Password Recovery: Die Liste an Software-Tools, mit denen die Polizeien des Bundes Passwörter cracken (Update)

Die deutschen Polizeibehörden cracken Passwörter mit kommerzieller Software aus den USA, Russland, Japan und Schweden. Das geht aus der Liste an Tools hervor, die wir veröffentlichen. Würden Privatanwender diese Software einsetzen, könnten sie sich strafbar machen – und eine Hausdurchsuchung bekommen.

Gibt's auch beim LKA und der Polizei in Sachsen: Die Software XRY von Micro Systemation.
Gibt’s auch beim LKA und der Polizei in Sachsen: Die Software XRY von Micro Systemation.

Eine vertrauenswürdige Quelle hat uns die Liste an Software-Tools genannt, mit denen die Polizeien des Bundes Passwörter cracken. Diese umfasst ausschließlich kommerzielle Produkte aus den USA, Russland, Japan und Schweden. Das Passware Kit Forensic der kalifornischen Firma Passware scheint der Marktführer zu sein, alle drei Behörden setzen das ein. Beliebt ist auch Software der russischen Firma ElcomSoft, die jüngst zu zweifelhafter Berühmtheit gelangte, als bekannt wurde, das der Hackerangriff auf private Fotos von Prominenten mit der selben Software durchgeführt wurde, die auch von Polizeibehörden verwendet wird.

Nach strenger Auslegung kann diese Software unter den so genannten Hackerparagraf fallen, der das „Verschaffen“ von „Computerprogrammen“ zum „Ausspähen und Abfangen von Daten“ verbietet. Erst im Mai gab es über 100 Wohnungsdurchsuchungen wegen Besitz des Remote Access Tools „BlackShades“. Gleichzeitig kaufen Polizei und Geheimdienste selbst Staatstrojaner und Zero-Day-Exploits.

Spannend wäre ja noch, ob die Hersteller-Firmen mit ausländischen Geheimdiensten zusammen arbeiten. Ebenfalls im Mai kündigte das Innenministerium an, keine Geschäfte mehr mit Firmen zu machen, die Daten weitergeben. Wer weiß, welche dieser Firmen solche Verpflichtungen haben?

Hier die Liste:

Bundeskriminalamt

Entschlüsselung von PIN/Passwort an Mobilfunkgeräten:

Entfernen von Passwörtern in Festplatten:

Bundespolizei

Zollverwaltung

Update: Auf Twitter wurden wir darauf hingewiesen, dass das „Computer Emergency Response Team“ der Bundeswehr laut Ausschreibung folgende Software einsetzt und deren Lizenzen verlängern will:

Bundeswehr

21 Ergänzungen

  1. wie funktionieren die Software denn grob? Nutzen die irgendwelche schwachstellen in den jeweilen geräten/dateien/whatever. Wisst ihr da was zu? Und bringt gegen diese Programme entsprechend komplexere Passwörter auch nichts? Angenommen die Polizei nimmt mir mein Laptop ab. Ideen wie ich denen das präventiv möglichst schwer machen kann, Passwörter zu knacken?
    Mfg

    1. Das mit der Passwortsicherheit ist am Ende eine Milchmädchenrechnung. Meine Hochsicherheitspasswörter haben 30 und mehr Zeichen, und trotzdem würde ich sie nicht „sicher“ nennen. Es ist letzten Endes eine Frage des Willens und der Ressourcen, wie lange es dauert, ein Passwort zu bruteforcen. Im Moment werden 100GHz-Schaltkreise entwickelt, und wer weiß was in Labors und Geheimdienstzentralen schon so Alles rumsteht.
      Interessant wäre es zu versuchen, die Decrypt-Abteilungen zu DDoSen: Einfach ein paar Katzenbilder hochsicher Verschlüsseln, den Diensten auf nem USB-Stick (Label „GEHEIM“) zuspielen, und zuschauen wie Strom für Millionen in Wärme umgesetzt wird.

      1. Ich nehme mal an das Passwörter mit ASICs geknackt werden, wenn man sieht das so ein Bitcoin ASIC schon jetzt mehr als 10.000 mal schneller ist als ein High End PC dann sollte das durchaus zu denken geben. Mit Spezialhardware ist in Sachen Bruteforce auf hashes für einen gut finanzierten Geheimdienst deutlich mehr drinnen als das was die gewöhnlichen Hacker auf ihren Kisten so zu leisten im Stande wären.

      2. Trotzdem arbeitet die Mathematik für uns. Jedes zusätzliche Zeichen bedeutet eine Potenzierung der Decrypt-Arbeit, während die Rechnerleistung nur linear steigen kann. Das echte Problem kommt, falls bzw. wenn es funktionierende Quantenrechner gibt (und damit meine ich nicht die zwei Prototypen, die angeblich bei Google und der NSA im Keller stehen).

