Fatale Sicherheitslücke beim Login

Kingston King · 26. April 2014

Liebe Community,

nach langer Zeit möchte ich wieder aktiver im Forum mitmischen.
Dabei ist mir heute gleich mal aufgefallen, dass der Login Prozess nicht verschlüsselt wird.

Die eingegebenen Passwörter werden nur mit einem MD5 verschlüsselt über das Internet übertragen.

Warum das ein Problem ist?
Ich habe dazu heute ein Live-Beispiel von dem Anmelde Prozess verfilmt:

https://www.youtube.com/watch?v=E4Zcmnt-eYM

Nachdem die Medien das Thema IT Security aufgreifen wie noch nie, sollten auch wir uns bemühen, dem Standart der Zeit zu folgen.
Vor allem weil wir hier ein Computer/IT Forum mit einigen Spezialisten sind.

Ich lasse die Erkenntnis einmal so im Raum stehen und bitte die Admins, den Login Prozess über eine SSL Leitung zu erzwingen und ein öffentlich signiertes Zertifikat bereit zu stellen.

Derzeit wird dem hinterleget Zertifikat von https://forum.sysprofile.de nicht von meinen Browsern getrustet.

Edit: Das Video wurde gerade erst hochgeladen.
Ich hoffe die Vorschau funktioniert bald

Viele Grüße,
Dani

Shadowchaser · 26. April 2014

Das Video geht immer noch nicht.

Kingston King · 26. April 2014

Über dem Video habe ich den Youtube-Link eingefügt.
Auf der YT-Seite funktioniert das Video

Shadowchaser · 26. April 2014

Achso, ok.

mitcharts · 26. April 2014

Du solltest das Video auch richtig einbinden per Tag. Dort wird _nur_ die Video-ID benötigt.

Zur Sache selbst: Joar, schauen wir mal was die Admins dazu sagen. Wird wahrscheinlich gar nichts passieren bzw. nur sehr langsam.

Kingston King · 26. April 2014

Zitat von mitcharts: ↑

Du solltest das Video auch richtig einbinden per Tag. Dort wird _nur_ die Video-ID benötigt.
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

So ist es

Da viele User in allen Portalen ein gemeinsames Passwort nutzen, ist das Forum hier eine super Möglichkeit für Angreifer, um unseren Nutzern viele Informationen und auch Geld aus der Tasche zu ziehen.

Daher sollte mit sowas nicht spaßig umgegangen werden..

Gruß,
Dani

robert_t_offline · 26. April 2014

Es wäre vielleicht hilfreicher Gewesen das per PN an die Admins weiterzuleiten als das so riesig an die grosse Glocke zu hängen um potenziellen Angreifern noch quasi ein Anleitungsvideo zu geben...Merkste was?

Das nur mal als Gedanke von mir..machen kann ich nichts, das muss Guru oder Spacey tun

Kingston King · 26. April 2014

Zitat von robert_t_offline: ↑

Es wäre vielleicht hilfreicher Gewesen das per PN an die Admins weiterzuleiten als das so riesig an die grosse Glocke zu hängen um potenziellen Angreifern noch quasi ein Anleitungsvideo zu geben
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Das stimmt, aber wie schon vermutet wäre nichts passiert.
Der Hinweis erreicht vielleicht noch weitere Foren-/Portalbetreiber, die Ihre Systeme nach so einem groben Schnitzer prüfen möchten.

Und als Demo, dass das keine kleine Sache ist, habe ich das Video gemacht.
Gerne können sich Guru oder Spacey melden, um deswegen nochmal zu reden.

Edit: Gerade habe ich das gleiche beim PC Forum getestet.
Hier wird nichtmal das Passwort MD5 verschlüsselt. Das wird gleich im Klartext übermittelt.

Gruß,
Dani

Shadowchaser · 26. April 2014

Wie gut das mein PW etwas länger ist.

Edit: Gerade habe ich das gleiche beim PC Forum getestet.
Hier wird nichtmal das Passwort MD5 verschlüsselt. Das wird gleich im Klartext übermittelt.
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Welches Forum?

Kingston King · 26. April 2014

@Shadowchaser: pc-forum.de
Hier konnte ich das PW im Klartext auslesen.

