Während einer Präsentation in Las Vegas zeigte Bursztein, wie sich ein Laptop-Dieb den Zugang zu Passwörtern verschaffen kann, etwa für Web-Accounts von beispielsweise Amazon, Google, Yahoo, Facebook oder anderen. Eigentlich sollten solche Passwörter durch die in Windows integrierte Verschlüsselung geschützt sein.
Doch Bursztein und sein Team zeigten, wie sich das Betriebssystem austricksen lässt. Über die Schwachstelle könne ein Laptop-Dieb, Passwörter ausschnüffeln, die im Webbrowser gespeichert sind oder in Programmen wie dem Instant-Messenger-Client.
“Es geht nicht um die Daten auf dem Computer, sondern um alles, was man in der Cloud gespeichert hat, also den Facebook-Account, den Google-Mail-Account und so weiter”, sagt Bursztein, der als Sicherheitsforscher im Stanford Security Laboratory arbeitet.
Um Passwörter zu entschlüsseln, veröffentlichten die vier Forscher ein Open-Source-Tool namens OWADE, was für Offline Windows Analyzer and Data Extractor steht. Das Tool läuft unter Ubuntu und kann Daten entschlüsseln, die von den vier großen Browsern – Internet Explorer, Firefox, Chrome und Safari – sowie Instant-Messaging-Anwendungen unter Windows stammen. Getestet wurde es bisher allerdings nur unter Ubuntu 10.10 und mit Windows-XP-Laufwerken.
OWADE nutzt mehrere Lücken in der Verschlüsselungsfunktion DPAPI aus, die Teil der Crypto-API ist. Entwicklern erlaubt sie, sensible Daten verschlüsselt zu speichern. Unter anderem sei die Zahl der möglichen Passwörter unter Windows ungewöhnlich gering, so die Forscher. Es gebe “lediglich” rund sieben Billionen Möglichkeiten, die sich vorausberechnen ließen.
Microsoft verweist auf Nachfrage von ZDNet auf die Laufwerksverschlüsselung Bitlocker, um sich vor dem Diebstahl von gespeicherten Passwörtern zu schützen. Bitlocker hatte Microsoft mit Windows Vista eingeführt. Das Feature ist aber nur für die Versionen Ultimate und Enterprise verfügbar.
Auch Bursztein hält dies für die einzige Möglichkeit. “Die Windows-Mechanismen zum Schutz von Daten können leicht umgangen werden. Wenn man nicht möchte, dass die eigenen Konten kompromittiert werden, ist die einzig wahre Alternative, die Festplatte zu verschlüsseln.”
Ein elementarer Bestandteil einer effektiven Cloud-Strategie ist nach erfolgter Implementierung die künftige Verwaltung des Dienstes.
Die Neuerungen sollen den Digital Thread, die Low-Code-Entwicklung, die Visualisierung komplexer Baugruppen und das Lieferantenmanagement…
Eine Bitkom-Umfrage attestiert der Datenraum-Initiative des Bundes hohe Bekanntheit in der Industrie. Doch noch ist…
Ransomware-as-a-Service ist ein lukratives Geschäft und in den Händen professionell organisierter Gruppen. Jetzt können Kriminelle…
Bad Bots richten nicht nur wirtschaftlichen Schaden an. Laut dem Bad Bot Report von Imperva…
Studie von OVHcloud verdeutlicht Stellenwert von Datenresidenz und Datensouveränität bei KI-Anwendungen.