      3. Ich möchte zu diesem Thema die Lektüre von folgendem Buch empfehlen: http://www.amazon.de/Kryptografie-Verfahren-Protokolle-Infrastrukturen-iX-ebook/dp/B00CX14PF0/ref=sr_1_1?ie=UTF8&qid=1415892431&sr=8-1&keywords=Klaus+Schmeh

        In diesem Buch ist auch eine gute Aufwandsabschätzung für das Knacken von Verschlüsselungen enthalten. Fazit: bei sicheren Algorithmen und entsprechend langen Schlüsseln bringt Ihnen auch ein Rechner wie Sie ihn beschrieben haben, nichts. Es läßt sich sogar berechnen, daß Sie bei ausreichend langen Schlüsseln gar nicht die zum Knacken notwendige Energie aufbringen können.

  2. Passware Kit Forensic: „Decrypts TrueCrypt, FileVault2, and PGP volumes in minutes“ – ich vermute entweder die haben den ersten kaufbaren Quantencomputer erfunden oder das ist marketingsprech, dass sich darauf verlässt, dass die meisten zu kurze, einfache Passwörter nutzen

    1. Wer etwas weiter liest wird fündig: Das funktioniert nur, wenn Zugriff auf ein Speicherabbild oder eine hiberfil.sys besteht, ansonsten geht nur brute force.

    2. Dabei gehts darum, den Schlüssel bzw. die Pass Phrase aus dem RAM auszulesen. Das setzt natürlich einen eingeschalteten Rechner vorraus, den die Behörden in der Regel jedoch vorfinden können, wenn Sie an der Tür klingeln. Wenn das nicht gegeben ist, können auch diese sich die Zähne ausbeißen.
      Problematisch sind jedoch auch partiell verschlüsselte Platten. Also quasi Container oder weitere Partitionen / Platten verschlüsselt, aber die primäre Partition / Platte nicht. Dann kann auch GPG, Bitlocker und co für die Füße sein. Zumindest in der Standard Konf eines Windows kann das der Fall sein, Stichwort hiberfil und pagefile.

  3. @ Andre Meister

    Ich habe den Eindruck, dass Ihr in letzter Zeit öfters Dokumente und Informationen aus Sicherheitskreisen zugespielt bekommt.

    Ihr könnt selbstverständlich nichts zu den Quellen sagen, aber es würde mich nicht wundern, wenn dieser „Beamte/r“ von neulich Recht behielte, als er sinngemäß von vielen Zweiflern unter seinen Kollegen sprach. Vielleicht hat sich der eine oder andere Beamte in den Sicherheitsbehörden dazu entschlossen, netzpoltik.org mit internen Dokumenten zu versorgen.

    Eine begrüßenswerte Entwicklung!

    Danke an alle mitlesenden Beamten in den Sicherheitsbehörden, die Massenüberwachung von Unschuldigen und Rechtsstaatsfeindlichkeit nicht länger tatenlos hinnehmen wollen!

    1. Da Leaks die einzige Möglichkeit sind Transparenz zu schaffen ist das natürlich ein großartiger Beitrag zur für eine Demokratische Debatte die ohne diese Informationen so nicht stattfinden könnte.

      1. Genau! Und deswegen wird in nicht allzu ferner Zukunft jeder Wistleblower wie ein Terrorist verfolgt und bestraft werden. -SarkasmusEnde-

  4. Ich hab sogar einige Tools selber von :–D Und noch viel mehr. Auch ne Menge Security E-Books darüber. Wer was braucht soll mir was im Kommi schreiben. Die meisten Tools funktionieren nach dem Brute Force Prinzip. Also Wörterbuch Attacken. Da sind alle möglichen Wort Kombinationen und die geht das Tool durch.

    Der beste Schutz dagegen sind folgende 3 Dinge:

    1.) Verschlüsselung. Daten Ordner und Laufwerke sowie Festplatten müssen verschlüsselt werden.

    2.) Sichere und lange Passwörter. Nutzt den Vorteil ausländischer Tastaturen. In DE nehmt z.B. die Buchstaben ö ä ü und ß in die Passwörter ein und nehmt ruhig auch Sonderzeichen wie Leerzeichen oder Klammern oder die Symbole hier oder Querstriche usw.

    3.) Der beste Schutz von allen – allerdings auch der schwierigste – Bücher und Zeitschriften über IT Sicherheit und Forensik lesen.

