Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

27.08.1999 - 

Computerknacker im Dienst der Sicherheit

Advance Bank unterzog ihre Systeme dem Härtetest durch Hacker

"Penetrationstest" klingt unanständig, ist aber ein Sicherheitscheck. Ihn führen DV-Spezialisten aus, die in die Rolle von Hackern schlüpfen. Auch die Advance Bank, München, beauftragte solche Hackerprofis mit der Überprüfung ihrer vernetzen Systeme. Klaus Schmeh* berichtet.

"Crack" arbeitet auf Hochtouren: "Guessed SchmidtF" lautet die vorläufig letzte Ausgabe des Prüfprogramms, ergänzt mit dem Hinweis "[FCBayern]". Crack zeigt an, daß es das Paßwort des Mitarbeiters Frank Schmidt erkannt hat. Der FC Bayern ist offenbar Schmidts Lieblingsverein und der Begriff, den er als Paßwort gewählt hat, um Zugang zu seinem Arbeitsplatzrechner zu erhalten.

Das Ausspionieren von Paßwörtern mit Hilfe einer Software wie Crack oder "L0phtcrack" von L0pht Heavy Industries ist auch in Hacker-Kreisen beliebt. Diese Technik ist immmer dann anwendbar, wenn der Hacker bereits Zugang zu verschlüsselten Paßwortlisten hat.

Die Software wird mit dem Inhalt ganzer Wörterbücher gefüttert. Fachbegriffe aus der Computerwelt müssen genauso enthalten sein wie einfache Buchstabenkombinationen (etwa "qwertz") oder Vornamen. Fußballvereine wie der FC Bayern dürfen nicht fehlen, schließlich sind sie als Paßwörter besonders beliebt. Jedes einzelne Wort wird verschlüsselt und mit den verschlüsselten Paßwörtern auf der Liste verglichen. Stimmen zwei Wörter überein, ist das Paßwort entdeckt.

Durch leichte Änderungen der Schreibweise läßt sich Hacker-Software nicht täuschen. Jedes Wort wird von der Software nach vorher festgelegten Regeln in zahlreichen Varianten durcheinandergewürfelt. Bayern-Fan Schmidt hätte daher auch mit "fcbayern", "FCBAYERN" oder gar mit "nreyabcf" keine Chance gehabt.

Das Paßwort-Entschlüsseln ist nur eine Methode, die legale Hacker-Teams verwenden. Mit Spezial-Werkzeugen, zu denen auch die Freeware "Satan" und "Internet Scanner" von Internet Security Systems zählt, testen sie, ob ein vernetzter Computer Dienste anbietet, die bekannte Sicherheitsmängel aufweisen. Sie überprüfen, wie bereitwillig der Rechner Auskunft über sich selbst gibt und ob sich mit falschen Eingaben etwa unvorhergesehene Aktionen starten lassen.

Berüchtigt ist etwa die Software "Sendmail", eine Art Vermittlungsstelle für E-Mails. Das Tool schiebt Dateien hin und her. Verschiedene Sicherheitslücken haben dazu geführt, daß in manchen Sendmail-Versionen das Verschieben und Überschreiben von Dateien möglich ist, die eigentlich nur für Administratoren zugänglich sein sollten. Auf diese Weise läßt sich selbst die Datei mit den verschlüsselten Paßwörtern durch eine eigene ersetzen.

Derartige Schwächen könnten nach der Entdeckung zumeist schnell behoben werden. Doch oft versäumen es die Admi- nistratoren, die neueste Softwareversion zu installieren und eine sichere Konfigurationen zu wählen.

Im Frühjahr 1997 ließ die Advance Bank die Secunet AG Hackerangriffe starten. Der erste Test fand vor dem ersten Internet-Auftritt der Bank statt, der zweite danach. Die Überprüfung orientierte sich an den Information Technology Security Evaluation Criteria (Itsec), die von der Europäischen Union festgelegt werden. Da rund 70 Prozent aller Hacker-Angriffe intern stattfinden, gingen die Auftragshacker von innen nach außen vor.

Eine der Schwachstellen fand sich in der Schnittstelle zwischen Entwicklungs- und Produktionsumgebung. Für interne und externe Entwickler wäre es möglich gewesen, in das operative Geschäft der Bank einzugreifen. Größere Mängel jedoch ließen sich nicht feststellen. So hat es bisher in Sachen Sicherheit noch keine Zwischenfälle gegeben.