Experimentalanalyse diverser Brute-Force-Mechanismen in Linux Kali. Passwortsicherheit und Passwortkomplexität

Inhaltsverzeichnis

1 Einleitung
1.1 Ausgangslage und Problemstellung
1.2 Zielsetzung und Forschungsfrage

2 Vorgehen und Meilensteine

3 Prämisse
3.1 Linux Kali
3.2 Die Brute-Force-Methodik
3.2.1 Implementierungsansatz Brute-Force-Suche
3.3 Exkurs I Angreifer und ihre Motivation
3.3.1 Klassifikation von Angreifern in der IT
3.3.2 Beweggründe und Motivation für Angriffe
3.4 Exkurs II zur aktuellen Rechtslage und Cyber-Kriminalitätsvorfällen in Österreich
3.5 Passwortsicherheit, Bewusstsein für Passwortsicherheit, Passwortkomplexität und Schutzmechanismen

4 Analysen & Hypothesenbildung
4.1 Kombinationsmöglichkeiten eines Passwortes anhand des Fallbeispiels der ACSII-Tabelle und Ermittlung der Brute-Force-Suchzeit
4.2 Merkmalsanalyse von verschiedenen Passwörtern
4.3 Hypothesenbildung

5 Laborexperiment
5.1 Dokumentation der eingesetztes Produkte
5.1.1 Auszug von Spezifikationen des Hostsystems
5.1.2 Eingesetzte Virtualisierungsplattform
5.1.3 Eingesetztes Gastsystem
5.2 Versuchsdurchführung des Laborexperimentes
5.2.1 Szenario I
5.2.2 Szenario II
5.2.3 Szenario III

6 Fazit
6.1 Verifikationsversuch der Hypothesen
6.2 Beantwortung der wissenschaftlichen Fragestellung

7 Verzeichnisse
7.1 Literaturverzeichnis
7.2 Abbildungsverzeichnis
7.3 Tabellenverzeichnis
7.4 Formelzeichen, Abkürzungen und Kenngrößen
7.4.1 Formelzeichen
7.4.2 Abkürzungen
7.4.3 Zahlennamen
7.4.4 Datenmengen
7.4.5 Griechisches Alphabet
7.4.6 Römische Ziffern & Zahlen

8 Anhang

1 Einleitung

1.1 Ausgangslage und Problemstellung

Verschiedene Varianten von Online & Offline-Brute-Force-Methoden sind eine großes IT-sicherheitstechnisches Problemfeld. Mitunter steigt das Gefahrenpotenzial, dass Computerkriminelle (Cracker) an unternehmenswichtige, sensible Daten oder personenbezogene Daten nach einem erfolgreichen Brute-Force-Angriff kommen. Der (wirtschaftliche) Schaden, der sich dabei entfaltet, ist dabei von vielen Variablen abhängig. Unternehmenswichtige Daten sind für den Weiterbestand des Unternehmens unentbehrlich und sie repräsentieren eine Art Kapital oder Wirtschafsgut mit Wachstumspotential. Des Weiteren besteht außerdem die Problematik den Wert von Daten nur sehr schwierig zu berechnen. Nach einer erfolgreichen Brute-Force-Suche drohen sowohl Spionage, Erpressungsversuche durch Schadensandrohung, Täuschmanöver, Überwachung, Datenmanipulation sowie Datenweiterverkauf, der meist dem Profit dient. Das Ausspionieren von Privatpersonen, Betriebsspionage, sogar Länderspionage durch erfolgreiche BruteForce-Attacken stehen im globalen Cyberkrieg längst an der Tagesordnung natürlich sind vermutlich auch diverse Geheimdienste involviert mit extrem leistungsstarken Rechenzentren, jedoch sprengt diese Thematik jeden Rahmen dieser Bachelorarbeit.

Sinn und Zweck einer Brute-Force-Methode ist zumeist das Ausspionieren von Login-Daten von E-Mail-, Web-, Datenbank- und File- Servern sowie verschlüsselten Dateien, etc. Eine stark vereinfachte Definition einer Brute-Force-Attacke ist das Durchprobieren aller möglichen Passwörter mithilfe generierten Passwörtern oder geleakten oder gestohlenen Passwort-Wörterbüchern.