  5. Wer sich etwas damit beschäftigt und dann die richtigen Tools auch richtig verwendet hat wenig zu befürchten wenn er dann auch noch gute Passwörter verwendet. Wann ein PW gut ist kann man hier https://www.passwortcheck.ch/passwortcheck/check.php sehr gut testen (was ich eben mit einem meiner PW gemacht habe = Ungefähre Zeit für Suche: 2’448’023’119’241’780’015’407’722’081 Jahr(e) (bei 2’000’000’000 Tests/Sekunde) ). Hab ich allerdings einen Bundestrojaner auf dem Rechner der meine Keys mitloggt hilft auch das beste PW. nix, weshalb Menschen wie Glenn Greenwald für bestimmte Zwecke sogenannte AirGap Computer haben, die niemals Kontakt mit dem Internet hatten.

    1. So traurig es klingt…
      Aber wenn man etwas mehr Sicherheit möchte, dann muss man tatsächlich dazu übergehen, einen möglichst älteren PC zu verwenden, diesen nicht und niemals mit dem Internet zu verbinden, dabei das gesamte System entsprechend verschlüsseln nach aktuell „sicheren“ Möglichkeiten (kann man z. B. TrueCrypt 7.1a trauen oder nicht?) und auch diesen PC niemals offen stehen lassen.

      Aber auch das ist keine absolute Sicherheit, denn es besteht immer noch die Möglichkeit, dass ein „Geheimdienstler“ in die Wohnung einbricht, Kameras installiert, Keylogger oder andere Hardware, welche die Passphrasen entsprechend abzufangen. Entweder dann per Internet übertragen werden, oder halt lokal gespeichert und irgendwann wieder „abgeholt“, wenn man nicht zu Hause ist.

      Wirkliche Sicherheit gibt es nicht. Man kann höchstens die Überwachung „online“ einschränken.

      Und im allerschlimmsten Fall… ich meine, unsere Regierung hat sich auch daran beteiligt, CIA-Flüge in Foltergefängnisse zu veranstalten. Es wird nicht mehr sooo lange dauern, dann werden auch wir Erzwingungshaft zur Herausgabe von Passwörtern bekommen, dann werden eben Menschen auf unbestimmte Zeit und ohne Straftat weggesperrt. Dient ja alles irgendeiner ominösen Sicherheit. Oder der Besitz und die Nutzung von Verschlüsselungsprogrammen wird zur Straftat deklariert.
      Mit harmlosen FKK-Fotos machen wir das ja auch ab morgen, dann wird auch dieser Besitz zur Straftat und zieht mehrjährige Haftstrafen nach sich. Der Maas macht das schon, der erschafft seit Kurzem ein drakonisches Gesetz nach dem anderen, ohne dass er aufgehalten wird.

      So sehr das Internet das Leben auch bereichern möge… inzwischen denke ich ernsthaft darüber nach, ob eine komplette Abschaltung nicht sinnvoll wäre inkl. der Abschaffung von Mobilfunknetzen. Menschen können sich arrangieren, dann trifft man sich eben wieder privat. Das macht zwar auch das Abhören weiterhin möglich, ist aber deutliche zeit- und personalaufwändiger.

      Aber wollen wir wirklich permanent überwacht und kontrolliert werden? Offensichtlich geht dies heutzutage automatisch damit einher, wenn man inzwischen alltäglich gewordene Technik benutzt.

    2. Männers ich habe leider eine schlechte Nachricht für euch. Passwörter sind auch OHNE Internet Verbindung abgreifbar ! Auch der Krypto Guru Bruce Schneier macht es wie Greenwald – dass wenn er aufm PC wichtige Sachen erledigt er keinerlei Internet Verbindungen zulässt. Aber auch das ist Wurst – siehe hier

      http://www.golem.de/news/airhopper-offline-pc-schickt-passwort-per-ukw-an-offline-handy-1410-110187.html

      Und nicht nur Open Software sondern auch Open Hardware benutzen soweit möglich – das heißt wo die Schaltpläne dabei sind und man bis auf die kleinste Schraube weiß was drin verbaut ist.

  6. Was heisst schon „sicher“ in Zeiten von Bundestrojanern, Drohnenüberwachung und Diensten, die Sicherheitslücken nicht kommunizieren und schließen, sondern ausnutzen wollen, um Systeme zu infiltrieren?
    Eine Passphrase an sich mag durchaus noch sicher sein, wenn sie entsprechend gewählt wurde… die Frage ist, inwieweit diese bei all den Überwachungsinstrumentarien noch geheim gehalten werden kann?
    Es ist nur eine Frage der Zeit, bis Erzwingungshaft auch hier angeordnet wird, und zwar so lange, bis man das Passwort freiwillig rausrückt, notfalls wird eben nachgeholfen, da gibt es sicher motivierte Mithäftlinge, die z. B. in der Dusche in einem unbewachten Moment die Argumente, die für die Herausgabe sprechen, verstärken.
    Aber alleine schon die Androhung einer mehrmonatigen Haft, die dazu führt, dass ein „Beschuldigter“ alles verliert… Job, oftmals auch Wohnung, die nicht mehr gehalten werden kann etc., stellt dann die Wahl: Entweder eventuell selbst belasten (oder auch Betriebsgeheimnisse verraten etc.) oder halt das Ende der eigenen sozialen Existenz in Kauf nehmen. Nach dem Motto: „Verurteilen können wir Dich nicht, aber dafür haben wir alles zerstört, was für Dich ein gewohntes Leben ausmachte.“ – Sanktionierung über einen sekundären Weg. Hinzu kommt dann, dass man es nach so einer Maßnahme auch auf dem Arbeitsmarkt schwierig haben dürfte, überhaupt noch eine Stelle zu finden. Vom Beruf in den Knast und direkt in Hartz IV, prekär hildsbedürftig höchstwahrscheinlich bis ins Grab.

