Willkommen
|
Facebook Twitter Google Plus
19.08.2017 - 01:58
Foto: dapd

Sicherheitslücke: Mathematiker legt Google- Gründer rein

25.10.2012, 10:38
US-Mathematiker Zach Harris hat die Google-Gründer Sergey Brin und Larry Page (Bild) mithilfe einer Sicherheitslücke ihres eigenen Konzerns hereingelegt. Aufgrund einer leicht zu knackenden Verschlüsselung war er in der Lage, beiden eine E-Mail mit dem jeweils anderen als Absender zu schicken. Google hat das Problem inzwischen gelöst.

Alles begann mit einer E- Mail von einem Headhunter bei Google, der Harris einen Job beim Internetriesen anbot. Er sei skeptisch gewesen, wie Google auf ihn gekommen sei, erklärt Harris gegenüber "Wired" , daher habe er sich gefragt, ob die E- Mail möglicherweise gefälscht sein könnte.

Die Informationen schienen zu stimmen, allerdings fiel Harris auf, dass Google eine sehr schwache Verschlüsselung verwendete, die eigentlich sicherstellen soll, dass eine E- Mail tatsächlich von einer Domain des Konzerns stammt. Das Problem war der sogenannte DKIM- Schlüssel, den Google für E- Mails von google.com einsetzte: Er hatte nur eine Länge von 512 Bit, dabei liegt der Standard bei mindestens 1.024 Bit. Je kürzer, desto einfacher für Hacker, ein seriöses Unternehmen nachzuahmen und Phishing- Versuche zu unternehmen, um arglosen Nutzern Daten zu entlocken.

Mathematiker glaubte an Einstellungstest

Harris sagt, er habe nicht glauben können, dass Google so sorglos sein könnte. Er sei der Meinung gewesen, es handle sich um einen Test seiner Fähigkeiten des Headhunters. Also habe er den Code geknackt: "Ich dachte, das wäre spaßig. Ich wollte ihr Puzzle wirklich lösen und beweisen, dass ich es kann."

Google- Gründer reingelegt

Der Mathematiker konnte den Code tatsächlich knacken. Um dem vermeintlichen Einstellungstest die Krone aufzusetzen, verschickte er anschließend eine E- Mail an Brin und Page, die angeblich der jeweils andere gesendet hatte. "Ich glaube, wir sollten untersuchen, ob Google diesen Typen (Harris, Anm.) irgendwie einbeziehen könnte", heißt es da unter Hinweis auf eine von ihm kreierte Website (mittlerweile nicht mehr aktiv).

Klammheimliche Änderung bei Google

Harris hatte die E- Mails so programmiert, dass eine Antwort an seine Mail- Adresse statt an die der Google- Gründer weitergeleitet würde - aber er habe nie eine erhalten, so der Mathematiker gegenüber "Wired". Zwei Tage später bemerkte er dafür, dass der DKIM- Schlüssel plötzlich 2.048 Bit lang war (und seither geblieben ist). Und seine Website sei auf einen Schlag von jeder Menge Google- IP- Adressen besucht worden, erklärt Harris. Google hat das Problem inzwischen bestätigt, man habe den Hinweis sehr ernst genommen und sofort auf eine sicherere Verschlüsselung umgestellt, so eine Sprecherin.

Problem im Internet weit verbreitet

Dabei ist der Konzern bei Weitem nicht der einzige, der zu kurze DKIM- Schlüssel verwendete: Er habe dasselbe Problem bei PayPal, Yahoo, Amazon, eBay, Apple, Dell, Twitter, HP und sogar Banken gefunden, so Harris. Er habe sie alle kontaktiert, die meisten hätten inzwischen auf mehr Bit umgestellt. Er habe sich nun entschlossen, die Sicherheitslücke öffentlich zu machen, um noch mehr Unternehmen dazu zu bewegen, die alten Schlüssel gegen neue auszutauschen. Ob das Jobangebot bei Google noch steht, ist nicht bekannt - verdient hätte es sich der gewitzte Mathematiker jedenfalls.

25.10.2012, 10:38
bge
Kommentare  
Kommentare sortieren nach:
km_num_com
km_datum_formatiert_com
von km_nickname_text_com  
km_text_com
km_kmcom_js_begin_com kmcom_add_trigger("readcomplete","kmcom_set_notify_status(Object({'object_id':km_object_id_com}))"); km_kmcom_js_end_com
km_kmcom_js_begin_com kmcom_add_trigger("readcomplete","kmcom_set_delete_status(Object({'object_id':km_object_id_com, 'status':km_status_com}))"); km_kmcom_js_end_com
Antworten sortieren nach:
km_antworten_com
km_datum_formatiert_com
von km_nickname_text_com  
km_text_com
km_kmcom_js_begin_com kmcom_add_trigger("readcomplete","kmcom_set_notify_status(Object({'object_id':km_object_id_com}))"); km_kmcom_js_end_com
km_kmcom_js_begin_com kmcom_add_trigger("readcomplete","kmcom_set_delete_status(Object({'object_id':km_object_id_com, 'status':km_status_com}))"); km_kmcom_js_end_com
User-Beiträge geben nicht notwendigerweise die Meinung des Betreibers/der Redaktion bzw. von Krone Multimedia (KMM) wieder. In diesem Sinne distanziert sich die Redaktion/der Betreiber von den Inhalten in diesem Diskussionsforum. KMM behält sich insbesondere vor, gegen geltendes Recht verstoßende, den guten Sitten oder der Netiquette widersprechende bzw. dem Ansehen von KMM zuwiderlaufende Beiträge zu löschen, diesbezüglichen Schadenersatz gegenüber dem betreffenden User geltend zu machen, die Nutzer-Daten zu Zwecken der Rechtsverfolgung zu verwenden und strafrechtlich relevante Beiträge zur Anzeige zu bringen (siehe auch AGB).
Werbung
Jetzt online spielen!
Werbung
Angaben gem ECG und MedienGesetz: Medieninhaber, Hersteller und Herausgeber bzw. Diensteanbieter
Krone Multimedia GmbH & Co KG (FBN 189730s; HG Wien) Internetdienste; Muthgasse 2, 1190 Wien
Krone Multimedia © 2017 krone.at | Impressum