RUB-Studenten knacken Microsofts "CardSpace"

Als Hacker im Namen der IT-Sicherheit haben Xuan Chen und Christoph Löhr, zwei Studenten am Horst Görtz Institut für IT-Sicherheit (HGI) der Ruhr-Universität, einen erfolgreichen Angriff auf Microsofts neues Identity-Management-System „CardSpace“ gestartet.

Sie konnten damit zeigen, dass ein Angreifer trotz der eingebauten Sicherheitsmaßnahmen auf die Identitätsdaten des Opfers zugreifen kann. Der Angriff und mögliche Gegenmaßnahmen sowie der Technische Bericht sind im Internet veröffentlicht: http://demo.nds.rub.de/cardspace

CardSpace: Potenzial zur Revolution der Nutzerauthentifikation im Internet

Seit Ausbruch der großen Phishing-Welle im Jahr 2004 ist Identitätsdiebstahl die am schnellsten wachsende Bedrohung im Internet. Um die unsichere Authentisierung durch Nutzername und Passwort abzulösen, hat die Industrie neuartige Web-basierte Identity-Management-Systeme entwickelt. Microsoft hat als Nachfolger von MS Passport ein System Namens CardSpace entwickelt.

CardSpace basiert auf offenen Standards, so dass es in verschiedene Applikationen eingebunden werden kann. Internet-Nutzer können CardSpace mit Hilfe des Internet Explorer 7 oder des Firefox 2 (mit speziellem Add-On) bereits heute schon als Alternative zur klassischen Passwort-basierten Authentifikation im Internet verwenden. Verschiedene große Internet-Firmen (z.B. Google, Yahoo, Verisign) haben eine Unterstützung für CardSpace in Aussicht gestellt. Somit hat CardSpace das Potenzial, in Zukunft zur Absicherung einer Vielzahl von Anwendungen von eCommerce über Online-Banking bis hin zur elektronischen Gesundheitskarte zu dienen.

Microsoft ist informiert

Die zukunftsweisende Idee von Cardspace besteht darin, die Identitätsinformation von Nutzern im Browser zu speichern und in visueller Form (InfoCard) anzuzeigen. Durch Klicken auf eine InfoCard wird ein Authentisierungsprozess angestoßen, bei dem der Nutzer nur noch die zu übertragenden Daten bestätigen muss. Das CardSpace-System und die zugrunde liegenden kryptographischen Protokolle müssen für die Sicherheit der Identifikation sorgen und den Nutzer vor der Preisgabe seiner Daten an Angreifer schützen. Dass das mögliche Hacker nicht davon abhält, vertrauliche Daten auszuspähen, zeigte nun der Angriff der HGI-Studenten. Sie haben sofort die Firma Microsoft informiert, die aktuell an dem Problem arbeitet.

IT-Sicherheitsforschung in Bochum

Der Lehrstuhl für Netz- und Datensicherheit von Prof. Dr. Jörg Schwenk, an dem der Angriff durchgeführt wurde, ist Teil des Horst Görtz Instituts für IT Sicherheit, einer der größten akademischen Forschungseinrichtungen dieser Art in Europa. Die Arbeitsgruppe ist international bekannt für ihre Arbeiten in Internetsicherheit und angewandte Kryptographie. Die Ruhr-Universität Bochum besitzt das europaweit umfangreichste Lehrangebot in IT-Sicherheit (Bachelor, Master und Master in Fernlehre).

Weitere Informationen

Sebastian Gajek, Lehrstuhl für Netz- und Datensicherheit, Ruhr-Universität Bochum, 44780 Bochum, Tel. 0234/32-26740, E-Mail: sebastian.gajek@nds.rub.de

Weitere Informationen:
http://www.nds.rub.de – Lehrstuhlwebseite
http://demo.nds.rub.de/cardspace – Erklärung des Angriffs
http://www.hgi.rub.de – Institutswebseite
http://msdn.microsoft.com/en-us/library/bb882216.aspx