Die vorliegende Bachelorarbeit beinhaltet eine umfangreiche Analyse von Brute-Force-Mechanismen mit besonderem Hinblick auf Passwortsicherheit und Passwortkomplexität. Verschiedene Varianten von Offline- und Online-Brute-Force-Attacken sind ein großes sicherheitstechnisches Problemfeld. Diese Arbeit hat sich mitunter zum Ziel gesetzt, das Bewusstsein für Passwortsicherheit zu stärken und aufzuzeigen, was es bedeuten kann, unsichere Passwörter zu wählen. Einige Brute-Force-Mechanismen sollen mittels eines signifikanten Laborexperimentes in einer Linux Kali-Umgebung den Lesern zeigen, wie relativ simpel es ist Authentifizierungsobjekte anzugreifen.
Im ersten Abschnitt wird die aktuelle Ausgangslage und Problemstellung ausführlich aufgezeigt. Des Weiteren werden in der Prämisse alle notwendigen Begriffe, die für eine weitere Auseinandersetzung mit dem Thema erforderlich sind ausgeführt und zwei Exkurse eingebracht.
Im nächsten Teil dieser Arbeit werden diverse umfangreiche Analysen über Brute-Force-Suchzeiten, Passwortkombinationsbereiche und eine Merkmalsanalyse einiger Passwörtern durchgeführt. Darüber hinaus die Bildung der Alternativ- und Nullhypothesen – die Alternativhypothesen sind hierbei die eigentlichen Forschungshypothesen und werden im Schlussteil verifiziert oder falsifiziert.
Um die aufgestellte Forschungsfrage (Wie gestalten sich Offline-Brute-Force-Attacken mit Brute-Force-Tools mit einer Linux Kali-Maschine mit Angriffszielen von verschlüsselten PDF, ZIP Dateien und das verschlüsselte Standard-Linux Kali Passwort?) hinreichend beantworten zu können wird ein Laborexperiment in einer virtualisierten Umgebung mit einer Linux-Kali-Maschine durchgeführt.
Im Fazit dieser Arbeit ist neben dem Verifikationsversuch der Forschungshypothesen eine saubere Beantwortung der Forschungsfrage auffindbar und die Ergebnisse werden prägnant zusammengefasst.
Inhaltsverzeichnis
1 Einleitung
1.1 Ausgangslage und Problemstellung
1.2 Zielsetzung und Forschungsfrage
2 Vorgehen und Meilensteine
3 Prämisse
3.1 Linux Kali
3.2 Die Brute-Force-Methodik
3.2.1 Implementierungsansatz Brute-Force-Suche
3.3 Exkurs I Angreifer und ihre Motivation
3.3.1 Klassifikation von Angreifern in der IT
3.3.2 Beweggründe und Motivation für Angriffe
3.4 Exkurs II zur aktuellen Rechtslage und Cyber-Kriminalitätsvorfällen in Österreich
3.5 Passwortsicherheit, Bewusstsein für Passwortsicherheit, Passwortkomplexität und Schutzmechanismen
4 Analysen & Hypothesenbildung
4.1 Kombinationsmöglichkeiten eines Passwortes anhand des Fallbeispiels der ACSII-Tabelle und Ermittlung der Brute-Force-Suchzeit
4.2 Merkmalsanalyse von verschiedenen Passwörtern
4.3 Hypothesenbildung
5 Laborexperiment
5.1 Dokumentation der eingesetztes Produkte
5.1.1 Auszug von Spezifikationen des Hostsystems
5.1.2 Eingesetzte Virtualisierungsplattform
5.1.3 Eingesetztes Gastsystem
5.2 Versuchsdurchführung des Laborexperimentes
5.2.1 Szenario I
5.2.2 Szenario II
5.2.3 Szenario III
6 Fazit
6.1 Verifikationsversuch der Hypothesen
6.2 Beantwortung der wissenschaftlichen Fragestellung
Zielsetzung & Themen
Das Hauptziel dieser Arbeit besteht in einer signifikanten Merkmalsanalyse von Bedrohungen durch verschiedene Brute-Force-Methoden mittels eines Laborexperimentes in einer virtualisierten Linux Kali-Umgebung, um das Bewusstsein für Passwortsicherheit zu stärken.
