Google als Passwort-Cracker

Allgemein

Ein Sicherheitsforscher wollte an das Passwort eines Angreifers kommen. Und ließ sich von Google helfen.

Der Angreifer verschaffte sich ausgerechnet Zugriff zu einem WordPress-Blog von Computerwissenschaftlern der Universität Cambridge und schuf sich dort einen Account mit Administrationsberechtigung. Das Weblog war einen Tag lang kaum erreichbar. Nach den Aufräumarbeiten sah sich Blog-Autor Steven Murdoch – sagen wir, aus rein wissenschaftlichem Interesse – genauer an, was geschehen war.

Ihm kam zugute, dass die verwendete Blog-Software WordPress in ihrer Benutzerdatenbank MD5-Hash-Werte abspeichert, was er eigentlich aus Sicherheitsgründen für weniger empfehlenswert hält. Er setzte ein einfaches Python-Script ein, dass alle Begriffe eines Wörterbuchs ebenfalls in Hash-Werte umsetzte und verglich, aber ohne Erfolg. Er versuchte es auch mit einem russischen Wörterbuch, da der Angreifer im verwendeten Shell-Code einige russische Wörter hinterlassen hatte. Doch auch das brachte es nicht.

Er versuchte noch einiges mehr, ohne dem verwendeten Passwort auf die Spur zu kommen. Schließlich kam er auf die Idee, ganz einfach Google nach dem Hash zu fragen. Bingo – er fand unter anderem eine Seite für Ahnenforschung und eine Liste von Leuten mit dem Nachnamen Anthony. Tatsächlich, der MD5-Hash von „Anthony“ entsprach dem gesuchten Passwort des Angreifers.

Webseiten schreiben oft den Hash eines Begriffs in die URL, und das kann auch ganz sinnvoll sein. Aufgrund dieser verbreiten Methode wiederum konnte Google als Hash-Finder dienen. Google machte dabei nur, was es am besten kann – große Datenbanken anlegen und sie durchsuchen. Der erfolgreiche Passwort-Knacker von der Universität Cambridge: „Ich bezweifle allerdings, dass sie an eine solche Nutzung gedacht haben.“

(bk)

Light Blue Touchpaper