Die Brute-Force-Attacke ist um einiges simpler, falls im Vorfeld bereits der LoginName für die Authentifizierung bekannt ist (Brute-Force-Attacken auf viele Loginnamen haben meist überhaupt keinen Erfolg), dafür werden oft Social-EngineeringTechniken verwendet, da Nutzernamen dem Target einfacher zu entlocken sind als Kennwörter. Die einfachste Methode, um sich effizient gegen Brute-Force-Attacken zu schützen ist die Wahl eines sehr starken Passwortes. Dieses sichere Passwort, wird umso unantastbar, je länger es ist, zudem sollte es Kleinbuchstaben, Großbuchstaben, Ziffern und Sonderzeichen enthalten - im Allgemeinen ist die Aufwandszeitdauer einer meist gezielten Brute-Force-Attacke vom (Logon)-Passwort abhängig. Darüber hinaus ist die Brute-Force-Suche stark abhängig von der Rechenleistung und der Art der durchgeführten Attacke (z.B. ist eine Online-BruteForce-Attacke in der Regel um einiges zeitintensiver als eine Offline-Brute-ForceAttacke), sowie Effizienz des eigesetzten Algorithmus, Rechenleistung und andere Variablen.

Des Weiteren besteht die Option das Sicherheitsrisiko durch kryptographische Techniken zu minimieren. Auch 2-Faktor- (oder Multifaktor-) Authentifizierungsmöglichkeiten minimieren das Risiko Opfer einer Brute-ForceSuche zu werden. Zwei weitere Gegenmaßnahmen sind einerseits die Beschränkung der Anzahl der Login-Versuche, andererseits eine Zeitsperre nach einer gewissen Anzahl an fehlgeschlagenen Login-Versuchen - jedoch führen Computerkriminelle mitunter verteilte Brute-Force-Attacken auf sehr viele Nutzernamen bei der Authentifizierung aus und hat die Folge, dass schnell zigtausende Loginnamen gesperrt werden können. Die Sperrung vieler Nutzerkonten ist vor allem bei öffentlichen Servern ein kritischer Punkt. Oftmalig sind Kennwörter auch durch kryptographische Hashfunktionen zusätzlich verschlüsselt. Hierbei ist eine direkte Berechnung nicht mehr möglich. Angreifer versuchen die Hashwerte vieler Kennwörter zu suchen - wenn der Hashwerte kongruent mit dem Wert des Kennwortes ist, dann ist es das Passwort geknackt.

Als IT-Security Experte sollte man bestens über Bedrohungsszenarien, beispielsweise Online- & Offline-Brute-Force-Methoden, informiert sein und wissen wie Angreifer dabei vorgehen, erst dann wird ein Verständnis gewonnen wie Systeme, Teilaspekte eines Systems oder Passwörter besser geschützt werden können. Einerseits haben Administratoren, IT-Security-Experten oder IT-Forensiker gegen Computerkriminalität ein fundamentales Know-how, wie man derartige Attacken abwehren kann, anderseits auch fundiertes Wissen darüber, wie man Computerkriminelle (Cracker oder Black-Hat-Hacker) aufspüren kann. Hierbei gibt es sehr viele Methoden, wie z.B. Logfiles, Einrichtung von Honeypots, Zusammenarbeit mit ISP und Überwachung der Datenströme.

1.2 Zielsetzung und Forschungsfrage

Hauptziel dieser Bachelorarbeit ist eine signifikante Merkmalsanalyse der Bedrohungen durch verschiedene Brute-Force-Methoden in einer Linux Kali Distribution mittels eines Laborexperimentes in einer virtualisierten Umgebung mit der Virtualisierungsplattform Oracle VM Virtualbox.

Nebenziel ist eine komplexe Analyse von Passwortkomplexität und eine Ermittlung der Brute-Force-Suchzeiten für verschiedene Szenarien.

Das Ergebnis dieser Arbeit könnte das Bewusstsein für die Bedrohungsszenarien verschiedenster Brute-Force-Mechanismen stärken und das Sicherheitsbewusstsein der Leser dieser Bachelorarbeit nachhaltig erhöhen. Insbesondere die Bedeutung eines sicheren Passwortes näherbringen.

