Das Programm ist nichts für Handbuch-Verächter. Schon das Herunterladen der Software von den Mobile-Sitter-Webseiten wirkt umständlich für den, der schon lange keine gezipte Datei mehr entpackt hat. Dann – was zuerst auf dem gewählten Black Berry 8800 installieren? Zunächst die Software selber – und dann den Schlüssel, logisch. Aber das dauert. Ach hätte man nur die Anweisung gelesen, die für die meisten Handys, MDAs und PDAs tatsächlich zur Verfügung steht!
"Wir haben für, ich kann es nicht genau sagen, also für sehr viele Geräte Installationsanleitungen geschrieben, wo wir beschreiben, also Schritt für Schritt, wie man Software, wie man die Lizenzschlüssel auf das Gerät überträgt, wie man's installiert und wie man den Lizenzschlüssel dann lädt. Das ist sowohl im Netz bei den Installationsanleitungen beschrieben wie auch dann in der Bedienungsanleitung, die man in einem PDF Dokument von unseren Seiten runterladen kann..."
… sagt Doktor Markus Schneider, zuständig beim Darmstädter Fraunhofer SIT für das Innovationsmanagement. Programm und Lizenzschlüssel sind nun mit Schneiders Hilfe installiert, was ohne Anleitung recht lange gedauert hat. Hauptpasswort eingeben, und es überrascht ein hübsches, buntes Symbol, ein kleines, rotes Herz auf blauem Grund, das dem berechtigten Nutzer - und nur ihm – das Zeichen gibt, dass er nicht nur das richtige Passwort gewählt, sondern es auch korrekt eingeben hat. Es naht der große Moment: die Eingabe der PIN für die EC-Karte. Erstmal den Namen PIN in die Tastatur eingeben und dann die vierstellige Nummer - sollte eigentlich ganz einfach sein, ist es aber nicht! Auf der kanadischen Brombeer-Plattform erscheint eine nicht zu beseitigende Fehlermeldung, eine sogenannte Exception. Runterfahren! Markus Schneider wirkt sehr irritiert.
"Oh je, das kann ich Ihnen jetzt gar nicht … gehen Sie mal bitte raus … das sollte eigentlich … machen Sie mal OK, starten Sie sich mal neu."
Nach dem Neustart des Programms – zum Glück kein Hard Reset des ganzen MDAs – erweist sich die Warnung als elektronischer Papiertiger. Nach Eingabe des richtigen Passwortes erscheint im Verzeichnis PIN die richtige PIN. Es hat also doch funktioniert. Auf einem HTC Kaiser, besser bekannt als "MDA Vario III", erscheint diese Fehlermeldung nicht. Lustig ist es, in das JAVA-basierte Programm bewusst ein falsches Passwort einzugeben, zum Beispiel 12345. Und schon kommt wieder ein anderes hübsches Symbol - und etwas, das aussieht wie eine richtige PIN. Nur ist sie leider grottenfalsch, und nach der dritten Eingabe würde die Karte vom Automaten eingezogen. Ein wichtiger Trick: Wer Missbrauch treibt, bekommt nie eine Information, dass sein Passwort falsch ist. Der Hacker oder sein PC sieht immer etwas scheinbar Vernünftiges. Markus Schneider:
"Das Masterpasswort ist nicht persistent gespeichert, und es ist auch kein Referenzwert, kein Vergleichswert zum Masterpasswort persistent gespeichert. Das ist ebenso, dass wir das Masterpasswort als Schlüssel zur Ver- und Entschlüsselung benutzen. Es ist nicht so, dass irgendein Wert, der vom Masterpasswort abhängig ist, als Referenzwert verwendet wird, um die Korrektheit des Masterpassworts zu überprüfen. Er nimmt einfach dieses Masterpasswort, diesen Wert als Schlüssel und steckt diesen Schlüssel in einen Entschlüsselungsalgorithmus rein und entschlüsselt auf Basis dieses Masterpassworts die verschlüsselt hinterlegte Information. Wenn sie einen falschen Schlüssel eingeben, dann entschlüsselt der natürlich auch, aber entschlüsselt halt auf einen falschen Wert."
