Ophcrack Live-CD 2012
Kein umfassendes Sicherheits-Live-System für Analysen und Checks, sondern ein Spezialist für das Entschlüsseln von Windows-Passwörtern ist die Ophcrack Live CD. Es eignet sich somit ideal für Windows-Anwender, die sich selbst ausgesperrt haben, beispielsweise weil ihnen nach einem längeren Urlaubsaufenthalt nicht mehr das Windows-Passwort für ihren heimischen PC einfällt. Da man für den Einsatz dieses Systems direkt vor dem PC sitzen muss und damit keinen heimlichen Angriff per Fernzugriff/Internet durchführen kann, ist Ophcrack Live CD für einen versteckten bösartigen Angriff eher ungeeignet.
Ophcrack ist eine Kombination mehrerer Komponenten: Ophcrack ist ein bekannter Cracker für Hash-Werte (Checksummen) von Windows-Kennwörtern und macht sich dabei Rainbow-Tables zu nutze. Das Live-System nutzt Linux, um den Passwort-Cracker von CD beziehungsweise USB-Stick zu laden. Mit einem integrierten NTFS-Treiber greift das Live-System dann auf die System-Partition von Windows zu und liest aus der Registry die Passwort-Hashes der SAM-Datenbank. Anschließend kann Ophcrack mit dem Entschlüsseln beginnen, was bei schwachen Passwörtern meist nur wenige Sekunden dauert. Sollte das bei Ihnen der Fall sein, so sollten Sie unbedingt Ihr bisheriges Windows-Passwort gegen ein neues, sichereres austauschen.
Die Ophcrack LiveCD fasst alle benötigten Komponenten in ein einfach zu bedienendes Live-System zusammen, das zwar englischsprachig ist, aber weitgehend intuitiv zu bedienen ist. Praktisch ist diese Kombination wie bereits erwähnt, um bei vergessenen Windows-Passwörtern wieder Zugang zum eigenen Rechner zu bekommen, oder um die Qualität und Komplexität der vergebenen Passwörter zu testen. Auch weniger erfahrene Anwender dürften mit der Ophcrack Live-CD gut klar kommen.
Rainbowtables gegen Passwort-Hashes
Ein Hash-Wert ist die Umwandlung einer Zeichenkette in einen eindeutigen Wert als Checksumme, deren Wert eine festgelegte Länge aufweist. Bei der Eingabe eines Passwort ist damit schnell und einfach ein Vergleich möglich, ob das Passwort stimmt, ohne dabei das Kennwort selbst im Klartext speichern zu müssen. Windows speichert alle Benutzerpasswörter als Hash-Wert im Security Accounts Manager (SAM) in der Registry. Hier kommt nun Ophcrack ins Spiel.
Das Programm versucht zunächst, die SAM-Weerte aus der Registry zu lesen und die Passwort-Hashes zu extrahieren. Ist dieser Schritt gelungen, kommen Rainbow-Tables zum Einsatz, um aus dem Einweg-Hash wieder das zugrunde liegende Passwort zu errechnen. Anstatt alle möglichen Hash-Werte zu errechnen und zu testen, werden die Werte zu jeder Passwortvariante nur einmal errechnet und in einer riesigen Liste gespeichert. Diese wäre aber wegen der unzähligen Kombinationen etliche Terabyte groß. Deshalb reduzieren Rainbow-Tables jeden bekannten Hash-Werte zu einem kürzeren Wert, der wieder reduziert wird und so weiter. Damit verkürzen die Rainbow-Tables die benötigte Rechenzeit auf einen Bruchteil der sonst nötigen Zeit.
Der zum Passwort errechnete Hash-Wert gibt nun vor, in welchem Teil der Tabelle nachgesehen werden muss. So sind letztlich nur noch einige Millionen Varianten auszuprobieren. Rainbow-Tables gibt es für verschiedene Systeme und in unterschiedlichen Qualitäten. Für Windows XP sind beispielsweise andere Tables notwendig als für Windows Vista und Windows 7. Die in der Ophcrack Live-CD enthaltenen Tables sind vergleichsweise klein und eigenen sich deshalb nur für alphanumerische Passwörter, die nicht zu lang sein dürfen. Das Live-System eignet sich deshalb vortrefflich, um die Sicherheit der verwendeten Windows-Passwörter einem Praxistest zu unterziehen. Das Knacken dauert – je nach Komplexität des Passworts und Leistungsfähigkeit des PCs – nur Sekunden bis zu Minuten auf langsamen PCs.
