter kommen
Mit den Tools von Elcomsoft kann jedermann zum Hobby-Hacker werden: Vor den Programmen sind laut Firmenangaben weder der Blackberry Password Keeper, noch 1Password oder die iCloud sicher.
Der russische Hersteller von forensischen Tools Elcomsoft kann nach eigener Aussage einige Erfolge beim Knacken von Passwort-Containern vorweisen. So soll es dem Unternehmen gelungen sein, die im Blackberry Password Keeper gespeicherten Daten auszulesen.
Laut Elcomsoft schützt Blackberry die Kennwortverwaltung mit einem Escrow-Key, der auf dem Gerät lokal gespeichert sei. Er enthalte alle benötigten Informationen, um die Passwortdatenbank „auf Befehl einer autorisierten Quelle“ freizuschalten. Elcomsoft kann diesen Escrow-Key nun nach eigener Aussage auslesen und sich so Zugriff zu den vermeintlich sicheren Passwörtern verschaffen. Voraussetzung ist allerdings, dass das Unternehmen einen direkten Zugriff zu dem Blackberry-Smartphone bekommt. Alternativ reiche aber auch ein Online-Backup, das viele Nutzer anlegen. Obwohl diese Sicherungen in der Regel verschlüsselt seien, könnten sie von Elcomsoft entschlüsselt werden.
Die russischen Spezialisten haben nach eigener Aussage auch einen Weg gefunden, den Passwort-Container 1Password zu knacken. Der Angriff basiere darauf, dass viele Anwender ihre Passwortdatenbanken mittlerweile bei Diensten wie Dropbox & Co. ablegen. Dort können sie zum Beispiel von Ermittlungsbehörden kopiert und anschliessend mit Elcomsoft-Werkzeugen per Brute Force geknackt werden, schreibt das Unternehmen.
Harmloser Schlüsseldienst?
Auch die iCloud scheint nicht mehr sicher vor Elcomsoft zu sein. Zumindest behauptet das Unternehmen, einen Weg gefunden zu haben, wie es sich Zugriff zu den in der verbreiteten Apple-Cloud gespeicherten Daten verschaffen kann. Dazu verwendet das Unternehmen ein Authentifizierungs-Token, das Apple zum Beispiel auf mit der iCloud verknüpften Notebooks ablegt. „Direkt über die Bedienoberfläche kann auf Knopfdruck von einem entsprechenden Gerät das Authentifizierungs-Token ausgelesen und sogleich verwendet werden“, schreibt Elcomsoft.
Die Programme des Unternehmens richten sich an Strafverfolgungsbehörden, es gibt aber auch eingeschränkte Varianten für Privatanwender und Unternehmen. Bereits ab 79 Euro kann jedermann zum Hobby-Hacker werden. Elcomsoft selbst vergleicht sich mit einem harmlosen Schlüsseldienst: „So wie jedermann in der analogen Welt einen Schlüsseldienst rufen kann, um wieder in seine Wohnung zu gelangen, stellt Elcomsoft Administratoren digitale Nachschlüssel zur Verfügung, mit denen sie wieder an die Daten ihres Unternehmens auf den unternehmenseigenen PCs gelangen können, sollte das Passwort einmal verloren sein“, schreibt Vladimir Katalov, der CEO von Elcomsoft, auf der Webseite des Unternehmens.