Biometrische Verifizierung „KeyTrac“ – Kein Schutz vor Keylogger
sToRm 
Vor wenigen Tagen bin ich auf „KeyTrac“ der TM3 Software GmbH aus Regensburg gestoßen. Eine Anwendung für Betreiber von Internetportalen, um die User mit einer biometrischen Auswertung des Tippverhaltens zu verifizieren. Der User wird von der Webanwendung anhand seines Tippverhaltens erkannt und kann so auf seinen Account zugreifen. Die Theorie ist eigentlich gut, denn mit dieser Art der Verifizierung lässt sich vermutlich sicherstellen, dass auch wirklich der richtige User versucht, sich mit den Benutzerdaten anzumelden. Was aber bringt eine biometrische Verifizierung, wenn die Eingaben kopiert bzw. manipuliert werden können?
Eine ähnliche oder gar gleiche Lösung gab es bereits vor einiger Zeit mit „Psylock“. Die Idee ist allerdings damals in einer Insolvenz (2011) gescheitert. Ich habe 2011 bereits durch eine kurze Demonstration gezeigt, wie man derartige biometrische Systeme problemlos aushebeln kann. Das damalige System „Psylock“ wurde binnen weniger Minuten und mit Hilfe einer aufgezeichneten Eingabe schlichtweg „ausgetrickst“. Der Grund für diesen Test war die damalige Aussage, dass diese biometrische Verifizierung anhand des Tippverhaltens, vor dem Einsatz eines Keyloggers schützt. Im Test habe ich allerdings klar und deutlich gemacht, dass diese Aussage schlichtweg falsch war. Mehr Informationen zu Psylock gibt es bei Wikipedia. Den Beitrag zur damaligen Taktik, um das System auszutricksen, gibt es im Archiv (Beitrag).
Nun, grundsätzlich ist die Idee hinter „KeyTrac“ ebenso gut wie bei „Psylock“, jedoch haben beide Systeme das exakt gleiche Problem. Auch „KeyTrac“ lässt sich mit einem einfachen Keylogger bzw. einer Aufzeichnung von Benutzereingaben aushebeln. Das System gibt es mit verschiedenen Optionen, bei denen auch die jeweilige Art der Verifizierung bzw. der Passwort-Eingabe gewählt werden kann. Entweder man meldet sich mit seinem Benutzernamen und dem zuvor festgelegten Passwort an – wobei hierbei der Benutzername, das Passwort und das Tippverhalten überprüft werden – oder man wählt einen Benutzernamen und wird an einem individuellen Text, durch das Tippverhalten erkannt. In beiden Fällen gibt es aber eine bedeutende Schwachstelle.
Beispiel A:
Der Benutzer registriert sich mit seinem Benutzernamen und einem ausgesuchten Passwort. Das Tippverhalten für die Eingabe der Daten wird aufgezeichnet und für künftige Anmeldungen überprüft. Ein Angreifer müsste nun mit einem Keylogger direkt den Login abfangen. Das heißt, es müsste überprüft werden, ob sich das Opfer gerade auf einer Website mit „KeyTrac“ befindet. Der Keylogger fragt die aktuelle Anwendung bzw. das Fenster im Browser ab, registriert die Eingabe bei „KeyTrac“ und zeichnet diese – zusammen mit den zeitlichen Abständen einzelner Tastenanschläge – einfach auf. Einen derartigen Keylogger kann man problemlos in kurzer Zeit programmieren oder gar bereits fertige „Tools“ hierzu nutzen. Da die meisten Internetnutzer nur selten sehr vorsichtig im Netz unterwegs sind oder sich durch die eingesetzte Sicherheitssoftware auf dem PC, grundsätzlich geschützt fühlen, ist es auch kein Problem einen solchen Keylogger auf den PC zu schleusen. Es reicht eine E-Mail mit passendem Anhang, ein Browser mit Schwachstellen oder anderweitige, typische Wege zur Bereicherung mit Schadsoftware.
Beispiel B:
Der Benutzer registriert sich mit seinem Benutzernamen und verwendet die Verifizierung ohne ein festes Passwort. Er muss also beim späteren Login seinen Benutzernamen und einen individuellen Text eingeben, um sich auf der Website verifizieren zu können. Gerade in diesem Fall ist die Problematik mit dem Keylogger besonders groß. Der Angreifer braucht also kein Passwort, sondern lediglich den Benutzernamen und individuellen Text. Das ist dann quasi die einfachste Möglichkeit, um die benötigten Daten abzufangen und sich dann über „KeyTrac“ einloggen zu können. Man zeichnet einfach sämtliche Eingaben auf. Gerade bei Nutzern von Facebook, Twitter und natürlich auch Schreibern von einfachen E-Mails und Briefen, lässt sich genügend Material für eine individuelle Anmeldung über „KeyTrac“ aufzeichnen.
Wer das Ganze testen möchte, benötigt nicht unbedingt einen „bösartigen“ Keylogger. Es reicht selbst die mitgelieferte Software diverser Tastaturen, mit der man Kurzwahltasten mit Tastatureingaben versehen kann. Wie damals bei Psylock, habe ich zum Test einfach meine Logitech G19 missbraucht und das Tippverhalten mal eben aufgezeichnet. Selbst eine Schutzfunktion die – wie damals bei Psylock – eine bereits eingegebene Probe kein zweites Mal zulässt, ist quasi nutzlos. Man muss hier lediglich die Probe – also die aufgezeichnete Eingabe – im zeitlichen Abstand der Anschläge ändern und schon kann man eine Probe auch mehrmals verwenden. Selbst bei der mitgelieferten Software meiner G19 ist das ein Kinderspiel. Probieren kann man „KeyTrac“ direkt auf der Website des Anbieters.
Mein Fazit:
Biometrische Verifizierung ist eine feine Sache, wenn sie dann auch funktioniert und sicher ist. Weder „Psylock“, noch „KeyTrac“ können absoluten Schutz vor einem Takeover bieten. Eine Headline wie „KeyTrac verhindert Account Takeovers auf Websites durch biometrische Verifizierung des eigenen Tippverhaltens“ im Beitrag von deutsche-startups.de ist daher absolut unangebracht, denn die Aussage stimmt schlichtweg nicht. Eine biometrische Verifizierung sollte ja gerade derartige Probleme wie Keylogger aus der Welt schaffen, aber das können sie nicht mit derartigen Mitteln. Ich persönlich bin der Meinung, dass es schlichtweg nicht zu 100% möglich ist, eine absolut sichere, biometrische Verifizierung am heimischen PC durchzuführen. Gerade die Entwickler der TM3 Software GmbH – welche sich seit Jahren mit künstlicher Intelligenz beschäftigen – sollten gut genug wissen, dass ein Benutzer und sein Verhalten am PC, immer besser durch eben solche künstliche Intelligenz simuliert und kopiert werden kann. Auch andere biometrische Verifizierungssysteme für den heimischen PC, haben in der Vergangenheit immer wieder versagt (Fingerabdruck-Scanner, Gesichtserkennung, …). Natürlich könnte „KeyTrac“ als zusätlicher Schutz für den Login dienen und dabei gute Dienste leisten. Ich denke aber, es macht bedeutend mehr Sinn, die Nutzer noch besser und allgemein über Gefahren und Details aufzuklären. Die beste Software nützt nämlich nichts, wenn der User keine Ahnung von der Materie hat.
