Nachdem das FBI kürzlich weitreichendere Abhörbefugnisse für das Internet gefordert hat, suchen die US-Behörden nun nach neuen Möglichkeiten, Verschlüsselungen zu umgehen. Laut Howard Cox von der Abteilung Computerkriminalität und Urheberrecht des US-Justizministeriums verfügen Ermittler über keine rechtliche Handhabe, Verdächtige zur Herausgabe von Passwörtern zu zwingen. „Das wäre eine erzwungene Aussage, das können wir nicht tun.“
Eine zuslässige Option sei, Software- und Hardwarehersteller um Unterstützung zu bitten. Solche Absprachen müssen Cox zufolge meist im Vorhinein getroffen werden.
„Jeder Anwärter, der die Akademie des Secret Service besucht, absolviert eine Woche Training in Computerforensik“, erklärt Stuart Van Buren, Agent des Secret Service. Mittlerweile gehöre es zum Standardrepertoire, Betreiber von Internetdiensten per Gerichtsbeschluss dazu zu bewegen, Passwörter von Verdächtigen herauszurücken.
„Wenn wir zwei oder drei Passwörter finden, können wir uns darauf einen Reim machen“, sagt Van Buren. „Da gibt es viel, was wir finden können.“ In manchen Fällen gebe es keine Alternative zu einer sogenannten Brute-Force-Methode: Man schreibt ein Programm, das alle möglichen Passwortkombinationen testet. Wenn das Passwort kurz genug und nur aus Klein-, Großbuchstaben sowie Zahlen zusammengesetzt sei, bestehe „eine begründete Chance, dass ich es finde“, so Van Buren.
Für ein siebenstelliges Passwort braucht Van Buren drei Tage, weil es 62 hoch 7, also rund 3,5 Billionen mögliche Kombinationen gibt (26 Groß- und 26 Kleinbuchstaben sowie zehn Ziffern). Ein achtstelliges Passwort würde 62-mal so lang dauern. „Auf einmal sehe ich mich einem Jahr Arbeit gegenüber. Das ist nicht machbar“, sagt Van Buren.
Anstatt in einen verschlüsseltes Computer einzubrechen, versucht der Secret Service, sich Zugriff zu verschaffen, während das Gerät noch in Betrieb ist – und so die Verschlüsselung zu umgehen. Van Buren skizziert eine Möglichkeit: Man müsse sicherstellen, dass der Verdächtige online ist – etwa mittels Internet-Chat – und ihn unter einem Vorwand zur Haustür locken. Der Verdächtige werde verhaftet und der Computer durchsucht.
Auch die heimliche Installation eines Keyloggers sei Usus. Eine weitere Option sind laut Cox vom Justizministerium Exploits, die sich über Peripheriegeräte nutzen lassen.
Wikileaks will mit der Veröffentlichung von vertraulichen Dokumenten mehr Transparenz schaffen. Das kommt nicht überall gut an. ZDNet bietet in diesem Special Nachrichten und Hintergrundberichte über die umstrittene Whistleblower-Plattform.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…