Web-Sicherheit

Mai 6, 2011

Möglicher Einbruch bei LastPass

Filed under: Allgemein — sebastiankuebeck @ 07:10
Tags: , , , ,

Laut eigenen Angaben wurden auf den Servern des Passwortdienstleisters LastPass seltsame Log-Einträge entdeckt, die auf einen Einbruch hindeuten könnten.

Wir schauen uns die Logs unseres Netzwerkes ziemlich regelmäßig an, um herauszufinden, was da vor sich geht. Wenn wir dabei irgend etwas ungewöhnliches finden, gehen wir der Sache nach. Diese Logeinträge kamen uns seltsam vor, da sie zu einer Zeit aufgezeichnet wurden, in der normalerweise keiner arbeitet und sie kamen von Rechnern, die normalerweise nicht viele Daten miteinander austauschen.
Dieser Vorfall machte uns etwas nervös, also entschieden wir den schlimmstmöglichen Vorfall anzunehmen, auch wenn wir keinen wirklichen Beweis finden konnten, dass etwas passiert ist.

Zitat LastPass CEO Joe Siegrist

Inzwischen haben zahlreiche Benutzer verzweifelt versucht, ihr Master-Passwort (das ist das zentrale Passwort, mit dem man Zugang auf alle seine Zugangdaten erhält) zu ändern, wodurch LastPass zeitweise lahmgelegt wurde:

Die Netzlast bricht alle Rekorde und zahlreiche Benutzer, die versuchen, ihre Passwörter zu ändern, überschreitet unsere Kapazitäten. Daher kann es beim Synchronisieren der Passwörter zu Verzögerungen kommen.

In einem Interview mit PCWorld versucht LastPass CEO Joe Siegrist zu beruhigen, indem er behauptet, dass es äußerst unwahrscheinlich sei, dass Angreifer an die millionen Zugangsdaten gekommen seien, die LastPass speichert. Zudem behauptet er, dass die Zugangsdaten der Benutzer absolut sicher seien, sofern diese ein „sicheres“ Master-Passwort gewählt hätten. Im weiteren Verlauf kommt es dann wieder zu der üblichen Angeberei, dass man „viel Mathematik“ verwende, um die Daten der Benutzer abzusichern. In einem späteren Blogeintrag heißt es dann, dass man die Verschlüsselungsstandards verbessern werde.

Ich persönlich teile Herrn Siegrists Optimismus überhaupt nicht! Das ganze macht für mich eher den Eindruck, dass das Unternehmen mit der Situation vollkommen überfordert ist. Hat hier ein wirklich erfahrener Angreifer seine Finger im Spiel, haben die kaum eine Möglichkeit, festzustellen, was da wirklich passiert ist. Hier wäre es sinnvoll gewesen, ein erfahrenes Sicherheitsunternehmen zu beauftragen, den Vorfall zu untersuchen.

Wie ich in Kapitel 6 meines Buches erörtere, sagt das verwendete Verschlüsselungsverfahren und die verwendete Mathematik so gut wie überhaupt nichts über die Sicherheit des Gesamtsystems aus. Was ist, wenn ein Hacker die Infrastruktur von LastPass verwendet, um auf den Computern der LastPass-Kunden einen Keylogger (das ist eine Software, die jeden Tastendruck des Benutzers aufzeichnet und an den Angreifer weiterleitet) zu installieren? So bräuchte der Angreifer nicht einmal den Verschlüsselungsmechanismus kennen, um an die Zugangsdaten der Benutzer zu gelangen.

In einem Artikel vom April habe bereits darauf hingewiesen, das es prinzipiell nicht ungefährlich ist, alle seine Zugangsdaten einem externen Dienstleister anzuvertrauen. Schließlich wird so ein Dienstleister ein immer attraktiveres Ziel für Angreifer, je mehr Zugangsdaten er speichert, und einen absolut sicheren Internetdienst kann kein Dienstleister zur Verfügung stellen. Also ist es nur eine Frage der Zeit und der eingesetzten Geldmitteln, um einen solchen Dienstleister zu knacken und je erfolgreicher dieser Dienstleister ist, desto mehr sind Angreifer bereit, zu investieren!

Ich empfehle daher, besser eine lokale Lösung wie PasswortSafe zu verwenden, um Zugangsdaten zu verwalten. Das ist zwar nicht so bequem und auch nicht hundertprozentig sicher, aber sicherer als ein zentraler Passwortdienst, da es so keinen zentralen Angriffspunkt (neudeutsch: „Single Point of Attack“) für Hacker gibt. Im Übrigen weiß man bei einem Dienstleister ja nie wirklich, wie es um die interne Sicherheit bestellt ist. Bei Open-Source-Software hat man hingegen den Vorteil, dass unabhängige Experten den Quellcode einsehen und auf Sicherheit überprüfen können.

