Key Escrow schafft Sicherheitslücken
Seit der 2003er-Version nutzt Intuit eine sehr starke Verschlüsselung für Quicken-Nutzerpasswörter, hat diese aber augenscheinlich selbst ausgehebelt. Eine Backdoor ermöglicht es Intuit, beispielsweise einen eigenen Entschlüsselungs-Service anzubieten. Zur Entsperrung geschützter Dateien ist ein 512-bit RSA-Schlüssel nötig, den nur Intuit kennt. Zudem ist die Wahrscheinlichkeit hoch, dass der Schlüssel auch bei staatlichen Kontrollbehörden hinterlegt wurde, die in bestimmten Fällen Zugang zu sensiblen Finanzdaten haben möchten.
Dieses sogenannte „Key Escrow“ (Schlüsselhinterlegung) schafft allerdings Schwachstellen: Während es Crackern nahezu unmöglich sein dürfte, den Passwortschutz des Finanzprogramms zu knacken, ist es für sie umso leichter, eine hinterlegten „Zentralschlüssel“ zu stehlen, wenn sie nur wissen, wo sie danach suchen müssen. Da es beispielsweise für Gerichte nicht allzu schwer sein darf, im Ernstfall an einen Escrow Key zu kommen, muss relativ bekannt sein, wer die „Trusted Third Parties“ – die Hüter der Schlüssel – sind. Es gibt also „Zeiger“ oder Hinweise, die auch Cracker zum Ziel leiten können. Fällt ein Zentralschlüssel erst einmal in falsche Hände, sind Millionen von Bankkonten, Kreditkartennummern oder ähnlich wertvolle Daten mit einem Schlag de facto ungeschützt.
Volle Kontrolle über eigene Daten
ElcomSoft arbeitet kontinuierlich an der Verbesserung seiner Schlüsseldienst-Tools, um Nutzern von gängigen Windows-Anwendungen und anderen beliebten Programmen auch dann Zugang zu ihren Daten zu verschaffen, wenn sie ihr Passwort einmal verloren oder vergessen haben. Auch für Intuit Quicken verfügt ElcomSoft über eine Lösung namens Advanced Intuit Password Recovery (AINPR), die bislang nur einfache Passwörter wiederherstellen konnte. Über die Backdoor ist dies nun auch sehr schnell und für schwierigere Passwörter möglich.
„Erst als wir unsere fortschrittlichsten Entschlüsselungstechnologien eingesetzt haben, um eine besser Lösung für unsere Kunden zu erarbeiten, sind wir auf die undokumentierte und gut verborgene Lücke gestoßen“, so Vladimir Katalov, CEO von ElcomSoft. „Uns ist es dann auch gelungen, Intuits 512-bit RSA-Schlüssel zu faktorisieren.“
Transparenz first: CERT informiert
„Wir nutzen die Sicherheitslücke derzeit, um unseren Kunden einen besseren Service bieten zu können“, sagt Vladimir Katalov. „Wir tun das aber nicht still und heimlich, sondern weisen die Öffentlichkeit darauf hin. Damit ‚riskieren’ wir zwar, dass die Lücke geschlossen wird und unser Programm dadurch wieder an Funktionalität verliert, verhindern aber, dass andere die Lücke unbemerkt nutzen, um Anwender auszuspähen.“
ElcomSoft hat einen offiziellen Schwachstellen-Report an das US-amerikanische CERT geschickt. Das CERT ist dafür verantwortlich, sich gefährlicher Sicherheitslücken anzunehmen und Schwachstellen in Produkten zu analysieren. Das CERT wurde gegründet, kurz nachdem der Morris-Wurm 1988 mehr als zehn Prozent des Internets lahm gelegt hatte. Es wird vor allem durch öffentliche Mittel des „US- Department of Defense and Department of Homeland Security“ finanziert.
Advanced Intuit Password Recovery
Advanced Intuit Password Recovery ist ein Programm zur Wiederherstellung verlorener oder vergessener Kennwörter zu Dateien von Intuit Quicken (*.QDT, *.QDB, *.QDF), Quicken Lawyer (*.PFL, *.BFL) und QuickBooks (.QBA, .QBW). Kennwörter unterschiedlicher Sprachen werden unterstützt. Quicken-Versionen 4 bis 2007 und QuickBooks Versionen 3 bis 2007 werden unterstützt. Advanced Intuit Password Recovery und alle anderen Entschlüsselungslösungen von ElcomSoft laufen unter Windows NT4/2000/XP/2003/Vista. Weitere Informationen finden Sie im Internet unter www.elcomsoft.de/....