Not macht erfinderisch: Wie in diesem Fall aus einem verloren geglaubten Bitcoin-Konto doch noch ein Vermögen wird, ist filmreif.
Auf was für eine Idee kam er? Der von der Ursprungsquelle Wired nur “Michael” genannte Protagonist dieses Dramas um eine Krypto-Wallet stand vor einem Problem: 2013 hatte er für umgerechnet rund 4.800 Euro Bitcoin erworben und abgespeichert. Inzwischen sind die Bitcoins beinahe 3 Millionen Euro wert – aber er kam nicht mehr ran.
Um sein Investment zu schützen, sicherte er den Zugriff mittels des Programmes RoboForm ab. Das generierte ihm damals ein 20-stelliges Passwort. Doch dieses ging aus unbekannten Gründen verloren. Was tun? Er beschloss, seinen eigenen Account hacken zu lassen und wandte sich dafür an eine Koryphäe des Fachs.
Ein fast unknackbares Programm
Wen kontaktierte er? Michael kontaktierte Joe Grand, auch genannt Kingpin. Der Elektroingenieur ist ein in Amerika bekannter Experte im Hacken von Hardware, versteht sich aber auch auf diffizile Eingriffe bei softwareseitigen Sicherheitsproblemen. Er gelangte durch Auftritte im amerikanischen Fernsehen zu Berühmtheit.
Eine Spezialität ist das sogenannte Reverse Engineering. Darunter ist vereinfacht gesagt die tiefgreifende Analyse eines Gerätes oder Programmes zu verstehen, um nachzuvollziehen, wie es funktioniert. Im Falle von Sicherheitssystemen kann so die Art und Weise erkannt werden, wie Generierungen von zum Beispiel Passwörtern erfolgen. Gemeinsam mit einem deutschen Kollegen nahm sich Grand nach initialem Zögern der Aufgabe an.
Wie sah die Herausforderung genau aus? Letztendlich kannte Michael nur noch wenige Details, er wusste:
- das Passwort hat 20 Stellen.
- es muss irgendwann 2013 generiert worden sein – wann genau, ist unklar.
- es enthielt keine Sonderzeichen, es bestand nur aus Zahlen und Buchstaben
- Das genutzte Programm hieß RoboForm und die verwendete Version erschien auch im Jahr 2013
Schafften Sie es, das Passwort zu erraten? Erraten, nein; aber letztendlich gelangte Michael an die Bitcoin im Wert von umgerechnet etwa 3 Millionen Euro, doch der Weg dahin war steinig. Denn der klassische Ansatz, das Passwort durch unzählige Versuche zu erraten, schlossen sie rasch aus – es wäre schlicht zu aufwendig.
Wie gelang es Ihnen? Nach monatelanger Recherche und Arbeit vermochten sie eine winzige Schwachstelle der damals aktuellen Version von RoboForm auszunutzen: Das Datum sowie die Uhrzeit der Passworterstellung bildete die Grundlage für die Generierung des Schlüssels – und dieser Prozess war nicht so zufällig, wie an sich gedacht. Kannte also wer den exakten Zeitpunkt der Erstellung, ließ sich das Passwort erneut erschaffen.
Letztendlich konnten sie anhand von aufgezeichneten Aktivitäten mit der Bitcoin-Wallet aus dem Frühjahr 2013 und viel Herumprobieren das richtige Passwort generieren, es entstand am 15. Mai 2013 um 16:10 Uhr GMT.
Was kann der Durchschnittsnutzer von Sicherheitssoftware daraus lernen? Haltet eure Software, insbesondere Virenscanner, Passwortmanager und Co. aktuell. Denn der Fehler, durch den die Passwörter nicht zufällig, sondern eben doch nachvollziehbar waren, wurde 2015 vom Entwickler von RoboForm behoben.
Ganz im Gegensatz zum Hacker im Mittelpunkt dieses Artikels, treiben sich in den Weiten des Internets aber auch Gesellen herum, die weit weniger hilfsbereit sind. So verhinderte ein US-amerikanisches Sicherheitsunternehmen nur knapp einer Katastrophe im eigenen Haus: Der neue Kollege ist ein Cyberkrimineller aus Nordkorea: Firma für Computersicherheit aus den USA entgeht Attacke