Dass Google des öfteren Einblicke in eigentlich geschützte Seiten gewährt, ist nichts neues. Mit sogenannten Google-Hacks findet man durch die geschickte Angabe von Suchparametern unter Umständen Informationen, die sonst nur mit Passwort zugänglich sind. Auch bei der Suche nach Sicherheitslücken in Software kann Google behilflich sein. Nun scheint Google sich auch noch als Cracking-Tool benutzen zu lassen, um zu MD5-Hashes den Ursprungstext wiederzufinden.
Steven Murdoch war über die Möglichkeit gestolpert, als er ein unbekanntes Konto in seinem von einem Angreifer kompromittierten Blog untersuchen wollte. Murdoch hatte kürzlich einen Bericht über die Cookie-Generierung von WordPress veröffentlicht, der ebenfalls in Folge der Untersuchung des Einbruchs entstand. Der Hash des Angreifer-Passworts in der Blog-Datenbank stimmte aber mit keinem von Murdoch anhand diverser Wörterbücher berechneten MD5-Hashes überein – und auf eine Rainbow Table hatte er keinen Zugriff. Also gab er den Hash auf gut Glück bei Google ein und landete prompt einen Treffer: 20f1aeb7819d7858684c898d1e98c1bb ergab "Anthony".
Allerdings funktioniert Google als MD5-Cracker nur bedingt. Anders als bei Rainbow Tables werden dort keine Zeichenketten systematisch gehasht und gespeichert, sondern man kann nur darauf hoffen, dass Google schon einmal in irgendeinem Zusammenhang darauf gestoßen ist – oftmals etwa bei gespeicherten Session-IDs in URLs. Allerdings gibt es mittlerweile genügend freie MD5-Cracker und freie Rainbow Tables, so dass man nicht extra Google bemühen muss.
Einmal mehr zeigt es aber, wie wichtig es mittlerweile ist, von herkömmlichen Methoden zur Speicherung von Passwörtern abzurücken und nur noch Verfahren einzusetzen, die zusätzlich ein Salt in die Berechnung des Hashes einfließen lassen. Damit ist zwar die Vorberechnung weiterhin möglich, aber der Speicheraufwand ist nach derzeitigem Ermessen nicht zu bewältigen. Leider hat man bei vielen Produkten von der Stange keine Wahl, die MD5-Hashes von WordPress sind beispielsweise ungesalzen und ermöglichen zudem auf einfache Weise Authentifizierungscookies zu basteln, mit denen ein Angreifer das Passwort ohnehin nicht mehr benötigt. Auch andere Produkte verwenden immer noch einfache MD5-Hashes.
Siehe dazu auch:
* Google as a password cracker, Blogeintrag von Steven Murdoch ->
http://www.lightbluetouchpaper.org/2007/11/16/google-as-a-password-cracker/Quelle :
www.heise.de