- Analyse von Brute-Force-Suchzeiten und Passwortkombinationsbereichen.
- Durchführung von Laborexperimenten zur Demonstration von Angriffsszenarien.
- Ermittlung der Auswirkungen von Passwortkomplexität auf die Sicherheit.
- Überprüfung aufgestellter Forschungshypothesen durch Labordaten.
Auszug aus dem Buch
1.1 Ausgangslage und Problemstellung
Verschiedene Varianten von Online & Offline-Brute-Force-Methoden sind eine großes IT-sicherheitstechnisches Problemfeld. Mitunter steigt das Gefahrenpotenzial, dass Computerkriminelle (Cracker) an unternehmenswichtige, sensible Daten oder personenbezogene Daten nach einem erfolgreichen Brute-Force-Angriff kommen. Der (wirtschaftliche) Schaden, der sich dabei entfaltet, ist dabei von vielen Variablen abhängig. Unternehmenswichtige Daten sind für den Weiterbestand des Unternehmens unentbehrlich und sie repräsentieren eine Art Kapital oder Wirtschafsgut mit Wachstumspotential. Des Weiteren besteht außerdem die Problematik den Wert von Daten nur sehr schwierig zu berechnen. Nach einer erfolgreichen Brute-Force-Suche drohen sowohl Spionage, Erpressungsversuche durch Schadensandrohung, Täuschmanöver, Überwachung, Datenmanipulation sowie Datenweiterverkauf, der meist dem Profit dient. Das Ausspionieren von Privatpersonen, Betriebsspionage, sogar Länderspionage durch erfolgreiche Brute-Force-Attacken stehen im globalen Cyberkrieg längst an der Tagesordnung – natürlich sind vermutlich auch diverse Geheimdienste involviert mit extrem leistungsstarken Rechenzentren, jedoch sprengt diese Thematik jeden Rahmen dieser Bachelorarbeit.
Sinn und Zweck einer Brute-Force-Methode ist zumeist das Ausspionieren von Login-Daten von E-Mail-, Web-, Datenbank- und File- Servern sowie verschlüsselten Dateien, etc. Eine stark vereinfachte Definition einer Brute-Force-Attacke ist das Durchprobieren aller möglichen Passwörter mithilfe generierten Passwörtern oder geleakten oder gestohlenen Passwort-Wörterbüchern.
Die Brute-Force-Attacke ist um einiges simpler, falls im Vorfeld bereits der Login-Name für die Authentifizierung bekannt ist (Brute-Force-Attacken auf viele Loginnamen haben meist überhaupt keinen Erfolg), dafür werden oft Social-Engineering Techniken verwendet, da Nutzernamen dem Target einfacher zu entlocken sind als Kennwörter. Die einfachste Methode, um sich effizient gegen Brute-Force-Attacken zu schützen ist die Wahl eines sehr starken Passwortes. Dieses sichere Passwort, wird umso unantastbar, je länger es ist, zudem sollte es Kleinbuchstaben, Großbuchstaben, Ziffern und Sonderzeichen enthalten – im Allgemeinen ist die Aufwandszeitdauer einer meist gezielten Brute-Force-Attacke vom (Logon)-Passwort abhängig.
Zusammenfassung der Kapitel
1 Einleitung: Beschreibt die Problematik von Brute-Force-Angriffen, definiert das Ziel der Arbeit und stellt die Forschungsfrage zur Untersuchung von Passwortsicherheit.
2 Vorgehen und Meilensteine: Erläutert das gewählte Vorgehensmodell für die Bachelorarbeit anhand von sechs definierten Meilensteinen.
3 Prämisse: Liefert die theoretischen Grundlagen zu Linux Kali, Brute-Force-Methodiken, Angreifertypen, Rechtslage und Passwortsicherheit.