Wir sind nicht die einzigen, die das Problem haben

Snuffy · 26. April 2014

Verstehe das Problem, bzw. diesen "Aufschrei" nicht so recht...

a) Es verwendet kaum ein Forum in DE einen wirklich sicher verschlüsselten Login... Warum muss dann genau gegen SysProfile nun ein Video erstellt werden, statt das ganze allgemein gültiger zu halten?

b) Passwort via MD5-Hash zu übertragen ist schon nicht einfach nur "Klartext" und stellt an sich erstmal eine gewisse Sicherheit da... Nichts überragendes, aber da wird nicht "TanteKätheistmeinPasswort" übertragen. Ein Entschlüsseln des MD5 Wertes ist mittlerweile zwar kein Problem mehr, aber ist nicht einfach onTheFly erledigt...

c) Jeder Hinz und Kunz weiß und sollte wissen, dass man sowieso dauernd seine Passwörter ändert und vor allem zu allem verschieden hält. Das ist die viel größere Sicherheitslücke, die leider, wie so oft auf der spaßig benannten OSI Layer 8 vor dem Bildschirm sitzt.

Von daher - ich finde, dass das so erstmal nur Panik Mache ist. Klar, der Fakt ist nicht toll, aber was großartig überragend gravierendes? Puh, da gibt es, wie von dir bereits erwähnt, schlimmeres.

/E:

d) Wireshark ist nun wirklich... wenn jetzt jeder alle Foren untersucht, die er so im Zugriff hat, dann geh ich jede Wette ein, dass von 20 Foren vllt. 1 im Schnitt ordentlich verschlüsselt.

Kingston King · 26. April 2014

Zitat von Snuffy: ↑

(...)Warum muss dann genau gegen SysProfile nun ein Video erstellt werden, statt das ganze allgemein gültiger zu halten?
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Das habe ich im YT-Video im Titel geändert.
Somit stellt Sysprofile nur ein Referenz-Beispiel von vielen dar.

Für die Zuschauer des Videos steht in der Beschreibung auch ausdrücklich, dass einige Foren davon betroffen sind.

Ich möchte damit nicht mit dem Finger auf Sysprofile zeigen.
Vielmehr wäre es mir wichtig, dass die Benutzer erfahren, dass eine "normale" Anmeldung an einem Forum durchaus Sicherheitsrisiken birgt.

Wünschens wert wäre es dennoch, wenn diese Prozesse abgesichert werden würden.

Gruß,
Dani

Coolman · 26. April 2014

Zitat von Kingston King: ↑

Vielmehr wäre es mir wichtig, dass die Benutzer erfahren, dass eine "normale" Anmeldung an einem Forum durchaus Sicherheitsrisiken birgt.
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Welche sollen es sein?? Dass sie sich mit deinem Account einloggen und dann??? Hast du da was wertvoll ist? Gut an die Mailadresse kann man drann und dann spam versenden aber sonst gibt es keine privaten Daten die jemanden wirklich interessieren wird.

Anders sieht es in einem Shop aus, hier sind private Kundendaten vorhanden an denen nicht jeder dran kommen sollte. Ein SSL-Zertifikat hierfür zu beziehen kostet schon ein paar Euros jeden Monat, so dass sich dann meist für Foren nicht lohnt. Foren und private Seiten nutzen zu 99% nie eine verschlüsselte Verbindung und dass nicht ohne Grund, weil kein Umsatz besteht und solche Unkosten sich nicht rechnen. Ich selber beschädige mich schon seit 2005 mit Webseiten und Foren und betreibe zur Zeit selber zwei Foren. Mir ist noch kein Fall bekannt wo so was mal eingetreten ist und dass wie gesagt nicht ohne Grund weil im Normalfall keine Interesse besteht ein Useraccount(Forum) zu betreten.

Gruß Coolman

Da GuRu · 26. April 2014

Ich sehe nicht, wo hier genau eine Lücke sein soll?

Wo ist hier der Angriffspunkt?

Im Übrigen gibt es von jedem Wörterbuch-Wort einen Hashwert (Stichwort RainbowTable). Selbst leichte Passwörter (Wort mit einer Zahl) werden schon nicht mehr gefunden.

Im Übrigen² werden die Passwörter mit einem variablen salt gespeichert.

Snuffy · 26. April 2014

Ich denke, er hat das mit den md5-Hashes bissel falsch interpretiert. Ein 5ziffriges Passwort als MD5 Hash kann mittlerweile jedes Smartphone bruten und das fix.
Und wie du bereits erwähntest - Std. Kram wird anhand von Wörterbüchern abgeglichen... Wenn das Passwort dann mal länger u. komplizierter ist, dann wird das reverse builden schon interessanter.

Naja. Im Endeffekt - wie gehabt - die Sicherheitslücke ist der User selber.

Fatale Sicherheitslücke beim Login

Fatale Sicherheitslücke beim Login

SysProfile Windows Foren

Hardware Foren