Die vorliegende wissenschaftliche Ausarbeitung sollte in keinem Fall einen Leitfaden für kriminelle Handlungen sein, sondern diese eindämmen und das Bewusstsein dafür zu stärken, wie relativ einfach es ist, Systeme oder Teilaspekte eines Systems mit der Brute-Force-Methode anzugreifen. Alle durchgeführten Attacken richten sich entweder auf Clientsysteme oder Anwenderprogramme, die sich im persönlichen Besitz befinden.

Es ist kein Bestreben und Ziel alle Bedrohungstechniken von Linux Kali aufzuzeigen. Ebenfalls unbeachtet bleiben kryptographische Algorithmen.

Im Zuge des Laborexperimentes soll folgende Forschungsfrage ausführlich beantwortet werden:

Wie gestalten sich Offline-Brute-Force-Attacken mit Brute-Force-Tools mit einer Linux Kali-Maschine mit Angriffszielen von verschlüsselten PDF, ZIP Dateien und das verschlüsselte Standard-Linux Kali Passwort?

2 Vorgehen und Meilensteine

Eine sorgfältige Lösung der in Kapitel 1.2 aufgestellten Forschungsfrage soll mit Hilfe eines Laborexperimentes ausreichend gewährleistet werden. Die eingesetzte Methode des signifikanten Laborexperimentes ist im weiteren Verlauf dieser Bachelorarbeit unter Kapitel 5 auffindbar. Häufig ist das Vorgehen direkt bei der wissenschaftlichen Methodik zu finden, dennoch empfiehlt sich an dieser Stelle eine Einbettung, da ebenfalls ein Vorgehensmodell für diese Arbeit entwickelt wurde:

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Signifikantes Vorgehensmodell der Bachelorarbeit

Die obige Abbildung 1 zeigt insgesamt 6 Meilensteine, die diese Bachelorarbeit umfasst. Der erste Meilenstein inkludiert die Erläuterung der Ausgangslage und der Problemstellung zu der Thematik. Im zweiten Schritt wird die Forschungsfrage aufgestellt und es erfolgt eine signifikante Zielsetzung mit Themenabgrenzung. Im Hauptteil dieser Arbeit werden alle essentiellen Grundlagen aufgeführt und erste diverse Voranalysen initialisiert. Für Gewährleistung des Meilensteines 4 werden verschiedene Analysen bzgl. Passwörtern und Brute-Force-Suchzeiten durchgeführt. Des Weiteren erfolgt eine Aufstellung der Hypothesen am Schluss des Kapitels 4. Die Meilensteine 5 und 6 sind ein weiterer wichtiger Hauptbestandteil dieser Arbeit mit dem Laborexperiment mit ausführlicher Auswertung, Analyse, Dokumentation, Interpretation, Verifikationsversuch der Alternativhypothesen und umfassende und saubere Beantwortung der aufgestellten Forschungsfrage.

3 Prämisse

Das folgende umfassende Kapitel beschäftigt sich mit den essentiellen Grundlagen, die für eine vertiefende Auseinandersetzung mit der Thematik unbedingt erforderlich sind.

3.1 Linux Kali

Linux Kali ist der bekannte Linux Backtrack-Nachfolger. Die Distribution ist kostenlos jederzeit frei über das Internet verfügbar mit dem Einsatzgebieten von Penetrationstests und Security Auditing (Kali Linux, 2015) sowie (Offensive Security, 2013).

Abbildung 2 zeigt das aktuelle Kali Linux Logo sowie den Leitspruch.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2: Kali Linux Logo Screenshot (Kali Linux, 2015)

Linux Kali beinhaltet mitunter:

- Über 300 Penetrations-Testing-Werkzeuge (z.B. Online- und Offline-BruteForce-Skripts).
- Git-Entwicklungsbaum auf Open Source-Basis.
- FHS-Kompatibilität für simple Auffindung von Binaries und Bibliotheken.
- Wireless-Devices Unterstützung.
- Individueller Kernel für Injection als ein Penetrationstester.
- Entwicklungsumgebungen mit hohen Sicherheitsanforderungen.
- Durch Entwickler separat signierte Pakete und Repositories.
- Mehrsprachigkeit ist gegeben.