4 Analysen & Hypothesenbildung: Behandelt die mathematischen Grundlagen von Passwortkombinationen, analysiert verschiedene Passwortmerkmale und formuliert die zu prüfenden Hypothesen.
5 Laborexperiment: Dokumentiert die technische Umgebung, die verwendeten Werkzeuge und die Durchführung der drei Angriffsszenarien.
6 Fazit: Evaluiert die aufgestellten Hypothesen anhand der Experimentergebnisse und beantwortet die zentrale Forschungsfrage.
Schlüsselwörter
Brute-Force, Passwortsicherheit, Passwortkomplexität, Linux Kali, Online-Attacken, Offline-Attacken, Laborexperiment, IT-Sicherheit, Verschlüsselung, Wörterbuchattacke, Kryptographie, Sicherheit, Sicherheitsexperte, Hacking, Hashfunktionen
Häufig gestellte Fragen
Worum geht es in dieser Bachelorarbeit grundsätzlich?
Die Arbeit analysiert Brute-Force-Angriffsmethoden auf verschiedene Authentifizierungsobjekte, wobei der Fokus auf dem Einfluss der Passwortkomplexität auf die Sicherheit liegt.
Was sind die zentralen Themenfelder der Untersuchung?
Die zentralen Themen sind Linux Kali als Penetration-Testing-Umgebung, die mathematische Berechnung von Brute-Force-Suchzeiten und die praktische Durchführung von Offline-Attacken auf verschlüsselte Dateien.
Was ist das primäre Ziel oder die Forschungsfrage?
Das Hauptziel ist die signifikante Merkmalsanalyse von Bedrohungen durch Brute-Force-Methoden. Die Forschungsfrage untersucht, wie sich Offline-Brute-Force-Attacken gegen verschlüsselte PDF- und ZIP-Dateien sowie Standard-Linux-Passwörter in einer Kali-Umgebung gestalten.
Welche wissenschaftliche Methode wird verwendet?
Es wird ein quantitatives Forschungsdesign auf Basis eines Laborexperimentes genutzt, um kausale Zusammenhänge zwischen Passwortkomplexität und Angriffszeit unter kontrollierten Bedingungen zu prüfen.
Was wird im Hauptteil der Arbeit behandelt?
Der Hauptteil umfasst theoretische Grundlagen, eine mathematische Analyse der Kombinationsmöglichkeiten von Passwörtern, die Definition von Forschungshypothesen sowie die detaillierte Dokumentation und Auswertung des Laborexperimentes.
Welche Schlüsselwörter charakterisieren die Arbeit?
Die Arbeit wird maßgeblich durch Begriffe wie Brute-Force, Passwortsicherheit, Linux Kali und Laborexperiment charakterisiert.
Welche Tools werden im Laborexperiment eingesetzt?
Es werden Programme wie pdfcrack für verschlüsselte PDFs, fcrackzip für ZIP-Archive und die Passwort-Cracking-Suite John the Ripper (sowie dessen GUI Johnny) für das Standard-Passwort von Linux Kali verwendet.
Welches zentrale Ergebnis liefert das Experiment bezüglich komplexer Passwörter?
Das Experiment zeigt, dass bei einem extrem komplexen Passwort die rechnerische Suchdauer astronomische Werte (Trillionen Jahre) annehmen kann, was die Wirksamkeit von hoher Passwortkomplexität unterstreicht.
Was ist das Ergebnis für das Standard-Passwort "toor"?
Es wurde nachgewiesen, dass das Standard-Passwort "toor" in einer Linux Kali-Umgebung bei Verwendung der entsprechenden Werkzeuge in unter einer Sekunde beziehungsweise unter einer Minute geknackt werden kann.
- Citation du texte
- Lucas Dinhof (Auteur), 2015, Experimentalanalyse diverser Brute-Force-Mechanismen in Linux Kali. Passwortsicherheit und Passwortkomplexität, Munich, GRIN Verlag, https://www.grin.com/document/301977
