Chinesische Hacker klauen Googles Passwortsystem
publiziert: Dienstag, 20. Apr 2010 / 20:32 Uhr / aktualisiert: Dienstag, 20. Apr 2010 / 22:44 Uhr

New York/Langenzersdorf - Bei jenen Hacker-Attacken, die mitverantwortlich für Googles Rückzug aus China waren, dürfte den Angreifern ein echtes Juwel in die Hände gefallen sein.

Mit dem Quellcode ergibt sich ein kompletter Überblick über die Architektur von Google.
Mit dem Quellcode ergibt sich ein kompletter Überblick über die Architektur von Google.
12 Meldungen im Zusammenhang
Einem Insider mit Kenntnis des aktuellen Ermittlungsstand zufolge haben die Hacker nämlich den Quellcode des Passwort-Systems «Gaia» gestohlen, das den Zugang zu Googles vielfältigen Webservices kontrolliert, berichtet die New York Times. Obwohl Google intern schnell auf diesen Diebstahl reagiert haben soll, könnte der Wert für die Hacker dennoch gross sein.

«Diese Angreifer hatten die nötigen Fähigkeiten, um den ursprünglichen Einbruch bei Google durchzuführen. Sie sind also sicher auch in der Lage, aus dem Quellcode verwertbare Erkenntnisse zu gewinnen», meint der selbständige IT-Security-Consultant Thomas Mandl im Gespräch. Das liegt nicht zuletzt daran, dass den Hackern ein tieferes Verständnis des Systems möglich wird.

Aus China bis ins Code-Herz

Mitte Januar ging Google damit an die Öffentlichkeit, dass bei einem Hackerangriff aus China nicht näher definiertes geistiges Eigentum gestohlen worden sei. Dem aktuellen Bericht zufolge soll die Attacke mit einer Microsoft-Messenger-Nachricht an einen Google-Mitarbeiter in China ihren Anfang genommen haben. Über eine verseuchte Webseite haben die Hacker die Kontrolle über den PC des Mitarbeiters erlangt und sind in weiterer Folge bis zum Code-Repository von Gaia vorgedrungen.

Zwar haben die Angreifer angeblich keine Gmail-Passwörter gestohlen, doch wären diese Entwickler-Ressourcen ohnehin ein weitaus grösserer Schatz. Denn dort würden sich wohl auch Informationen über bekannte, aber noch nicht geschlossene Sicherheitslücken in Googles Single-Sign-On-Lösung finden.

Freilich soll Google in den letzten Monaten seine Sicherheitsvorkehrungen allgemein nachgebessert haben. Mandl zufolge ist naheliegend, dass dabei auch grosses Augenmerk auf das Schliessen bekannter Gaia-Lücken gelegt wurde. Aber der Diebstahl birgt noch andere Risiken.

Tiefe Einblicke

Zum einen sitzen die Hacker damit praktisch an der Quelle, um neue Lücken zu finden. «Man kann Quellcode mit relativ geringem Aufwand auf Schwachstellen untersuchen», sagt Mandl. Er betont, dass es kommerzielle Tools zur Codeanalyse gibt und es plausibel wäre, dass auch die Google-Hacker solche Methoden nutzen. Freilich hat die Möglichkeit der automatisierten Code-Analyse auch das Unternehmen selbst, sodass sich die Angreifer damit nicht unbedingt einen grossen Wissensvorsprung sichern können.

Das grösste Problem könnten also die tiefen Einblicke in Gaia sein, welche die Hacker nun haben. «Mit dem Quellcode ergibt sich eine komplette Überblick über die Architektur», erklärt Mandl. Während Google zwar einzelne Komponenten leicht nachbessern kann, wäre ein grundlegender Umbau ein enormer Aufwand.

Ausserdem könnte ein genaueres Verständnis des Single-Sign-On-Systems die Entwicklung effektiver Social-Engineering-Attacken erleichtern, bei denen gar keine Schwachstelle im engeren Sinne, sondern letztendlich die Leichtgläubigkeit von Usern ausgenutzt wird.

(fest/pte)