Extreme Brute Force-Attacken werden so verhindert. Alleine der berechtigten Nutzer wird an seine Geheimzahlen erinnert.
"Er nimmt einfach dieses Masterpasswort, diesen Wert, als Schlüssel und steckt diesen Schlüssel in einen Entschlüsselungsalgorithmus rein und entschlüsselt auf Basis dieses Masterpassworts die verschlüsselt hinterlegte Information. Wenn Sie einen falschen Schlüssel eingeben, dann entschlüsselt der natürlich auch, aber er entschlüsselt halt auf einen falschen Wert."
Der Black Berry bietet ja schon einen eigenen Passwort-Safe. Zehnmal darf jeder etwas Falsches eingeben, dann sperrt sich das Programm. Aber das lässt sich leicht umgehen, sagt Schneider: Hat man die ursprüngliche Version des Sicherheitswerkzeuges gespeichert, könne man immer wieder von vorne anfangen und hat immer zehn neue Versuche. Und irgendwann, theoretisch, findet der Hacker das Passwort heraus.
"Unser Verfahren, also der Mobile Sitter, arbeitet anders als konventionelle Passwort-Tools. Bei den konventionellen Passwort-Tools sind sogenannte Wörterbuchangriffe möglich. Das heißt, ein Hacker kann entweder manuell, er wird es aber nicht manuell tun, sondern wird irgendeine Software schreiben. Und diese Software versucht wiederholt, Masterpasswörter einzugeben, und die Software beobachtet, wie sich das attackierte Objekt verhält und wird solange Masterpasswörter eingeben, bis sie erkannt hat, dass sie fündig geworden ist. Wir geben einem Angreifer keine Rückmeldung darüber, ob er fündig geworden ist. Das heißt, weder Mensch noch Maschine kann, wenn sie wiederholt Masterpasswortkandidaten eingibt, erkennen, ob oder wann sie das richtige Masterpasswort gefunden hat."
Nach zweieinhalb Tagen hat man den Mobile Sitter, der im Jahr knapp zehn Euro pro Einzellizenz verschlingt, einigermaßen im Griff.
"Wir haben für, ich kann es nicht genau sagen, also für sehr viele Geräte Installationsanleitungen geschrieben, wo wir beschreiben, also Schritt für Schritt, wie man Software, wie man die Lizenzschlüssel auf das Gerät überträgt, wie man's installiert und wie man den Lizenzschlüssel dann lädt. Das ist sowohl im Netz bei den Installationsanleitungen beschrieben wie auch dann in der Bedienungsanleitung, die man in einem PDF Dokument von unseren Seiten runterladen kann..."
… sagt Doktor Markus Schneider, zuständig beim Darmstädter Fraunhofer SIT für das Innovationsmanagement. Programm und Lizenzschlüssel sind nun mit Schneiders Hilfe installiert, was ohne Anleitung recht lange gedauert hat. Hauptpasswort eingeben, und es überrascht ein hübsches, buntes Symbol, ein kleines, rotes Herz auf blauem Grund, das dem berechtigten Nutzer - und nur ihm – das Zeichen gibt, dass er nicht nur das richtige Passwort gewählt, sondern es auch korrekt eingeben hat. Es naht der große Moment: die Eingabe der PIN für die EC-Karte. Erstmal den Namen PIN in die Tastatur eingeben und dann die vierstellige Nummer - sollte eigentlich ganz einfach sein, ist es aber nicht! Auf der kanadischen Brombeer-Plattform erscheint eine nicht zu beseitigende Fehlermeldung, eine sogenannte Exception. Runterfahren! Markus Schneider wirkt sehr irritiert.
"Oh je, das kann ich Ihnen jetzt gar nicht … gehen Sie mal bitte raus … das sollte eigentlich … machen Sie mal OK, starten Sie sich mal neu."