Abstammung: GNU/Linux -> Debian GNU/Linux -> Kali Linux

Aktuelle Version: 1.0.9 am 25. August 2014

Lizenz: GPL

Entwickler: Offensive Security

(Offensive Security, 2013) sowie (Kali Linux, 2015).

3.2 Die Brute-Force-Methodik

Nach Ziegler (2008, S. 122) sind Brute-Force-Angriffe oder Brute-Force-Attacken ein Durchspielen aller möglichen Kombinationen für ein Passwort oder eine Verschlüsselungssequenz, die des Öfteren sehr zeit- und arbeitsaufwändig sein können. Das kontinuierliche Wachstum der Prozessorleistungsaspekte lässt Prognosen über Sicherheitskriterien nur sehr schwer zu. Zudem besitzen Geheimdienste und Regierungen überaus leistungsstarke Rechenzentren, deren Stärke nur besonders schwer einschätzbar ist.

Der Brute-Force-Sucherfolg ist von sehr vielen Variablen abhängig.

In Abbildung 3 werden dominante Ingredienzien von Online- & Offline-Brute-ForceAttacken illustriert.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 3: dominante Ingredienzien von Online- & Offline-Brute-Force-Attacken

Abbildung 4 zeigt eine genaue Klassifikationsangabe von verschiedenen Brute-ForceAngriffen.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 4: Klassifikation von verschiedenen Brute-Force-Attacken

Unabhängig davon, ob die Brute-Force-Suche online oder offline auf ein Authentifizierungsobjekt durchgeführt wird, kann man generell zwischen vier verschiedenen Vorgehen unterscheiden (auch wenn sich die Algorithmen sehr unterscheiden):

Bei der Verwendung eines klassischen Brute-Force-Algorithmus wird die Exhaustionsmethode durchgeführt, das heißt, es werden alle möglichen Passwortkombinationen durchprobiert, besser formuliert „brutal“ dazu gezwungen. Darüber hinaus besteht die Möglichkeit durch z.B. bestimmte Parameterangaben einzelne Kombinationsbereiche zu überspringen bzw. zu einem späteren Zeitpunkt wieder hinzuzuziehen.

Falls man für die Brute-Force-Suche ein Wörterbuch verwendet, spricht man auch von einer Wörterbuchattacke oder Dictionary Attack. Hierbei werden für die Kombinationsanzahl meist große geleakte oder gestohlene Wörterbücher mit Millionen häufig verwendeten Passwörter verwendet. Bei Wörterbuchattacken wird Schritt für Schritt jedes einzelne Passwort durchprobiert.

Da Passwörter z.B. auf öffentlichen Servern oft durch Hashfunktionen gesichert sind, gibt es hierbei wieder zwei Möglichkeiten: Entweder werden Hashwerte generiert und es werden alle Hashwerte durchprobiert oder es werden so genannte Rainbow Tables (Regenbogentabellen) verwendet, die im Großen und Ganzen vergleichbar sind als ein „Wörterbuch“ für Hashwerte.

Nach Greveler (1998, S.7) sind Hashwerte das Resultat einer Hashfunktion. Eine Hashfunktion erzeugt Bit-Strings (Zeichenketten mit dem Zeichenvorrat 0 und 1) beliebiger endlicher Länge auf Bit-Strings fester Länge. Hashwerte werden auch als Hashs bzw. Digests bezeichnet. Kraft und Weyert (2012, S. 348) charakterisieren Rainbow Tables als einen schnellen und propabilistischen Suchvorgang nach dem einem Hashwert zugewiesenen Klartext. Dieser Klartext kann z.B. ein Passwort sein.

Abbildung 5 bekundet wichtige Indikatoren die für einen Brute-Force-Sucherfolg von zentraler Bedeutung sind.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 5: Indikatoren für einen Brute-Force-Sucherfolg

3.2.1 Implementierungsansatz Brute-Force-Suche

Problembeschreibung:

1. Problematik einer Worterkennung (Ziel ist hierbei die Erkennung eines Musters (Zeichenkette) in einem bestimmten Text.
2. Muster (Pattern) und Text haben den gleichen Zeichenvorrat
3. Effizienz bedeutet die Anzahl der Zeichenvergleiche (Binder, o.D., S.1).