Kommentieren Sie jetzt diese news.ch - Meldung.
Lesen Sie hier mehr zum Thema
San Francisco - Chinesische Hacker ... mehr lesen
Die Hacker fingen mit gefälschten E-Mails die vertraulichen Daten ab.
«Krieg» im Internet.
Washington/Peking - Die beiden ... mehr lesen
Las Vegas - Die USA sollen mit ... mehr lesen
Warnung vor dem «Kalten Cyberkrieg».
Bei DDos-Attacken wird die Website des Opfers von tausenden von Computern gleichzeitig angesteuert und damit lahmgelegt. (Symbolbild)
Bern - Prominente Fälle von ... mehr lesen
Shanghai/New York - In China kann ... mehr lesen
Baidu.com hat es richtig gemacht: Durch die Einbindung von Nachrichten, Blogs und einer zensurierten Internet-Enzyklopädie zur grössten Suchmaschine Chinas.
Weitere Artikel im Zusammenhang
Google äusserte sich zunächst nicht zu den Störungen.
Peking - Die Nichtverfügbarkeit der ... mehr lesen
Die Suchmaschine «Google» wurde nicht gelöscht, aber einige Ergebnisse wurden in China zensiert.
Hongkong - China hat auf Googles Rückzug reagiert und blockt nun diverse Suchergebnisse, die über die umgeleitete Suchseite http://www.google.com.hk ausgeworfen werden. mehr lesen
Peking/Washington - Fortsetzung im ... mehr lesen
Hillary Clinton hatte am Vortag mit Konsequenzen gedroht.
«Wir haben noch nie Angriffe mit einer solchen Raffinesse im kommerziellen Raum gesehen», sagte Dmitri Alperovitch von McAfee. (Symbolbild)
Washington - Bei den Angriffen auf ... mehr lesen
Santa Clara/Unterschleissheim - McAfee hat heute, Dienstag, die fünfte Auflage ... mehr lesen
Die Infrastruktur eines Landes steht im Fokus der Attacken.
.
Digitaler Strukturwandel  Nach über 16 Jahren hat sich news.ch entschlossen, den Titel in seiner jetzigen Form einzustellen. Damit endet eine Ära medialer Pionierarbeit. mehr lesen 21
Judith Bellaiche setzt sich als Wirtschafspolitikerin konsequent für Innovation und Digitalisierung ein.
Judith Bellaiche setzt sich als Wirtschafspolitikerin konsequent für ...
Judith Bellaiche vertritt die ICT Branche  Kürzlich wurde die neue Geschäftsführerin von Swico, Judith Bellaiche, von ihrer Partei als Nationalratskandidatin nominiert. Der Vorstand freut sich - und hofft auf ein positives Wahlergebnis. mehr lesen 
Besserer Markenschutz sowie falsch adressierte E-Mail-Zustellungen vermeiden  Keine Frage, .com Domains sind mit Abstand die beliebtesten Domains im Netz. Aktuell sind knapp 140 ... mehr lesen  
Alle wichtigen Domainendungen rechtzeitig sichern: .ch, .com und je nach Bedarf auch .de und .at.
SMS-Token zusätzlich zu deinem domains.ch Passwort  St. Gallen - Domains sind ein wertvolles immaterielles Gut. Nicht vorzustellen was passieren würde, wenn dein operativer und Umsatz bringender Online-Shop auf einmal gekapert würde. Alle E-Mail Geschäftskorrespondenzen nicht mehr ankämen und Unfug mit deiner Domain getrieben würde. mehr lesen  
Kein Erfolg wegen fehlendem Domainnamen? Google Plus
Der passende Domainname fehlte  Nach einem grösseren Datenleck beim erfolglosen Social Media Projekt Google Plus zieht Google den ... mehr lesen  
.
eGadgets news.ch geht in Klausur Nach über 16 Jahren hat sich news.ch entschlossen, den Titel in ... 21
Domain Namen registrieren
Domain Name Registration
Zur Domain Registration erhalten Sie: Weiterleitung auf bestehende Website, E-Mail Weiterleitung, Online Administration, freundlichen Support per Telefon oder E-Mail ...
Domainsuche starten:


 
Stellenmarkt.ch
Kreditrechner
Wunschkredit in CHF
wetter.ch
Heute Fr Sa
Zürich 2°C 4°C Schneeregenschauerleicht bewölkt, ueberwiegend sonnig wechselnd bewölkt, Regen wolkig, aber kaum Regen
Basel 3°C 5°C wolkig, aber kaum Regenleicht bewölkt, ueberwiegend sonnig wechselnd bewölkt, Regen wolkig, aber kaum Regen
St. Gallen 1°C 2°C wolkig, wenig Schneeleicht bewölkt, ueberwiegend sonnig wechselnd bewölkt, Regen wolkig, aber kaum Regen
Bern 1°C 3°C Schneeregenschauerleicht bewölkt, ueberwiegend sonnig trüb und nass wolkig, aber kaum Regen
Luzern 2°C 5°C Schneeregenschauerleicht bewölkt, ueberwiegend sonnig wechselnd bewölkt, Regen wolkig, aber kaum Regen
Genf 2°C 4°C Schneeregenschauerleicht bewölkt, ueberwiegend sonnig starker Schneeregen wechselnd bewölkt, Regen
Lugano 2°C 6°C wolkig, aber kaum Regenleicht bewölkt, ueberwiegend sonnig Schneeregenschauer wolkig, aber kaum Regen
mehr Wetter von über 8 Millionen Orten