Arbeitsspeicher kann Passwörter verraten

Unsere Reihe von Blogbeiträgen durch Studierende der FHPolBB wird heute mit einem Beitrag von Florian Weizenfeld fortgesetzt. Herr Weizenfeld ist PKA und zudem Informatiker. So liegt es nahe, dass er in seinem Beitrag eine Frage der technischen Sicherheit im Internet analysiert. Dass einzelne Arbeitsschritte seines im Folgenden skizzierten Experiments nicht zu detailliert ausgeführt werden, liegt an der Intention dieses Blogs: Wir wollen Internetnutzer schützen und keine Blaupausen für kriminelle Aktivitäten liefern. Reflektieren wir also gemeinsam mit Herrn Weizenfeld riskante Aspekte der Nutzung öffentlicher Rechner:

(Herr Weizenfeld wird unser Bloggerteam in Zukunft mit weiteren Beiträgen unterstützen. Wir freuen uns schon jetzt darauf: Herzlich willkommen!)

Die heutige Zeit ist davon geprägt, immer und überall Online zu sein. E-Mails und Facebook-Benachrichtigungen werden zur jeder Zeit, an jedem Ort auf dem Smartphone empfangen. Falls kein Smartphone zur Hand ist oder ein größerer Bildschirm zum Surfen benötigt wird, geht man in das nächste Internet Cafe, nutzt öffentliche Rechner der Schule, Universitäten oder Bibliotheken oder den Rechner am Arbeitsplatz. Einmal im Internet, werden u.a. E-Mails gecheckt, der Facebook-Status aktualisiert und einige Fotos in die Dropbox gelegt. Wer die Ratschläge der Profis befolgt, der besitzt für alle Zugänge ein gesondertes Passwort, loggt sich nach jeder Internetnutzung aus und sorgt dafür, dass die beim Surfen entstandenen Cookies wieder gelöscht werden.

Selbst auf Fremdrechnern, die nicht mit Schadsoftware verseucht sind und auf denen man diese Sicherheitsmaßnahmen beachtet, können jedoch riskante Spuren hinterlassen werden. Zum Beweis habe ich einen Selbstversuch durchgeführt, um Ihnen zu illustrieren, welche persönlichen Daten man unbeabsichtigt hinterlassen kann. Dazu habe ich mit dem Pseudonym „Christoph Baumann“ einen kostenlosen E-Mail-Account bei einem der großen Anbieter geschaffen, ihn mit dem Passwort „19WaldBaum!84“ gesichert und zusätzlich einen begleitenden Facebook-Account eröffnet (was natürlich auch mit anderen sozialen Netzwerken, wie etwa Google+ möglich gewesen wäre). Mein Ziel war es zu testen, ob das Passwort nach der Internetnutzung und unter Beachtung der genannten Sicherheitsregeln unverschlüsselt auf einem benutzten Rechner wiederzufinden ist.

Dazu begab ich mich an einen öffentlichen Rechner mit Internetzugriff und loggte mich in die neu erschaffenen Accounts ein. Nach ausgiebiger Internetnutzung als Christoph Baumann habe ich meine E-Mails abgerufen, meine Erlebnisse bei Facebook geteilt und in einem Text-Editor eine E-Mail verfasst, die ich anschließend doch verworfen und dazu die ungespeicherte (!) Datei geschlossen habe. Ich loggte mich schließlich überall ordnungsgemäß aus, löschte alle Cookies, schloss den Browser und ging so davon aus, durch Nutzung der Sicherheitsrichtlinien keine nennenswerten Spuren hinterlassen zu haben. Lassen Sie uns nun gemeinsam prüfen, ob das tatsächlich der Fall war:

Da überprüft wurde, dass der Rechner nicht mit Schadsoftware verseucht war, entfielen versteckte Speicherorte, die eventuell von Schadprogrammen ausgebeutet werden könnten. Neben der Festplatte als regulärem Datenspeicher wird in einem gängigen Rechner jedoch auch der Arbeitsspeicher genutzt, um Daten abzulegen. So werden etwa benötigte Daten ganz oder teilweise von der Festplatte in den Arbeitsspeicher geladen, damit der Prozessor bei der Verarbeitung nicht auf die (im Vergleich zu seinem Arbeitstempo langsamere) Festplatte warten muss. Dies geschieht analog zu einer Fabrik, die Werkstoffe in der Fertigungshalle lagert, damit nicht jedes Teil erst aus dem entfernten Lager holen muss. Grundsätzlich könnte es also der Fall sein, dass meine Passwort-Eingaben zur Verarbeitung in diesem Arbeitsspeicher gespeichert worden sind – und dort noch vorliegen.