Naiver Ansatz der Brute-Force-Suche:

1. Vergleiche an allen Positionen im Text das Muster.

Zu durchsuchender Text wir hierbei deklariert als text[0 n-1]

2. Für jede Variable i im Text gilt die Überprüfung von:

pat = text[i i+m-1]

Algorithmus der Brute-Force-Suche:

Abbildung in dieser Leseprobe nicht enthalten

(in Anlehnung an Binder, o.D., S.2).

An dieser Stelle noch der ausdrückliche Hinweise, dass ein effizientes Brute-ForceSkript aus tausenden Programmzeilen bestehen kann und nicht Bestandteil dieser Arbeit ist.

3.3 Exkurs I Angreifer und ihre Motivation

Der erste Exkurs gibt eine Kurzübersicht über verschiedene Angreifer-Typen sowie über ihre Beweggründe.

3.3.1 Klassifikation von Angreifern in der IT

Ein Hacker ist eine Person mit extrem gutem IT-Wissen, der über spezielle Betriebssystem-, Netzwerk- und Programmierexperten verfügt. Dabei gibt es wieder zwei generelle Untergruppen: White Hats, Hacker ohne kriminelle Energien und Absichten und Black Hats, das sind in der Regel die Computerkriminellen und werden auch als Cracker bezeichnet (Kraft, Weyert, 2012, S. 136).

Der CCC (Chaos Computer Club) formuliert dazu ethische Grundlagen eines Hackers:

- Freie und unbegrenzte Verfügbarkeit von Computersystemen
- Informationsfreiheit
- Förderung der Dezentralisierung und Skepsis gegenüber Autoritäten
- Beurteilung der Hacker nach den Taten
- Computer bieten die Möglichkeit Kunst und Schönheit zu schaffen
- Computer können Lebensumstände verbessern
- Kein „Herumschnüffeln“ im Datenmüll anderer Leute
- Öffentliche Daten sind zu nutzen, private Daten sind zu schützen

(CCC, o.D.).

Script-Kiddies sind dagegen sozusagen die jüngere und unprofessioneller Ausgabe der Hacker und beherrschen Grundlagen der IT und sind meist an schnellen Ergebnissen und an Ruhm in der Szene interessiert. Die nächste Gruppe sind ITProfessionals, die aus verschiedenen Motiven auch zum Angreifer werden können, um beispielsweise einen Penetrationstest auf ein System durchzuführen oder einen Honeypot zu testen. Die letzte Gruppe sind Normalanwender und PC-Freaks und können durch heruntergeladene Viren oder Würmer, die dann absichtlich in ein anderes Computersystem geschleust werden somit semiprofessionell zum Angreifer werden (Kraft, Weyert, 2012, S. 137ff.).

3.3.2 Beweggründe und Motivation für Angriffe

Die häufigsten Beweggründe für Angriffe sind nach Kraft und Weyert (2012, S. 133ff.) Rache, Geltungssucht, Furcht, materielle Interessen und Neugierde.

Mit folgender Tabelle 1 sollen verschiedene Angriffsmotive aufgezeigt werden:

a)1=ungezielter, 5=gezielter Angriff, b) 1=niedrige, 5=hohe Schadenswirkung c) 1=kein eingesetztes, 5= hohes Know-how

Abbildung in dieser Leseprobe nicht enthalten

Tabelle 1: Angriffsmotive mit Merkmalen und Skalenniveau (nach Daten von Kraft, Weyert, 2012, S.133ff.)

3.4 Exkurs II zur aktuellen Rechtslage und Cyber- Kriminalitätsvorfällen in Österreich

Der zweite Exkurs bringt eine Kurzübersicht über die aktuellen Rechtslage zur Cyberkriminalität und eine Statistik über die Anzahl der Cyber-Kriminalitätsvorfälle in Österreich ein.

