Das System "Cardspace" galt als unüberwindbar und sollte Internetnutzer beim Onlinebanking besser beschützen. Nun haben es Studenten der Ruhr-Universität Bochum gehackt.
Das Sicherheitssystem "Cardspace" von Microsoft wurde von Studenten der Bochumer Ruhr-Universität im Rahmen eines IT-Sicherheitstests geknackt. Trotz verschiedener Sicherheitsmaßnahmen konnte auf die vermeintlich sicher gespeicherten Identitätsdaten zur Authentifizierung im Internet zugegriffen werden. Ihren Angriff, einen technischen Bericht sowie mögliche Gegenmaßnahmen haben die Studien-Hacker unter dieser Internet-Seite auf Englisch dokumentiert.
Studenten haben ein Sicherheitssystem von Microsoft geknackt, das serienmäßig auf Computern mit dem Betriebssystem Vista mitgeliefert wird. (© Foto: ap)
Anzeige
Das Identity-Management-System "Cardspace" wird bereits serienmäßig auf Computern mit dem Microsoft-Betriebssystem Vista mitgeliefert. Es soll die unsichere Identifizierung auf Internet-Seiten mit Benutzername und Passwort ablösen, die durch sogenannte Phishing-Methoden von Kriminellen oft herausgefunden werden.
Durch moderne Verschlüsselungstechnik galt das System bislang als sicher und sollte die registrierten Daten vor Angreifern schützen. Zur virtuellen Shopping-Tour, für die Online-Bankgeschäfte wie auch für die elektronische Gesundheitskarte sollte das System eingesetzt werden. Hersteller Microsoft ist über das Problem bereits informiert und soll an einer Lösung arbeiten.
Christopher Lee zum 90.
(cid/sam)
....dafür gibt es mehrere Gründe:
1. Weil der User das nicht will
In der überwiegenden Zahl der Fälle, in denen eine InfoCard via CardSpace zur Authentifizierung verwendet wird, möchte der User nicht um den Preis einer sicheren Verbindung seine "reale" Identität preisgeben. Mit CardSpace verwalte ich unterschiedliche digitale Identitäten, die alle mir gehören. Die eine verwende ich, um Forumsbeiträge zu schreiben, die andere, um mich an meinen Blog anzumelden, und eine dritte, um auf mein Konto bei einem online-Auktionshaus zuzugreifen (letzteres mit einer zusätzlichen Token-Card).
2. Weil Sie für den sichersten Weg ein digitales Zertifikat benötigen.
Ein solches Zertifikat bekommen Sie von einem Trustcenter. Zur Ausstellung eines solchen Zertifikats müssen Sie auf einem dritten Weg, also nicht übers Netz, Ihr "reale" Identität nachweisen. PostIdent ist beispielsweise ein solches Verfahren. Wenn Sie Ihr Zertifikat dann haben, beispielsweise gespeichert auf einer SmartCard, dann können Sie diese zur Authentifizierung verwenden und müssen keine Angriffe mehr fürchten, wie sie hier beschrieben wurden.
3. Weil kaum ein Anbieter im Internet den sichersten Weg geht
Es gibt einige Banken, die ein auf Zertifikaten basiertes Online-Banking anbieten. Allerdings unter der Theke, sie vermarkten es nicht. Wozu auch: es verursacht zusätzliche Kosten und bringt nur dem Kunden was. Im normalen Pin/Tan-Verfahren liegt die Beweislast beim Anwender, nicht bei der Bank, d.h. er trägt den Schaden.
Das hat aber alles nix mit InfoCards / CardSpace zu tun.
"Diesen sicheren, oder präziser: sichereren (aber das ist eine andere Geschichte, die auch nix mit Microsoft zu tun hat) Weg kann der Nutzer mit CardSpace gehen,"
und warum tut Cardspace dies nicht automatisch (bei Microsoft wimmelt es doch sonst immer zu von "fleissigen" Helferlein)
da mein eigentlicher Beitrag nicht erschienen ist, hier nochmal:
Der Titel dieser Meldung ist populär und bedient vorhandene "Feindbilder", aber Sie stimmt so nicht. Beunruhigend finde ich dabei nicht in erster Linie die SZ-Falschmeldung, sondern die Tatsache, dass das Horst Görtz Institut für IT-Sicherheit an der Uni Bochum eine offizielle Pressemitteilung mit dem ebenso irreführenden Titel "RUB-Studenten knacken Microsofts CardSpace herausgegeben hat.
Tatsache ist, dass 3 namentlich genannte Studenten einen sogenannten "Man-in-the-Middle-Attack" erfolgreich absolviert haben, indem sie das DNS (Domain Name System) so manipuliert haben, dass der Besucher einer bestimmten Website bei jedem zweiten Aufruf ("Round Robin") auf eine andere (böse) Website umgeleitet wurde, deren Betreiber dann dessen Sitzung übernehmen konnte, indem er das mit dieser Sitzung verbundene Token geklaut hat. Der gängige Name für diese Form der Attacke nennt sich "dynamic pharming". CardSpace selbst wurde nicht angegriffen und es bestand auch zu keinem Zeitpunkt Zugriff auf Identitätsinformationen, die der Besucher in seinem lokalen CardSpace gespeichert hat.
Dieses Angriffsmuster wurde nicht für CardSpace erfunden, sondern findet vielfach Anwendung in den unterschiedlichsten Angriffsmustern, beispielsweise zusammen mit Viren in Form trojanischer Pferde, die sich in PIN/TAN geschützte Transaktionen einklinken. Das Verfahren nutzt die Tatsache, dass der Server nicht weiß, mit wem er es eigentlich zu tun hat, so dass sich jederzeit ein anderer in die Kommunikation einklinken kann. Dabei ist es völlig unerheblich, ob der Nutzer sich via CardSpace von einem Windows-Rechner aus authentifiziert, oder via Firefox Browser von einem Linux-System aus, oder von einem Mobiltelefon aus oder wie auch immer. Einzig maßgeblich ist die Frage, ob er einen sicheren Weg der Authentifizierung wählt, sich dem Server gegenüber also mit einem digitalen Zertifikat "ausweist", oder ob er das nicht tut. Diesen sicheren, oder präziser: sichereren (aber das ist eine andere Geschichte, die auch nix mit Microsoft zu tun hat) Weg kann der Nutzer mit CardSpace gehen, oder mit seinem Linux-Rechner, oder mit seinem Mobiltelefon, Staubsauger oder was auch immer einen Netzzugang hat.
Nein, ich bin kein Mitarbeiter von Microsoft, sondern im Gegenteil beruflich der Unabhängigkeit verpflichtet und möchte mit diesem Beitrag lediglich darauf hinweisen, dass die Dinge nicht ganz so einfach sind, wie hier darge
...ein Detail noch: Die Studenten haben natürlich nicht das "echte" DNS manipuliert, sondern lediglich einen internen DNS-Server der Uni Bochum.
Als Nachfolger von 'MS Passport' hat Microsoft ein CardSpace entwickelt. CardSpace basiert auf offenen Standards, so dass es in verschiedene Anwendungen eingebunden werden kann. Internet-Nutzer können CardSpace mit dem Internet Explorer 7 bereits heute als Alternative zur Passwort-basierten Authentifikation verwenden.
Warum sollten gewiefte Hacker, CardSpace nicht killen können?
www.100WorteReporter.de ist in seinem tagesaktuellen Bericht auf das Thema eingegangen. Ganz nett die Website.
Paging