Gefahr bei E-Mails

Sicherheitslücke: Mathematiker legt Google-Gründer rein

Sergey Brin und Larry Page im September 2008

(Bild: dapd)

US-Mathematiker Zach Harris hat die Google-Gründer Sergey Brin und Larry Page (Bild) mithilfe einer Sicherheitslücke ihres eigenen Konzerns hereingelegt. Aufgrund einer leicht zu knackenden Verschlüsselung war er in der Lage, beiden eine E-Mail mit dem jeweils anderen als Absender zu schicken. Google hat das Problem inzwischen gelöst.

Alles begann mit einer E-Mail von einem Headhunter bei Google, der Harris einen Job beim Internetriesen anbot. Er sei skeptisch gewesen, wie Google auf ihn gekommen sei, erklärt Harris gegenüber "Wired", daher habe er sich gefragt, ob die E-Mail möglicherweise gefälscht sein könnte.

Die Informationen schienen zu stimmen, allerdings fiel Harris auf, dass Google eine sehr schwache Verschlüsselung verwendete, die eigentlich sicherstellen soll, dass eine E-Mail tatsächlich von einer Domain des Konzerns stammt. Das Problem war der sogenannte DKIM-Schlüssel, den Google für E-Mails von google.com einsetzte: Er hatte nur eine Länge von 512 Bit, dabei liegt der Standard bei mindestens 1.024 Bit. Je kürzer, desto einfacher für Hacker, ein seriöses Unternehmen nachzuahmen und Phishing-Versuche zu unternehmen, um arglosen Nutzern Daten zu entlocken.

Mathematiker glaubte an Einstellungstest
Harris sagt, er habe nicht glauben können, dass Google so sorglos sein könnte. Er sei der Meinung gewesen, es handle sich um einen Test seiner Fähigkeiten des Headhunters. Also habe er den Code geknackt: "Ich dachte, das wäre spaßig. Ich wollte ihr Puzzle wirklich lösen und beweisen, dass ich es kann."

Google-Gründer reingelegt
Der Mathematiker konnte den Code tatsächlich knacken. Um dem vermeintlichen Einstellungstest die Krone aufzusetzen, verschickte er anschließend eine E-Mail an Brin und Page, die angeblich der jeweils andere gesendet hatte. "Ich glaube, wir sollten untersuchen, ob Google diesen Typen (Harris, Anm.) irgendwie einbeziehen könnte", heißt es da unter Hinweis auf eine von ihm kreierte Website (mittlerweile nicht mehr aktiv).

Klammheimliche Änderung bei Google
Harris hatte die E-Mails so programmiert, dass eine Antwort an seine Mail-Adresse statt an die der Google-Gründer weitergeleitet würde - aber er habe nie eine erhalten, so der Mathematiker gegenüber "Wired". Zwei Tage später bemerkte er dafür, dass der DKIM-Schlüssel plötzlich 2.048 Bit lang war (und seither geblieben ist). Und seine Website sei auf einen Schlag von jeder Menge Google-IP-Adressen besucht worden, erklärt Harris. Google hat das Problem inzwischen bestätigt, man habe den Hinweis sehr ernst genommen und sofort auf eine sicherere Verschlüsselung umgestellt, so eine Sprecherin.

Problem im Internet weit verbreitet
Dabei ist der Konzern bei Weitem nicht der einzige, der zu kurze DKIM-Schlüssel verwendete: Er habe dasselbe Problem bei PayPal, Yahoo, Amazon, eBay, Apple, Dell, Twitter, HP und sogar Banken gefunden, so Harris. Er habe sie alle kontaktiert, die meisten hätten inzwischen auf mehr Bit umgestellt. Er habe sich nun entschlossen, die Sicherheitslücke öffentlich zu machen, um noch mehr Unternehmen dazu zu bewegen, die alten Schlüssel gegen neue auszutauschen. Ob das Jobangebot bei Google noch steht, ist nicht bekannt - verdient hätte es sich der gewitzte Mathematiker jedenfalls.