Während einer Präsentation in Las Vegas zeigte Bursztein, wie sich ein Laptop-Dieb den Zugang zu Passwörtern verschaffen kann, etwa für Web-Accounts von beispielsweise Amazon, Google, Yahoo, Facebook oder anderen. Eigentlich sollten solche Passwörter durch die in Windows integrierte Verschlüsselung geschützt sein.
Doch Bursztein und sein Team zeigten, wie sich das Betriebssystem austricksen lässt. Über die Schwachstelle könne ein Laptop-Dieb, Passwörter ausschnüffeln, die im Webbrowser gespeichert sind oder in Programmen wie dem Instant-Messenger-Client.
“Es geht nicht um die Daten auf dem Computer, sondern um alles, was man in der Cloud gespeichert hat, also den Facebook-Account, den Google-Mail-Account und so weiter”, sagt Bursztein, der als Sicherheitsforscher im Stanford Security Laboratory arbeitet.
Um Passwörter zu entschlüsseln, veröffentlichten die vier Forscher ein Open-Source-Tool namens OWADE, was für Offline Windows Analyzer and Data Extractor steht. Das Tool läuft unter Ubuntu und kann Daten entschlüsseln, die von den vier großen Browsern – Internet Explorer, Firefox, Chrome und Safari – sowie Instant-Messaging-Anwendungen unter Windows stammen. Getestet wurde es bisher allerdings nur unter Ubuntu 10.10 und mit Windows-XP-Laufwerken.
OWADE nutzt mehrere Lücken in der Verschlüsselungsfunktion DPAPI aus, die Teil der Crypto-API ist. Entwicklern erlaubt sie, sensible Daten verschlüsselt zu speichern. Unter anderem sei die Zahl der möglichen Passwörter unter Windows ungewöhnlich gering, so die Forscher. Es gebe “lediglich” rund sieben Billionen Möglichkeiten, die sich vorausberechnen ließen.
Microsoft verweist auf Nachfrage von ZDNet auf die Laufwerksverschlüsselung Bitlocker, um sich vor dem Diebstahl von gespeicherten Passwörtern zu schützen. Bitlocker hatte Microsoft mit Windows Vista eingeführt. Das Feature ist aber nur für die Versionen Ultimate und Enterprise verfügbar.
Auch Bursztein hält dies für die einzige Möglichkeit. “Die Windows-Mechanismen zum Schutz von Daten können leicht umgangen werden. Wenn man nicht möchte, dass die eigenen Konten kompromittiert werden, ist die einzig wahre Alternative, die Festplatte zu verschlüsseln.”
IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…
Cloud-Trends 2025: Zahlreiche neue Technologien erweitern die Grenzen von Cloud Computing.
Noah Labs wollen Kardiologie-Praxen und Krankenhäuser in Deutschland durch KI-gestütztes Telemonitoring von Patienten entlasten.
Neun von zehn deutschen Managern erwarten, dass der Einsatz von KI auf ihre Nachhaltigkeitsziele einzahlen…
Intergermania Transport automatisiert die Belegerfassung mit KI und profitiert von 95 Prozent Zeitersparnis.
Cyberattacken finden in allen Branchen statt, und Geschwindigkeit und Häufigkeit der Angriffe werden weiter zunehmen,…