Sicherheitsforscher Elli Bursztein gab auf der Black-Hat-Konferenz in Las Vegas ein neues angebliches Sicherheitsproblem bei Microsoft Betriebssystemen bekannt. Diese Sicherheitslücke von Windows beruht auf die integrierte Passwort-Verschlüsselung. Betroffen sind z.B. Passwörter für Web Services wie Amazon, Facebook, Google, Yahoo und Co., welche per Windows integrierter Verschlüsselung geschützt sein sollten. Hierdurch können Datendiebe das Betriebssystem umgehen, um Zugang zu in Browsern und anderen Programmen gespeicherten Zugangsdaten zu erhalten.
Zur Entschlüsselung der Passwörter veröffentlichten die Forscher ein Open-Source Tool (Offline Windows Analyzer and Data Extractor – kurz OWADE), welches unter Linux Ubuntu auf Windows Rechner existierende Zugangsdaten von Internet Explorer, Firefox, Chrome, Safari, Instant Messenger, etc. ersichtlich macht. Hierbei greift OWADE auf mehrere Sicherheitslücken in der Verschlüsselungsfunktion DPAPI zurück, welche ein Teil der Crypto-API ist. Das Hauptrisiko tritt hierbei in erster Linie bei Windows XP Rechnern auf.
Das Fazit von Bursztein lautet: "Die Windows-Mechanismen zum Schutz von Daten können leicht umgangen werden. Wenn man nicht möchte, dass die eigenen Konten kompromittiert werden, ist die einzig wahre Alternative, die Festplatte zu verschlüsseln." An dieser Stelle knüpft der deutsche Spezialist für Endpoint Security ‚cynapspro‘ an und bietet eine software- und hardwarebasierte Full Disk Encryption, welche im Gegensatz zu Bitlocker in allen Varianten der Betriebssysteme von Windows XP bis Windows 7 greift. Doch dies ist neben der zentralen und intuitiven Verwaltung nur einer von vielen Vorteilen der Lösung. Die auf einen Linuxkernel basierende PreBoot Authentisierung bietet neben dem Multi User Support eine weitaus größere Unterstützungen von eToken/ Smartcard Herstellern wie Aladdin, Dell, IDpendent, Kobil, Omnikey, RSA, Schlumberger, Siemens HiPath, etc.. Die zentralisierte Revision bietet schnelle, einfache IT-Audits. Verschlüsselungsmethoden wie AES 256 Bit (Empfehlung des Bundesamt für Sicherheit in der Informationstechnik – kurz BSI) oder Blowfish 448 Bit sind generell empfehlenswert, um sich vor Datenklau zu schützen. Somit schützen Sie sich nicht nur vor diesem neuen IT Security Risiko, sondern erfüllen gesetzliche Datenschutzbestimmungen (bsp. Bundesdatenschutzgesetz - BDSG).
Quellenangaben unter:
http://cynapspro.com/DE/alle-neuigkeiten/152-black-hat-forscher-windows-passwortverschluesselung-unsicher
Keine Kommentare:
Kommentar veröffentlichen