    Oder wir halten es wie in den USA, dass dann eben verschlüsselte Notebooks etc. beschlagnahmt werden. Und wenn da gerade sensible Firmendaten drauf sind, ggf. millionenschwer, dann hat man eben Pech. Entweder gestattet man die Spionage, oder man darf nicht einreisen, wird enteignet und wieder zurück geschickt oder schlimmstenfalls eingesperrt (und/oder gefoltert). Fertig. Noch ist es nicht so weit, die Betonung liegt aber sehr deutlich auf dem Wörtchen „noch“.

    Was ich aber fast schon genauso bedenklich finde:
    Was passiert denn im Allgemeinen mit Datenträgern, an denen sie eine Verschlüsselung vermuten, diese nicht untersucht werden können? Sie werden im Regelfall eingezogen. Auch, wenn eine vorgeworfene Tat nicht bestätigt wird oder ggf. das Ermittlungsverfahren eingestellt werden muss, weil es einfach keine Beweise gibt.
    Dann steht man als Beschuldigter trotzdem ziemlich doof in der Landschaft. Mal abgesehen vom Wert eingezogener Gegenstände haben die meisten Menschen inzwischen ihren gesamten Lebenslauf auf Computern gespeichert. Fotos, Briefe, Dokumente wie Zeugnisse, Urkunden etc., private Daten wie Filme, Musik, inzwischen oftmals auch gekaufte und bezahlte Software, was je nach System auch in die Tausende gehen kann… also eigentlich das gesamte, private Leben und die gesamte Vergangenheit.

    Das heisst, die ZUSÄTZLICHE Frage, die sich heute stellt: Wie können Daten überhaupt noch SICHER aufbewahrt werden? Also sicher nicht nur im Sinne, diese Daten vor (unbefugten) Zugriffen zu schützen, sondern ganz allgemein auch die eigene Zugriffsmöglichkeit dieser Daten. Denn wenn die gründlich genug suchen, nehmen die einfach alles mit und dann sind auch Backups weg. In die Cloud? Auch darauf haben sie inzwischen recht leicht Zugriff. Scherzhaft gesagt: Extern irgendwo im Wald verbuddeln? Das wird aber schwierig, mit Backups auf dem Laufenden zu bleiben.

    Das Szenario wird jedoch immer wahrscheinlicher und da die Polizei ohnehin dazu übergegangen ist, Massenhausdurchsuchungen auf bloßen Vermutungen hin durchzuführen, denn tatsächliche Anhaltspunkte benötigen sie scheinbar nicht mehr, da dieses Treiben ohnehin munter von den Amtsgerichten abgedeckt ist und Beschuldigte dem chancen- und machtlos gegenüber stehen, ist die Wahrscheinlichkeit, mindestens einmal im Leben Opfer einer Hausdurchsuchung zu werden, sehr hoch. Es reicht doch inzwischen schon aus, bei einem Beschuldigten/Verdächtigen als Kontakt im Handy zu stehen.

    Nach so einem eingestellten Ermittlungsverfahren stehen die meisten Betroffenen vor einem Trümmerhaufen und wenn sie Pech haben, ist auch noch ihre eigene gesamte Vergangenheit unwiederbringlich ausgelöscht, es sei denn, man lässt natürlich die Ermittler durch diese Daten schnüffeln, was aber wohl jeder Mensch mit ausreichend Restverstand nicht dulden möchte. Ganz egal, ob da jetzt irgendetwas „Belastendes“ ist oder nicht. Ein wenig Würde möchte man doch schon bewahren, vor allem dann, wenn man miterleben durfte, wie sie das persönliche Hab & Gut durchwühlen und entehren, eine psychische Schädigung, die man auch Jahre danach nicht mehr los wird.

    Das sind ebenfalls Themen, über die wir als Gesellschaft insgesamt eigentlich viel deutlicher sprechen müssten. Denn was in diesem Land geschieht, ist ein radikaler Kahlschlag aller Bürger- und Menschenrechte zugunsten eines willkürlich agierenden Polizeistaates. Und das kann und darf keine erstrebenswerte Zukunft sein.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.