Beiträge von MikeHH

Zitat

Original von Blähboy
PPS.: -Wie sind die auf uns gekommen ?
-Haben wir hier einen Doppelagenten?
-Wer iss hier paranoid ?

Das ist eigentlich ganz einfach. Da hat ein Bubi die Info erhalten, dass ein bestimmtes Skript (die shop.php ist hier gemeint) eine extreme Sicherheitslücke hat. Er hat über Google nach der Zeichenfolge shop.php?action=anschauen in der jeweiligen URL der Seite suchen lassen. Da ist er auf dieses Forum gekommen.

Da er die Lücke im Skript kannte, war es ihm mit einem kleinen selbstgestrickten Skript möglich, alle User anzeigen zu lassen und das verschlüsselte PW abzuspeichern.

Daraus hat er die Liste mit den über 3000 Usern gestrickt. Dann geht man bei und schnappt sich die md5-verschlüsselten PW's und schaut im Netz auf den einschlägigen Seiten, ob's dafür in einer Bibliothek schon eine "Lösung" gibt.

In über 700 Fällen war dem so. Und eben das zeigt, dass die gewählten PW's der User durchaus als unsicher bezeichnet werden können.

Ich hoffe, dass aerotech den Shop erst wieder online stellt, wenn die Lücke dort geschlossen ist. Denn durch die Präsenz dieser URL in der Hackerszene und deren Foren ist damit zu rechnen, dass weitere Versuche gestartet werden nach dem selben Prinzip.

Gruß Mike

Ach nee

Sind ja dolle News

"recht runter gespielt" ist da ja noch die galante Formulierung.

Gruß Mike

Zitat

Original von Remoschsah man dieses jahr alleine 2 mal Woltlab....

Da werden allerdings Äpfel mit Birnen verwechselt. Denn auch bei Woltlab war das Ganze menschliches Versagen und nicht die "Schuld" der Forensoftware.

Gruß Mike

Begünstigung kann man hier wohl nicht sagen. Dazu wären andere Unterlassungen im Vorfeld "wichtig" gewesen.

Ich hatte bei einem befreundeten Forum vor kurzem ebenfalls einen Hackerangriff "zu bearbeiten". Hier wurde bei der Kripo eine Anzeige gegen Unbekannt gemacht. Das Problem in diesem Falle war, dass derjenige über einen schwedischen Proxy-Server seinen Angriff gestartet hatte und leider nicht zu lokalisieren war.

Hier liegt der Fall aber anders. Und ich als Forenbetreiber würde nicht zögern, zur nächsten Poilzeidienststelle zu marschieren. Es ist nun mal ein Straftatbestand. Und das Alter spielt nur eine untergeordnete Rolle. Im schlimmsten Falle wird dieser vermeindlich Jugendliche seinen Rechner los. Was wohl eine härtere Strafe sein dürfte, als mal auf der örtlichen Sozialstation für ein paar Stunden "auszuhelfen".

Gruß Mike

Passwörter in dieser Forensoftware werden verschlüsselt in der DB gespeichert.

Das Problem ist, dass es für diese Verschlüsselung bestimmte Tools gibt, die diese Einträge decodieren können. Dabei wird das verschlüsselte PW einfach mit bestimmten verschlüsselten Namen oder prägnanten Zahlenkombinationen verglichen.

Wenn man nun als Passwort einen simplen Vornamen nimmt (z.B. Paul), dann ergibt sich daraus eine bestimmte verschlüsselte Zeichenfolge.

Da aber dieser Name so einfach ist, ist eine Decodierung binnen Sekundenbruchteilen möglich.

Ich muss hier mal eine Lanze für die Forensoftware brechen. Denn die gilt nach wie vor als absolut sicher. Es gibt allerdings zusätzliche Programme bzw. Erweiterungen zu dieser Forensoftware, die allerdings nicht diesen Status hat (wie hier auch erkannt worden ist - zumindest an einem Modul).

Ebenso hat JEDER, der über einen Admin-Zugang in den geschützten Bereich dieses Forums kommt die Möglichkeit, die Datenbank zu sichern. Dann hat derjenige auch alle (verschlüsselten) Passwörter von allen über 3000 Usern.

Daher mein Aufruf, dass jeder Forenbetreiber seinen Admin-Bereich mehrfach absichert.

Gruß Mike

Zitat

Original von aerotech
Die Textdateien mit den Zugangsdaten wurden umgehend vom Server entfernt.

Dem ist leider nicht so!

Die beiden Links in dem auch hier schon (zumindest durch ScreenShot) geposteten Hackerforum sind nachwievor aktiv!

In einem davon sind die PW's von 742 Usern dieses Forums in Klarschrift zu erkennen (die beiden Admins sind gottseidank nicht darunter).

Ich würde empfehlen, die ScreenShots aus diesem und diesem Posting zu entfernen.

Man sollte nicht dadurch noch weitere ScriptKiddies auf dumme Ideen bringen.

Es ist aber erschreckend, welche Passworte sich die User so "ausgedacht" haben.

Gruß Mike

Der Admin aerotech hat in einem Support-Forum für diese Forensoftware um Hilfe gebeten und diese auch erhalten.

Der erste und wichtigste Schritt wäre gewesen, umgehend das Forum vom Netz zu nehmen. Und das so lange, bis ALLE Sicherheitslücken geschlossen sind.

aerotech hat einen der Problemverursacher im Moment deaktiviert. Das allein wird aber nicht reichen.

Ich kann nur empfehlen, die gesamte Forenstruktur zu durchforsten. Und in jedem Falle müssen bestimmte Sicherungsmechanismen für den Zugang zum Admin-Bereich eingesetzt werden.

Sonst dürfte es nur eine Frage der Zeit sein, wann ein ScriptKiddie sich hieran versucht (und wohl auch Erfolg haben wird!).

Was die Sicherheit von Passwörtern angeht, so sind gerade Forenbetreiber in der Verantwortung dafür zu sorgen, dass deren eigene so aussehen, dass sie als sicher einzustufen sind. Der Name der Freundin ist da ebenso fehl am Platze, wie eine einfache sechstellige Zahl.

Gruß Mike

Zitat

Original von uliKennst Du Genie eine sichere Methode, mit der ich mir diese Anzahl willkürlicher und unterschiedlicher Zugangskennungen merken kann?

Außer separaten Proggies für den heimischen PC gibt es ja immer noch den PW-Manager im Firefox. Und wer seinen lokalen Rechner vernünftig abgesichert hat, der geht da auch kein Risiko ein.

Gruß Mike