computerwoche.de

Archiv

Verschlüsselte Passwörter sind kein Schutz

Sicherheitslöcher in Notes und Domino gefunden

04.08.2000
FRAMINGHAM (IDG) - Niederländische Ingenieure haben weitere Sicherheitslöcher in "Lotus Notes" und "Domino" entdeckt. Sie betreffen die Verschlüsselung der Passwörter und die öffentlichen Adresslisten.

Nach den zahlreichen Microsoft-Produkten haben die Hacker jetzt auch Lotus Notes und Domino als lohnendes Angriffsziel entdeckt. Auf der amerikanischen Hackerkonferenz Defcon 8 in Las Vegas warnte die niederländische Trust Factory BV vor Schwächen im Sicherheitskonzept von Notes und Domino.

Schwachstelle sind dabei die Benutzer-Passwörter, die in alphanumerischer Form verschlüsselt abgespeichert werden. Mit Hilfe eines Hauptschlüssels können diese dann gelesen und verwendet werden. Auf diese Weise gelang es Trust Factory auf der Defcon, über einen Web-Browser sowohl Zugang zu den Passwörtern als auch zu individuellen Dateien zu bekommen.

Allerdings räumen die Niederländer ein, dass die verwendete Methode nicht ganz trivial ist und deshalb vom Gros der Script-Kiddies wie die zahlreichen Möchtegern-Hacker oft verächtlich bezeichnet werden, wohl keine Bedrohung ausgeht. Dagegen droht Notes-Usern noch von einer anderen Seite Gefahr: Sie sind nämlich, wie die Benutzer von Microsofts E-Mail-Programm "Outlook", nicht vor schädlichen E-Mail-Anhängen geschützt. Laut Patrick Guenther, Mitarbeiter bei Trust Factory, reicht es, wenn ein Benutzer ein Word-Dokument öffnet, das gefährliche Makros enthält. Diese könnten dann die Passwörter auslesen und an den Autor zurücksenden.

Auf der Defcon anwesende Lotus-Manager bestätigten die Sicherheitslücken. Zugleich betonten sie, dass man die Anwender wiederholt darauf aufmerksam gemacht habe. Zudem empfehlen die Lotus-Mitarbeiter, wie auch Trust Factory, ein neueres Hash-Verfahren zur Verschlüsselung der Passwörter zu verwenden. Dieses fügt nach dem Zufallsprinzip Zahlenfolgen in die Notes-Passwörter ein und erschwert so die Entschlüsselung. Die Empfehlung hat allerdings einen Haken: Sie funktioniert nur mit neueren Notes-Versionen und ist nicht für gemischte Umgebungen geeignet, in denen auf die Rückwärtskompatibilität zu älteren Versionen geachtet werden muss.

Darüber hinaus empfiehlt man bei Lotus, nicht die gleichen Passwörter für Web- und Server-Zugang zu verwenden. Des Weiteren seien die Zugriffsmöglichkeiten aus dem Internet heraus auf den Notes-Server auf ein Minimum zu reduzieren.