Ophcrack in Aktion
Vor dem Start bietet das Live-System ein schickes Bootmenü. Die Sorglos-Startoption ist „Automatik“ bei der Ophcrack nahezu alles im Alleingang erledigt und jeden Schritt von der Erkennung der Windows-Partition bis zum Entschlüsseln der Passwörter ohne jedes Zutun erledigt.
Empfehlenswert ist allerdings die Startoption „Manual“, denn hier können Sie die gewünschte Tastaturbelegung selbst auswählen. Das Live-System selbst nutzt das Mini-Linux Slitaz 4.0 als Grundlage und präsentiert nach dem Start einen unkomplizierten Desktop. Das Knackprogramm Ophcrack wird automatisch gestartet und die Entschlüsselung startet ohne weiteres Zutun.
In der angezeigten Liste der gefunden Windows-Konten sehen Sie bei erfolgreichem Abschluss die zugehörigen Passwörter. Daneben sind noch einige andere Programme auf der CD, etwa der schlanke Web-Browser Midori, ein PDF-Betrachter sowie als Extra der Partitionierer Gparted in der Version 0.10.
Für die Konfiguration von Systemkomponenten bringt das Live-System eine ungewöhnliche Oberfläche mit: Die Systemkonfiguration erfolgt über den Browser. Um beispielsweise die Netzwerkschnittstelle oder eine WLAN-Verbindung zu konfigurieren, klicken Sie rechts oben in die Leiste auf das Stecker-Symbol und dann auf „Einstellungen“. Es startet der Webbrowser, wo Sie als Name und Passwort jeweils „root“ eingeben. Anschließend können Sie das Netzwerk konfigurieren.
Download und Hardwareanforderungen
Die Hardwarevoraussetzungen des Live-Systems sind überschaubar, da hier ein extrem kleines Linux-System als Basis zum Einsatz kommt. Der Hauptspeicher darf für die Rainbow-Tables allerdings nicht zu knapp sein, da diese in den Speicher geladen werden. Das Minimum an Speicher, mit dem Ophcrack noch funktioniert, ist 512 MB. Anders als die restlichen vier vorgestellten Sicherheits-DVDs ist Ophcrack ein reines Live-System, um den Passwort-Cracker unabhängig vom installierten Windows zu starten - eine Installation ist deshalb nicht vorgesehen.
Als Download steht die Ophcrack Live-CD in zwei Varianten bereit: Einmal mit Rainbow-Tables speziell für Windows XP und in einer weiteren Version für Windows Vista/Win7. Die Downloadgröße beträgt für die XP-Version 430 MB und für Vista/7 rund 505 MB. Es ist möglich, die Systeme mit Hilfe von Unetbootin auf einen USB-Stick zu transferieren, um den PC damit zu starten. Leider kommt das zugrunde liegende Linux-System Slitaz 4.0 mit aktueller Hardware nicht gut klar und verweigert auf neuen Notebooks mit Intel Sandy Bridge und Ivy Bridge den Dienst.
Fazit: Verbessert die Windows-Sicherheit, ist aber nicht allmächtig
Wer das Passwort zum Windows-Rechner vergessen hat, sollte in jedem Fall erst mal Ophcrack ausprobieren, da der damit verbundene Aufwand erstaunlich niedrig ist: CD einlegen oder USB-Stick anschließen, PC booten, fertig. Dieser Test lohnt sich in jedem Fall, denn alle anderen Wege, ein Windows-Passwort zurück zu setzen, sind deutlich aufwändiger.
Natürlich ist aber auch Ophcrack keine Allzweckwaffe, denn die mitgelieferten Rainbow-Tables sind wirklich nur für kurze, alphanumerische Passwörter gedacht. In unseren Tests gelang Ophcrack die Entschlüsselung eines Passworts aus Zahlen und Buchstaben mit sechs Zeichen Länge in wenigen Sekunden. Vor einem 10-stelligen Passwort nur aus Buchstaben musste Ophcrack dagegen kapitulierten. Dieser Check ist also auch recht praktisch, um die Sicherheit des eigenen Passworts zu testen: Hat Ophcrack Erfolg, so kann das Passwort nicht viel taugen. Das eine oder andere Sonderzeichen wäre dann sicherlich nicht verkehrt.
Erschwingliche PCs bieten heute immense Rechenleistung und Ophcrack zeigt mit den Rainbow-Tables ein grundsätzliches Problem von unsicheren Passwörtern. Es ist möglich, schwache Kennwörter rasch zu entschlüsseln, wenn der Hash-Wert oder sogar nur Teile davon vorliegen. Das Problem besteht nicht nur bei Windows, zumal auch Online-Passwörter einem Angriff über Rainbow-Tables ausgesetzt sein können, wie der Diebstahl der Passwort-Hashes von LinkedIn und Last.fm im Juni 2012 zeigte .