Mi, 22. November 2017

Gefahr bei E-Mails

25.10.2012 10:38

Sicherheitslücke: Mathematiker legt Google-Gründer rein

US-Mathematiker Zach Harris hat die Google-Gründer Sergey Brin und Larry Page (Bild) mithilfe einer Sicherheitslücke ihres eigenen Konzerns hereingelegt. Aufgrund einer leicht zu knackenden Verschlüsselung war er in der Lage, beiden eine E-Mail mit dem jeweils anderen als Absender zu schicken. Google hat das Problem inzwischen gelöst.

Alles begann mit einer E-Mail von einem Headhunter bei Google, der Harris einen Job beim Internetriesen anbot. Er sei skeptisch gewesen, wie Google auf ihn gekommen sei, erklärt Harris gegenüber "Wired", daher habe er sich gefragt, ob die E-Mail möglicherweise gefälscht sein könnte.

Die Informationen schienen zu stimmen, allerdings fiel Harris auf, dass Google eine sehr schwache Verschlüsselung verwendete, die eigentlich sicherstellen soll, dass eine E-Mail tatsächlich von einer Domain des Konzerns stammt. Das Problem war der sogenannte DKIM-Schlüssel, den Google für E-Mails von google.com einsetzte: Er hatte nur eine Länge von 512 Bit, dabei liegt der Standard bei mindestens 1.024 Bit. Je kürzer, desto einfacher für Hacker, ein seriöses Unternehmen nachzuahmen und Phishing-Versuche zu unternehmen, um arglosen Nutzern Daten zu entlocken.

Mathematiker glaubte an Einstellungstest
Harris sagt, er habe nicht glauben können, dass Google so sorglos sein könnte. Er sei der Meinung gewesen, es handle sich um einen Test seiner Fähigkeiten des Headhunters. Also habe er den Code geknackt: "Ich dachte, das wäre spaßig. Ich wollte ihr Puzzle wirklich lösen und beweisen, dass ich es kann."

Google-Gründer reingelegt
Der Mathematiker konnte den Code tatsächlich knacken. Um dem vermeintlichen Einstellungstest die Krone aufzusetzen, verschickte er anschließend eine E-Mail an Brin und Page, die angeblich der jeweils andere gesendet hatte. "Ich glaube, wir sollten untersuchen, ob Google diesen Typen (Harris, Anm.) irgendwie einbeziehen könnte", heißt es da unter Hinweis auf eine von ihm kreierte Website (mittlerweile nicht mehr aktiv).

Klammheimliche Änderung bei Google
Harris hatte die E-Mails so programmiert, dass eine Antwort an seine Mail-Adresse statt an die der Google-Gründer weitergeleitet würde - aber er habe nie eine erhalten, so der Mathematiker gegenüber "Wired". Zwei Tage später bemerkte er dafür, dass der DKIM-Schlüssel plötzlich 2.048 Bit lang war (und seither geblieben ist). Und seine Website sei auf einen Schlag von jeder Menge Google-IP-Adressen besucht worden, erklärt Harris. Google hat das Problem inzwischen bestätigt, man habe den Hinweis sehr ernst genommen und sofort auf eine sicherere Verschlüsselung umgestellt, so eine Sprecherin.

Problem im Internet weit verbreitet
Dabei ist der Konzern bei Weitem nicht der einzige, der zu kurze DKIM-Schlüssel verwendete: Er habe dasselbe Problem bei PayPal, Yahoo, Amazon, eBay, Apple, Dell, Twitter, HP und sogar Banken gefunden, so Harris. Er habe sie alle kontaktiert, die meisten hätten inzwischen auf mehr Bit umgestellt. Er habe sich nun entschlossen, die Sicherheitslücke öffentlich zu machen, um noch mehr Unternehmen dazu zu bewegen, die alten Schlüssel gegen neue auszutauschen. Ob das Jobangebot bei Google noch steht, ist nicht bekannt - verdient hätte es sich der gewitzte Mathematiker jedenfalls.

Das könnte Sie auch interessieren
Kommentar schreiben

Sie haben einen themenrelevanten Kommentar? Dann schreiben Sie hier Ihr Storyposting! Sie möchten mit anderen Usern Meinungen austauschen oder länger über ein Thema oder eine Story diskutieren? Dafür steht Ihnen jederzeit unser krone.at-Forum, eines der größten Internetforen Österreichs, zur Verfügung. Sowohl im Forum als auch bei Storypostings bitten wir Sie, unsere AGB und die Netiquette einzuhalten!
Diese Kommentarfunktion wird prä-moderiert. Eingehende Beiträge werden zunächst geprüft und anschließend veröffentlicht.

Kommentar schreiben
500 Zeichen frei
Kommentare
324

User-Beiträge geben nicht notwendigerweise die Meinung des Betreibers/der Redaktion bzw. von Krone Multimedia (KMM) wieder. In diesem Sinne distanziert sich die Redaktion/der Betreiber von den Inhalten in diesem Diskussionsforum. KMM behält sich insbesondere vor, gegen geltendes Recht verstoßende, den guten Sitten oder der Netiquette widersprechende bzw. dem Ansehen von KMM zuwiderlaufende Beiträge zu löschen, diesbezüglichen Schadenersatz gegenüber dem betreffenden User geltend zu machen, die Nutzer-Daten zu Zwecken der Rechtsverfolgung zu verwenden und strafrechtlich relevante Beiträge zur Anzeige zu bringen (siehe auch AGB).

Für den Newsletter anmelden