„Cybercrime ist als Querschnittsmaterie zu sehen und erfordert somit auch einen breiten Ansatz zu deren Bekämpfung. [...] Im Strafgesetzbuch (StGB) finden sich diese Bedrohungen im Bereich der allgemeinen Kriminalität unter Nutzung von Informations- und Kommunikationstechnik wieder. [...] Delikte angeführt, bei denen Elemente der elektronischen Datenverarbeitung in den Tatbestandsmerkmalen enthalten sind, wie zum Beispiel Datenbeschädigung (§ 126a StGB), Hacking (§ 118a StGB), DDoS-Attacken (§ 126b StGB) usw., sowie andererseits auch jene Straftaten, bei denen die Informations- und Kommunikationstechnik zur Ausführung der Tat eingesetzt wird.“ (.BK Österreich, 2013, S.8)

Folgende Abbildung 6 zeigt die Anzahl der Cyber-Kriminalitätsvorfälle von 2004 bis 2013 in Österreich.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 6: Cybercrime von 2004 bis 2013 (.BK Österreich, 2013, S.10)

3.5 Passwortsicherheit, Bewusstsein für Passwortsicherheit,

Passwortkomplexität und Schutzmechanismen

Passwörter sind ein ganz wesentlicher Aspekt für die Sicherheit von privaten und geschäftlichen Informationen - sie sind die essentiellsten und zugleich aber am meist bedrohten Sicherheitsbarrikaden für beispielsweise ein Benutzerkonto oder ein gesamtes IT-System.

Abbildung 7 gibt einen groben Überblick über die Kriterien, die für die Passwortsicherheit von großer Bedeutung sind.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 7: Passwortsicherheitskriterien

Die Wahl eines sicheren Passwortes ist unumgänglich, falls man sich vor effizienten Brute-Force-Attacken schützen möchte.

Die Wirtschaftskammer Österreich, Bundessparte Information und Consulting („Die richtige Auswahl von Passwörtern“, 2012) empfiehlt folgende Aspekte für die Auswahl eines sicheren Passwortes:

- Mindeste Zeichenlänge eines Passwortes entspricht 8.
- Passwort sollte im Idealfall aus Klein- & Großbuchstaben, Sonderzeichen und Ziffern enthalten.
- Vermeidung von trivialen Passwörtern, wie z.B. bwerta, bbbbb, 09/11, 5522, etc. - im Vorfeld bereits durch Beobachtung Schluss möglich.
- Keine Vor- und Zunamen, Geburtsdaten, Telefonnummern, Autokennzeichen, etc. - Gefahr von Durchprobieren über Kenntnisse über Person.
- Keine Begriffe aus Wörterbüchern insbesondere in anderen Sprachen. Gefahr von Wörterbuchattacken.

Ferner macht die Wirtschaftskammer Österreich, Bundessparte Information und Consulting („Der richtige Umgang“, 2012) auf menschliche Faktoren bzw. SafetyProblematiken aufmerksam, dies umfasst u.a.:

- Einmalige Verwendbarkeit eines Passwortes.
- Keine verbale und schriftliche Mitteilung eines Passwortes an Mitarbeiter oder Vorgesetze.
- Besondere Vorsicht bei Phishing-Attacken auf Webseiten.

Zusätzlich ist an dieser Stelle noch erwähnenswert, dass das Passwort niemals handschriftlich aufgeschrieben werden sollte - ein ganz großes Safety-Problem ist z.B. das Passwort an den PC-Bildschirm zu kleben. Auch sollte das Passwort niemals unverschlüsselt am Computersystem abgespeichert werden. Last but not least der Ausschluss von möglichen Hard- & Software-Keyloggern vor Eingabe des Passwortes, sowie niemals Eingabe eines Passwortes während einer RemoteDesktop-Session.

Darüber hinaus sollte aufgrund der Vollständigkeit der Thematik noch erwähnt sein, dass Assets zusätzlich durch Multifaktor-Authentifizierungen, HashVerschlüsselung, Passwortverwaltungssysteme und strengen Passwortrichtlinien zusätzlich gesichert werden können - jedoch sollte beispielsweise für ein zu schützendes Authentifizierungsobjekt eine Aufwandsrechnung erfolgen - welchen Zeit- bzw. Kostenaufwand man bereit ist in Kauf zu nehmen ist natürlich abhängig vom Wert des Assets bzw. Authentifizierungsobjektes.

[...]