4 Kommentare »

  1. […] vom 6.5.2011: Bei Lastpass ist möglicherweise eingebrochen worden! Aufgrund der gegenwärigen Informationen kann ich von der Verwendung von Lastpass nur dringend […]

    Pingback von Wiederverwenden von Zugangsdaten – die unterschätzte Gefahr « Web-Sicherheit — Mai 6, 2011 @ 07:18 | Antwort

  2. Ich teile die Kritik so nicht:

    1. Ein Hacker könnte die Infrastruktur von Lastpass zur Installation eines Keyloggers bei den Kunden nutzen. Das ist eine theoretische – wenn auch praktisch kaum denkbare – Möglichkeit. Das gilt aber für ein jedes Unternehmen im Internet. Jeder Anbieter von Downloads welcher Art auch immer könnte ungewollt zum Verteiler von Schadsoftware werden. Es soll sogar schon große Antivirenhersteller getroffen haben. Dagegen hilft nur ein guter lokaler Virenscanner. Aber dieses Problem ist keiner Weise Lastpass-spezifisch.

    2. Natürlich ist Lastpass ein denkbar beliebtes Angriffsziel. Das ist eine vollkommen richtige Feststellung. Aufgrund der Art und Weise, wie Lastpass Daten speichert, hat es aber der Kunde selbst in der Hand, ob das ein Problem ist oder nicht. Wer ein gutes Masterpaßwort verwendet, braucht sich keine Sorgen machen, da niemand etwas mit den Hashes anfangen kann. Brutforce-Angriffe sind immer und überall möglich. Dagegen hilft nur eine gute Verschlüsselung (die ist bei Lastpass gegeben) und vor allem ein gutes Paßwort. Das wählt jeder Kunde selbst aus. Wer hier schlampt, trägt selbst die Schuld. Wer dagegen ein geeignetes Paßwort auswählt, kann seine Hashes gerne auch frei im Internet verteilen, ohne etwas befürchten zu müssen. Quantencomputer sind in absehbarer Zeit noch nicht auf dem Markt.

    Kommentar von Leser — Mai 6, 2011 @ 18:42 | Antwort

  3. Zum ersten Punkt:
    Das jeder automatische Downloadmechanismus missbraucht werden kann, ist richtig. Das macht den von Lastpass aber auch nicht sicherer. Die Aussage, dass es sehr unwahrscheinlich ist, dass der Mechnismus missbraucht wird, haben Sie dann selbst wiederlegt ;-). Das ein guter Virenscanner gegen die Verbreitung eines bis zu diesem Zeitpunkt unbekannten Keyloggers hilft, trifft leider nicht zu. Würde der Downloadmechanismus manipuliert, könnten sich der Keylogger in windeseile verbreiten. Die Virenhersteller hingegen benötigen zumindest einige Stunden, bis sie eine passende Signatur zusammengestellt haben. Bis dahin ist der Keylogger aber schon auf ihrem PC installiert. Im Übrigen habe ich den Keylogger nur als Beispiel genannt. Es gibt hier unzählige Möglichkeiten, den Dienst zu manipulieren.

    Zum zweiten:
    > Aufgrund der Art und Weise, wie Lastpass Daten speichert, hat es aber der Kunde selbst in der Hand, ob das ein Problem ist oder nicht.
    Damit diese Behauptung zutrifft, sind eine ganze Reihe Voraussetzungen nötig. Beispielsweise die, dass die Software fehlerfrei implementiert ist. Zu oft war es in der Vergangenheit möglich, Verschlüsselungen einfach zu umgehen, anstatt die Verschlüsselung selbst anzugreifen und über die Art und Weise, wie Laspass wirklich implementiert ist, wissen wir tatsächlich überhaupt nichts.

    Das Hauptproblem ist aber tatsächlich die Attraktivität dieses Dienstes für Hacker. Wenn man bedenkt, wieviel Zeit und Geld in die Entwicklung von ZeuS geflossen ist, kann man abschätzen, welche Mittel Hackern zur Verfügung stehen, um einen Dienst dieser Art zu knacken.
    Im Übrigen ist das nach den verlorenen E-Mails schon der zweite Vorfall innerhalb von sechs Wochen und die Leute bei Lastpass machen mir leider überhaupt nicht den Eindruck, als würden Sie die Problematik wirklich verstehen, geschweige denn, dass sie in der Lage wären, die richtigen Maßnahmen zu treffen – beispielsweise ein erfahrenes Sicherheitsunternehmen zu beauftragen, die Vorfälle zu untersuchen.

    Kommentar von sebastiankuebeck — Mai 7, 2011 @ 09:40 | Antwort

  4. […] man dazu noch für jede Webseite ein anderes Passwort verwendet (oder sich von PasswordSafe helfen lässt), kann man so mit einfachen Mitteln die Sicherheit deutlich erhöhen. Hinterlasse […]

    Pingback von Die Nadel im Passwort-Heuhaufen « Web-Sicherheit — Juni 14, 2011 @ 15:21 | Antwort


RSS feed for comments on this post. TrackBack URI

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

Bloggen auf WordPress.com.

%d Bloggern gefällt das: