Re: Männer unter Generalverdacht

Jens, Monday, 28.10.2002, 17:33 (vor 8447 Tagen) @ Garfield

Als Antwort auf: Re: Männer unter Generalverdacht von Garfield am 28. Oktober 2002 09:19:02:

Bei Tests zeigt sich immer wieder, wie einfach Hacker selbst in Computernetze von Banken oder Behörden eindringen können.

Das ist richtig, aber es es hat auch seine Ursachen, und die liegt meistens bei einfachen Passwörtern. Wenn man nicht gerade ein Trojanische Pferd irgendwo unterbringen kann, um abzuwarten, bis sich einer mal anmeldet, bleibt einem oft nur brute-force, Passwort-Wörterbuch als Ausweg übrig oder eine gewisse Grundkenntnis über Passwörter, die man eigentlich als Erstbenutzer umändern sollte aber oft zu faul ist, es zu tun. Beispiel: an unsere Uni werden/wurden für die erst-Semester Accounts eingerichtet, deren Passwörter die ersten 4 Zahlen des Geburtsdatums darstellen( tag+monat) -> 365 Möglichkeiten, kann man sogar mit Modem durchtesten. In Netzwerken liegen Passwortdateien, die mit einer einfachen Einwegverschlüsselung oft Standard-DES verschlüsselt wurden. Spaßeshalber habe ich mal die Passwortdatei heruntergeladen und mal eine Wörterbuchattacke+Bruteforce gestartet und in der ersten Minute über 20 Passwörter erhalten. Das liegt unter anderem daran, daß a) Standard DES zu einfach ist und mein Computer fast 200000 Passwörter/s durchtesten kann, bzw. 200000 Wörter/s können mit StandardDES verschlüsselt werden. (Bei OBSD schafft mein Computer nur knapp 200 Passwörter/s). b) die Leute zu leichte und einfache Passwörter wie ihre Vornamen, oder ihre Vornamen mit Jahresgeburtsdatum oder "123456" als Passwort verwenden. Das ist natürlich ein Witz. Mein Passwort ist z.B. relativ kurz gewesen, bestand aber aus Groß und Kleinbuchstaben, Zahlen und Sonderzeichen - mit Bruteforce unmöglich dies in bequemer Zeit zu knacken, auch bei 200000 Passwort-checks. Also wurde den entsprechenden Studenten mal mitgeteilt, etwas kreativer zu sein.
Die Frage, die man sich nun stellt: was ist das "Passwort" bei einer Gendatenbank? Z.B. die gesamte DNA-Sequenz selbst - was auch sinnvoll wäre, da das Zugangspasswort zur Datenbank mit nicht geringer Wahrscheinlichkeit wieder irgendein Vorname einer Ehefrau verbunden mit dem Hochzeitsjahr sein wird. Die Tatsache, daß nur 4 Buchstaben in der DNA-Sequenz verwendet werden, wird durch die Anzahl dieser wieder wettgemacht. Auch bleibt dem Hacker nach erfolgreichem Zugriff auf die Datenbank dann nur die Möglichkeit übrig, alle Kombinationsmöglichkeiten, die ein Mensch als DNA-Sequenz haben kann, durchzutesten, bis man eine Übereinstimmung mit einer verschlüsselten Sequenz erhält. Verbindet man das ganze mit einem komplizierten und sehr rechenintensiven Verschlüsselungsalgorithums, der ein oder mehrmals angewendet wird, wird es UNMÖGLICH sein, die entspechende Sequenz in brauchbarer Zeit zu ermitteln - wobei mit brauchbare Zeit die Lebenserwartung eines Individuums gemeint ist. Anders ausgedrückt: es wird einfacher sein, dem entsprechenden Menschen ein Haar auszureißen - was widerum die Frage in den Raum wirft: wozu die Datenbank dann überhaupt verschlüsseln? Mit dem normalen Hacken von Passwörtern und Zugängen, wobei der Erfolg von Hackern oft auf Fahrlässigkeiten der Benutzer zurückzuführen ist, ist das nicht zu vergleichen (Gott sei Dank muß ja bei einer Gendatenbank niemand mehr ein Passwort selber angeben, sondern hat die Verschlüsselungssequenz sprichwörtlich schon im Blut). Um nochmal zu verdeutlichen. Findet man ein paar Zellen, z.B. von einer Verbrecherin, wird dann deren DNA-Sequenz sagen wir in 1/10s verschlüsselt, und dann wird die undurchsichtige und unverständlich verschlüsselte Sequenz in der Gendatenbank mit den anderen undurchsichtigen und unverständlich verschlüsselten Sequenzen, die Personen zugeordnet sind, überprüft. Wird eine Überinstimmung gefunden, kann man die Person identifizieren und dingfest machen.

Gruß,
Jens