Windows Server 2008 Sicherheit – Die technische Referenz - Gattner

40 Kapitel 2: Authentifizierung und Authentifizierungsprotokolle
Website oder in einen IRC-Kanal (Internet Relay Chat) hochladen. Andere Software bringt
gleich einen kleinen Webserver mit, über den der Angreifer die Daten abrufen kann.
Der einfachste und direkteste Weg für einen Angreifer, der nur Kennwörter ausspähen will,
besteht darin, ein Subauthentifizierungspaket zu schreiben. Wie alle professionellen Betriebssysteme
bietet Windows Fremdherstellern die Möglichkeit, sein Authentifizierungssubsystem
so zu erweitern, dass es eine Authentifizierung an anderen Netzwerkgeräten
durchführt. Ein Angreifer kann mit wenigen Aufrufen der Programmierschnittstelle (Application
Programming Interface, API) ein Subauthentifizierungspaket schreiben, das alle
Kennwörter im Klartext aufzeichnet, während sich ein Benutzer anmeldet. Mit etwas mehr
Aufwand kann der Angreifer das Paket mit denselben Features wie ein leistungsfähigerer
Keystroke-Logger aufrüsten. Ein solches System liefert aber bei Weitem nicht so viele überflüssige
Daten, weil es sich darauf spezialisiert, ausschließlich Kennwörter aufzuzeichnen.
Bei beiden Softwaremethoden sind administrative Privilegien nötig, um das Programm zu
installieren. Der Angreifer muss den Computer also vollständig kompromittiert haben. Physischer
Zugriff auf den Computer reicht aus, um solche Tools zu installieren. Es gibt zu denken,
dass Keystroke-Logger inzwischen regelmäßig auf öffentlich zugänglichen Computern
zu finden sind, insbesondere auf Konferenzen.
Abfangen der Frage-Antwort-Sequenz
Es kommt heute nur noch selten vor, dass Kennwörter überhaupt durch das Netzwerk übertragen
werden. Und noch seltener ist es, dass in neuen Implementierungen Klartextprotokolle
wie FTP, POP und Telnet verwendet werden. Aber selbst wenn Frage-Antwort-Protokolle
eingesetzt werden, kann der Angreifer oft sowohl die Frage als auch die Antwort abfangen
und diese Kombination für seinen Angriff einsetzen. Dafür sind mehr Berechnungen notwendig
als beim Angriff auf normale Hashwerte, aber falls das Kennwort schwach ist, kann
der Angreifer durchaus Erfolg haben.
Ausspähen der Hashwerte
Dies ist der Angriff, den jeder fürchtet. Falls ein Angreifer Zugriff auf die Kennworthashwerte
hat, kann er das Kennwort ermitteln oder die Hashwerte auf andere Weise nutzen. Es
gibt mehrere Wege, Hashwerte zu knacken, wie wir in Kürze sehen werden. Am häufigsten
spähen Angreifer die Hashwerte aus, indem sie den authentifizierenden Server kompromittieren,
der die Kennwörter speichert. In Kapitel 14, »Schützen des Netzwerks«, werden Sie
sehen, dass dieser Angriff umso leichter gelingt, je mehr Abhängigkeiten Sie in Ihrem Netzwerk
haben.
Eine andere Möglichkeit (weniger verbreitet, aber genauso machbar) besteht darin, einen
Computer zu kompromittieren, während bereits jemand angemeldet ist. Wie weiter oben
beschrieben, speichert Windows den NT-Hash eines Benutzers im Arbeitsspeicher, solange
der Benutzer angemeldet ist. Ein Angreifer mit vollständiger Kontrolle über den Computer
kann diesen Hashwert auslesen und auf dieselbe Weise wie jeden anderen Hashwert nutzen.
Noch einmal: Dieses Problem muss in erster Linie über Verfahrensregeln gelöst werden.
Wie Sie in Kapitel 14 sehen werden, können Sie dieses Problem ganz vermeiden, indem
Sie besonders vertrauliche Hashwerte von Computern fernhalten, die weniger wichtig (und
somit weniger sicher) sind. Und falls ein Verbrecher es schafft, einen Computer in diesem
Ausmaß zu kompromittieren, kann er auch problemlos das Klartextkennwort ausspähen, wie
wir im nächsten Abschnitt sehen.