Den Kollegen von Sicherheit-Online gelang vor einigen Tagen in ersten Tests, das biometrische Authentifizierungsverfahren Psylock zu umgehen. Bisher galt das Verfahren allgemein als völlig unknackbar. Bei Psylock wird das individuelle Tippverhalten des Anwenders erkannt. Ein Passwort ist hierbei für eine Anmeldung nicht mehr erforderlich.
Psylock ist eine Software, die auf einem biometrischen Verfahren beruht. Der Anwender wird sehr sicher über sein individuelles Tippverhaltens erkannt. Da jeder Mensch seine Tastatur völlig unterschiedlich bedient, kann man die Person daran sehr gut erkennen. Demjenigen wie beim Diebstahl eines Passworts einfach über die Schulter zu schauen, reicht für die Imitation nicht aus. Allerdings sind die Betreiber von Sicherheit-Online ganz ähnlich vorgegangen. Da Keylogger hier nur unzureichend helfen, müsste man remote die Makro-Funktion einer programmierbaren Tastaturen aktivieren. Darüber können die Benutzereingaben in allen Details ganz exakt mitgeschnitten und abgespeichert werden. Über Schwachstellen im Browser, dem Betriebssystem, einer unsicheren Netzwerkverbindung oder auch durch eine präparierte E-Mail, könnte ein Angreifer versuchen diese Aufzeichung gezielt auszulösen, um die Eingabe abzufangen. Im Testlauf gelang es mithilfe der Informationen aus dem Makro das Psylock Authentifizierungsverfahren zu täuschen und sich mit einem fremden Namen anzumelden. Der rechtmäßige Besitzer des Accounts war über den Verlauf des Experiments entsprechend überrascht.
Wer den Hack außerhalb eines Labors schaffen will, braucht einerseits eine funktionierende Strategie, wie er in den Zielcomputer einbricht. Und derjenige muss dann auch noch das Glück haben, am Arbeitsplatz eine passende Tastatur vorzufinden, die er für seinen Angriff missbrauchen kann. So ganz einfach dürfte es also nicht werden. Der Test sollte aber lediglich beweisen, dass wirklich kein Verfahren unknackbar ist. Psylock kann getäuscht werden - auch wenn die Umgehung der Sicherheitsmechanismen schwer zu realisieren ist und das Opfer eine bestimmte Hardware benutzen muss.
Quelle :
www.gulli.com
