Stratfor-Hack
04.01.2012, 14:05 Uhr
Einfache Passwörter erleichtern Datenklau
Nach dem Stratfor-Hack durch Anonymous untersuchen Forscher nun die geklauten Daten. Erschreckend wieder einmal ist dabei die Einfachheit der gewählten Passwörter.
An der Utah Valley University sind derzeit 120 Computer daran, die verschlüsselten Passwörter aus dem Datenklau bei Stratfor Global Intelligence zu dechiffrieren. Über Weihnachten hatte die Hackergruppe Anonymous Namen, Kreditkartennummern sowie E-Mail-Adressen und Passwörter von tausenden Abonnenten des in Texas beheimateten Think Tank veröffentlicht. Dem Datenklau sind auch zahlreiche hochkarätige Schweizer Personen zum Opfer gefallen. Diese stammten unter anderen aus Diplomaten- und Regierungskreisen sowie aus der Finanzindustrie. Während die vielen Kreditkartennummern - viele von ihnen waren veraltet - höchstens Cyberkriminellen für kurze Zeit von Nutzen sein werden, sind die veröffentlichten Passwörter wesentlich sensibler. Könnten doch mit deren Hilfe sehr gezielte Cyberattacken auf internationale Firmen und Staaten gestartet werden. Umso schockierender sind denn die ersten Ergebnisse der US-Foscher, die von zum Teil sehr simplen Passwörtern sprechen. Diese liegen zwar nicht als Klartext vor, sondern als MD5-Hash. Trotzdem sind auch so verschlüsselte Wörter schneller geknackt, wenn sie einfacher Natur sind. Lesen Sie auf der nächsten Seite: So werden die Passwörter entschlüsselt Wie Kevin Young von der Utah Valley University ausführt, habe man schon gegen 160'000 Passwörter entschlüsseln können. Darunter seien diverse Losungen von Leuten wie etwa aus dem US-Militär, «die es besser wissen sollten» und von denen erwartet wird, dass sie nicht so einfach zu knackende Passwörter verwenden. Young verwendet für seine Analysen das bekannte Cracking-Tool «John the Ripper», das auf einem regulären PC betrieben werden kann, und «Oclhashcat», ein Programm, das die höhere Rechenleistung von Grafik-Prozessoren nutzt. Laut Young könnten so 62 Milliarden Passwortkombinationen pro Sekunde erzeugt und ausprobiert werden. Daneben verwendete Young Passwörter von früheren Hacks wie jene gegen Sony (17'000 Passwörter), Rockyou (14 Millionen), PHPBB (278'000) und MySpace (36'000). Dabei stellte sich heraus, dass viele Passwörter viel zu einfach gewählt wurden oder sogar aus genannten Listen wiederverwendet werden konnten. Als Beispiele nannte Young «jasper10», «swordfish» oder «green101». Staaten oder andere hochkarätige Organisationen könnten somit die Passwörter in kurzer Zeit knacken, warnt Young. «Meine 120 Computer sind nichts gegen die Rechenleistung, die eine Nasa, China oder Nordkorea in kürzester Zeit aufbieten könnte», gibt er zu bedenken.