Die IT-Forensik nutzt zahlreiche Programme, die es dem Benutzer ohne technisches Vorwissen ermöglichen, den Arbeitsspeicher in eine Datei zu kopieren. Sobald eine solche Datei erzeugt ist, kann diese in einem Editor geöffnet und betrachtet werden. Zur Prüfung des Arbeitsspeichers suchte ich mir nun ein Programm aus, das ohne Installation auskommt, da einige öffentliche Rechner keine Installation von Programmen erlauben. Ein solches Programm kann auf einem einfachen USB-Stick gespeichert werden, der groß genug ist um eine Kopie des Arbeitsspeichers zu fassen, der dann komplett auf den Stick kopiert wird. Ist dies geschehen, kann diese Kopie auf einem anderen Rechner in den Editor geladen und nach Zugangsdaten untersucht werden.

Noch einmal zur Verdeutlichung unseres gemeinsamen Szenarios: Nachdem mein Pseudonym Christoph Baumann in einem Internetcafé gängige Surftätigkeiten unter Nutzung der empfohlenen Sicherheitsrichtlinien abgeschlossen hat, könnte sich ein nächster Kunde mit krimineller Intention an diesen Rechner setzen und in wenigen Minuten mit einem Stick den Arbeitsspeicher auslesen. Diesen Arbeitsspeicher könnte er dann mit nach Hause nehmen und am eigenen Rechner in Ruhe durchsuchen.

Eine solche Suche nimmt in der Regel einige Zeit in Anspruch, da nicht exakt klar ist, wonach gesucht werden muss. Da mich in meinem kleinen Experiment nur interessierte, ob die gesuchten Daten existieren, habe ich es mir ein wenig einfacher gemacht und zunächst direkt nach dem Passwort „19WaldBaum!84“ gesucht. Diese Suche ergab keinen Treffer. Doch die Vorfreude war verfrüht, denn Sonderzeichen, wie etwa das „!“ in meinem Passwort, werden nicht im ASCII-Code des Editors dargestellt – also wiederholte ich die Suche mit dem Passwortauszug „WaldBaum“ und bekam nach einiger Zeit gleich 10 Treffer angezeigt. Wie der folgende Screenshot zeigt, fand ich das Passwort dabei quasi im Klartext vor, nur dass das „!“ als „%21“ dargestellt wurde, was dem im Editor genutzten Hexadezimalcode entspricht.

Weizenfeld 1

Somit bewahrheiteten sich also die eingangs skizzierten Befürchtungen: man kann trotz Beachtung der Sicherheitsregeln sensible Daten unverschlüsselt auf einem fremden Computer hinterlassen.

Um zusätzlich zu prüfen, ob auch nicht gespeicherte Texte im Arbeitsspeicher wieder zu finden sind, habe ich nach Teilen meiner nicht gespeicherten E-Mail gesucht und auch diese gefunden:

Weizenfeld 2

Unser imaginäre Täter, welcher nach Christoph Baumann am Computer gesessen und den Arbeitsspeicher mit einfachsten Mitteln ausgelesen sowie ihn dann zu Hause analysiert hat, hätte in unserem Beispiel sogar noch die in der Mail angegebene Adresse und Urlaubspläne vorgefunden – und das obwohl die Datei nie gespeichert und der Text-Editor nach der Benutzung sogar geschlossen wurde.

Doch glücklicherweise gibt es Möglichkeiten, ein solches Zurücklassen von Datenresten auf öffentlichen Rechnern zu vermeiden: Die einfachste Methode, um nach der Nutzung eines fremden Computers keine sensiblen Daten zu hinterlassen, ist, den Computer nach der Nutzung herunterzufahren und einige Minuten zu warten. Im Unterschied zu Festplatten gehen die Informationen im Arbeitsspeicher verloren, sobald keine Stromspannung mehr vorliegt. Es ist zwar möglich, einige Minuten nach dem Ausschalten noch Daten auszulesen, wie Forscher von der Universität Princeton entdeckt haben, aber nach 5 Minuten sollten im Regelfall keine Daten mehr vorhanden sein. Dazu kommt, dass beim Neustart des Rechners ein großer Bereich des Arbeitsspeichers vom Systemstart überschrieben wird. Wer nicht Neustarten kann oder will, kann es alternativ auch mit Programmen versuchen, die ungenutzten Speicher löschen. Im Selbstversuch habe ich das Programm Z-defragRAM genutzt und konnte nach dem Gebrauch des Programms keine Daten mehr auf genutzten Fremdrechnern finden.

Die Quintessenz lautet also: Öffentliche Rechner sollten mit Bedacht genutzt werden! Wie meine Versuche gezeigt haben, ist es nicht nur Schadsoftware aus dem Internet, die Gefahren verursacht. Auch „alte“ Technik, fern moderner Cybercrime-Gefahren, kann dafür sorgen, dass plötzlich fremde Personen Zugriff auf unsere Daten haben.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

CAPTCHA
Change the CAPTCHA codeSpeak the CAPTCHA code