© Gleb Shabashnyi 123RF
Viel ist von Zero-Day-Attacken die Rede, gegen die man sich nur schwer schützen kann. Hacker haben aber auch mit viel einfacheren Angriffen Erfolg, zum Beispiel mit dem Erraten des Passworts. Und dagegen ist der Schutz einfach und billig.
Moose, der Wurm mit Appetit auf Cookies sozialer Netze, der besonders Linux-Router befällt und dann Postings liken, Follow-Einträge faken und die Viewzahlen bestimmter Videos hochtreiben kann, braucht gar keine spezielle Schwachstelle. Ihm reichen schwache Passwörter, um sich den Zugang zu erschleichen. Entsprechend breit ist die Palette angreifbarer Geräte, bis jetzt ist bekannt, dass der Wurm auf Geräten von Actiontec, Hik Vision, Netgear, Synology, TP-Link, Zyxel und Zhone funktioniert.
Eine Nebenwirkung seiner Angriffe sind Kollateralschäden auf anderen Geräten, zu denen er sich quasi irrtümlich Zugang verschafft, weil er deren Passwörter ebenfalls erraten kann. Die Entdecker des Wurms, Olivier Bilodeau und Thomas Dupuy von der Sicherheitsfirma ESET, glauben deshalb sogar, dass der Wurm selbst medizinischen Geräten wie Infusionspumpen gefährlich werden könnte.
Millionen Mal raten
Der Vorfall wirft ein weiteres Mal ein Schlaglicht auf die Bedeutung sicherer Passwörter. Brute-Force-Angriffe auf Passwörter gehören laut der Cyber-Sicherheitsfirma Fire Eye zu den Top-10-Angriffsmehoden böswilliger Hacker. Fire Eye beobachtete in einem Fall ein Subnetz mit 255 Adressen. Von jeder einzelnen gingen in nur 14 Tagen über 150000 Login-Versuche als Root-User auf dem SSH-Port 22 aus. Nach zweieinhalb Monaten waren es Millionen versuchter Logins per Server. Schon in der ersten von drei Wellen wurden auf jeder Zieladresse über 20000 Passwörter ausprobiert.
Ausweg ist bekannt
Dabei sind die Regeln für gute Passwörter eigentlich allgemein bekannt. Lang sollen sie sein, Sonderzeichen enthalten, nicht aus Wörterbucheinträgen bestehen. Solche Passworte sind nach wie vor kaum zu erraten und schwer zu knacken. Gewöhnliche PCs bräuchten sehr, sehr lange und selbst Supercomputer müssten oft jahrelang rechnen.
Auch wie man sich ein solches Passwort dennoch merken kann, weiß so gut wie jeder: Beispielsweise indem man sich einen Satz einprägt, der am besten auch Ziffern enthält und dessen Anfangsbuchstaben man nebst Groß- und Kleinschreibung sowie Interpunktion als Passwort benutzt. Wie sicher ein solches Passwort ist, das kann man unter anderem hier ausprobieren: https://checkdeinpasswort.de, (Abbildung 1).
Ein Beispiel: “8Bsmg,hmgmR” entspricht einer Zeile aus dem jiddischen Volkslied “Tsen Brider”: “Acht Brider senen mir gewesn, hobn mir gehandlt mit Ribn.” Die Kombination kann man weder erraten noch durch das Probieren zufälliger Zeichenfolgen finden, jedenfalls nicht in vertretbarer Zeit. Damit wäre man auf der sicheren Seite.
Wenn Hacker trotzdem groß angelegte Angriffsversuche auf Passwörter starten, dann weil sie genau wissen, dass viele diese kleine Mühe scheuen und Default-Passworte belassen oder sehr einfache, kurze oder trivial herleitbare Wörter benutzen und so einem Schädling wie dem Moose-Wurm den Boden bereiten.