Nach dem Neustart des Programms – zum Glück kein Hard Reset des ganzen MDAs – erweist sich die Warnung als elektronischer Papiertiger. Nach Eingabe des richtigen Passwortes erscheint im Verzeichnis PIN die richtige PIN. Es hat also doch funktioniert. Auf einem HTC Kaiser, besser bekannt als "MDA Vario III", erscheint diese Fehlermeldung nicht. Lustig ist es, in das JAVA-basierte Programm bewusst ein falsches Passwort einzugeben, zum Beispiel 12345. Und schon kommt wieder ein anderes hübsches Symbol - und etwas, das aussieht wie eine richtige PIN. Nur ist sie leider grottenfalsch, und nach der dritten Eingabe würde die Karte vom Automaten eingezogen. Ein wichtiger Trick: Wer Missbrauch treibt, bekommt nie eine Information, dass sein Passwort falsch ist. Der Hacker oder sein PC sieht immer etwas scheinbar Vernünftiges. Markus Schneider:
"Das Masterpasswort ist nicht persistent gespeichert, und es ist auch kein Referenzwert, kein Vergleichswert zum Masterpasswort persistent gespeichert. Das ist ebenso, dass wir das Masterpasswort als Schlüssel zur Ver- und Entschlüsselung benutzen. Es ist nicht so, dass irgendein Wert, der vom Masterpasswort abhängig ist, als Referenzwert verwendet wird, um die Korrektheit des Masterpassworts zu überprüfen. Er nimmt einfach dieses Masterpasswort, diesen Wert als Schlüssel und steckt diesen Schlüssel in einen Entschlüsselungsalgorithmus rein und entschlüsselt auf Basis dieses Masterpassworts die verschlüsselt hinterlegte Information. Wenn sie einen falschen Schlüssel eingeben, dann entschlüsselt der natürlich auch, aber entschlüsselt halt auf einen falschen Wert."
Extreme Brute Force-Attacken werden so verhindert. Alleine der berechtigten Nutzer wird an seine Geheimzahlen erinnert.
"Er nimmt einfach dieses Masterpasswort, diesen Wert, als Schlüssel und steckt diesen Schlüssel in einen Entschlüsselungsalgorithmus rein und entschlüsselt auf Basis dieses Masterpassworts die verschlüsselt hinterlegte Information. Wenn Sie einen falschen Schlüssel eingeben, dann entschlüsselt der natürlich auch, aber er entschlüsselt halt auf einen falschen Wert."
Der Black Berry bietet ja schon einen eigenen Passwort-Safe. Zehnmal darf jeder etwas Falsches eingeben, dann sperrt sich das Programm. Aber das lässt sich leicht umgehen, sagt Schneider: Hat man die ursprüngliche Version des Sicherheitswerkzeuges gespeichert, könne man immer wieder von vorne anfangen und hat immer zehn neue Versuche. Und irgendwann, theoretisch, findet der Hacker das Passwort heraus.
"Unser Verfahren, also der Mobile Sitter, arbeitet anders als konventionelle Passwort-Tools. Bei den konventionellen Passwort-Tools sind sogenannte Wörterbuchangriffe möglich. Das heißt, ein Hacker kann entweder manuell, er wird es aber nicht manuell tun, sondern wird irgendeine Software schreiben. Und diese Software versucht wiederholt, Masterpasswörter einzugeben, und die Software beobachtet, wie sich das attackierte Objekt verhält und wird solange Masterpasswörter eingeben, bis sie erkannt hat, dass sie fündig geworden ist. Wir geben einem Angreifer keine Rückmeldung darüber, ob er fündig geworden ist. Das heißt, weder Mensch noch Maschine kann, wenn sie wiederholt Masterpasswortkandidaten eingibt, erkennen, ob oder wann sie das richtige Masterpasswort gefunden hat."
Nach zweieinhalb Tagen hat man den Mobile Sitter, der im Jahr knapp zehn Euro pro Einzellizenz verschlingt, einigermaßen im Griff.