1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Fatale Sicherheitslücke beim Login

Dieses Thema im Forum "Fehler im Forum" wurde erstellt von Kingston King, 26. April 2014.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Snuffy

    Snuffy Capt'n Strohhut

    Registriert seit:
    20. November 2007
    Beiträge:
    5.893
    Zustimmungen:
    332
    1. SysProfile:
    44741
    2. SysProfile:
    181059185458188596190734
    Steam-ID:
    Snuffy_aka_eve

    Ich denke, er hat das mit den md5-Hashes bissel falsch interpretiert. Ein 5ziffriges Passwort als MD5 Hash kann mittlerweile jedes Smartphone bruten und das fix.
    Und wie du bereits erwähntest - Std. Kram wird anhand von Wörterbüchern abgeglichen... Wenn das Passwort dann mal länger u. komplizierter ist, dann wird das reverse builden schon interessanter.

    Naja. Im Endeffekt - wie gehabt - die Sicherheitslücke ist der User selber.
     
  2. Gorsi

    Gorsi Super-Moderator
    S-Mod

    Registriert seit:
    24. März 2008
    Beiträge:
    11.684
    Zustimmungen:
    477

    @Kingston King
    Ich wäre erst einmal vorsichtig mit solchen Videos. Entweder stichst du gerade in eine Grauzone oder machst dich schon Strafbar mit deinem Video bzw mit dem Tun darin.
    Etwas nicht eigenes zu Hacken ist nicht erlaubt und könnte Strafrechtliche Folgen nach sich ziehen wenn du keine ausdrückliche Erlaubniss vom Inhaber hast. ;) Ein weiterer grund warum du zu erst einmal den Admin einer Seite persönlich Kontaktieren solltest oder zumindest einen Moderator der es weiter leitet. Du begibst dich ungewollt in für dich gefährliche gefilde.

    @Topic
    Hier haben beide seiten recht.
    Jeder der sein PW nicht regelmäßig Ändert bei einer unsicheren Verbindung wo die möglichkeit eines abgreifens besteht ist gefärdet. Und jeder der nicht am besten unterschiedliche Accountnamen sowie Passwörter verwendet für jede Regestrierung sollte sich gedanken machen.

    Andererseits ist eine grundverschlüsselung vorhanden und die frage ist ob der Aufwand lohnt von derzeit allein hier ca. 300.000 Regestrierten Mitgliedern alle Benutzerdaten aus zu lesen und dann entsprechend zu Dekodieren. Auch wenn es möglich ist benötigt dies enorm viel Zeit und dann ist nicht einmal gesichert das man viele weitere Accounts verknüpft benkommt von Banken oder Onlineshops mit diesen hier.

    Ich bin zwar auch für eine algemeine Aktuelle verschlüsselte Verbindung auf generell jeder Seite mit möglichen Benutzerdaten, aber sehe dies nicht als dringender Handlungsbedarf für die Forenbetreiber.
    Eine Sensibilisierung für das Verhalten im Internet mit persönlichen Daten halte ich für Sinnvoller.
     
  3. mitcharts

    mitcharts Wandelnde HDD

    Registriert seit:
    23. Januar 2007
    Beiträge:
    11.954
    Zustimmungen:
    585
    1. SysProfile:
    17054
    Den Netzwerktraffic des eigenen PCs per Wireshark mitzuschneiden, ist nun wirklich kein Hacken. ^^
     
  4. Snuffy

    Snuffy Capt'n Strohhut

    Registriert seit:
    20. November 2007
    Beiträge:
    5.893
    Zustimmungen:
    332
    1. SysProfile:
    44741
    2. SysProfile:
    181059185458188596190734
    Steam-ID:
    Snuffy_aka_eve
    So siehts aus Mitcharts.
    Von daher ist er in der Grauzone, weil er nur das überwacht, was sein PC an Daten überträgt.
    Würde er im ganzen Netzwerk mit sniffen (am besten noch eins, dass nicht ihm gehört), dann wäre das wieder was anderes.

    Desweiteren bei Wireshark von "hacken" an sich zu reden ist schon fast Blasphemie :D
    Und die Nutzerdaten auslesen - nunja, dass kann er so mit der Variante genau nur dann, wenn er auf Seiten des Webservers mitschneiden würde. Oder den Server wirklich hackt.

    Deshalb wiederhole ich wieder gerne - alles nur grobe Panikmache, die fast Bild Niveau hat... Erst mal informieren, dann hetzen ;)



    P.S.: Wenn ich ein gut florierendes Forum hätte und so ein Video gegen mich geschneidert wird (Darum gehts ja, da explizit das SysP-Forum gezeigt wird), dann hätte ich bereits einen Anwalt informiert.


    Mein Wort zum Sonntag ;)
     
  5. Shadowchaser

    Shadowchaser Wandelnde HDD

    Registriert seit:
    11. November 2008
    Beiträge:
    21.794
    Zustimmungen:
    750
    1. SysProfile:
    84758
    2. SysProfile:
    134624
    Ich kenne mich damit zu wenig aus um es beurteilen zu können, aber denke mal wenn ich die ganzen Kommentare so lese, dass es nichts ist wo man sich Sorgen machen müßte. Also alles wie gehabt!;)
     
    #20 Shadowchaser, 27. April 2014
  6. Schweini

    Schweini Wandelnde HDD

    Registriert seit:
    26. Dezember 2006
    Beiträge:
    4.341
    Zustimmungen:
    229
    Habe hier weder private, noch sonstwie wichtige Infos gespeichert. Net mal meine IP kann ich hier nachschlagen.

    Also, wer hier reinwill oder kommt - der soll sich halt austoben. Ne Email an nen Admin und mein Account hat ein neues PW.
     
  7. Gorsi

    Gorsi Super-Moderator
    S-Mod

    Registriert seit:
    24. März 2008
    Beiträge:
    11.684
    Zustimmungen:
    477
    Ok, Wireshark ist selbst nicht direkt Hacken. Er schneidet nur seinen eigenen Traffic mit. Da habt ihr recht.

    Allerdings ist das eigentlich nicht die Problematik des Thread's

    @ Shadow
    Wo siehst du das man sich keine Sorgen machen muss?
    Kingston zeigt doch recht gut im Video das man nur den Traffic benötigt und anschließend nur noch raus filtern muss sowie entschlüsseln. Und Abhören ist heut zu tage kein Problem mehr wenn man in ein Lan rein kommt.

    @ Schweini
    Wir können deine IP einsehen.
    Es geht doch nicht speziell um deine Privaten Daten wie alt du bist und was du gestern gegessen hast. Sondern um das herausfinden deines Benutzernamens sowie Passwort und Eventuell E-Mail mit der Hoffnung das jemand so Blöd ist und die gleichen Daten auch für seinen E-Mail Account verwendet oder Online Einkaufshäuser.
    Der der ein anderes PW nimmt pro Seite ist und bleibt soweit Sicher.
     
  8. Shadowchaser

    Shadowchaser Wandelnde HDD

    Registriert seit:
    11. November 2008
    Beiträge:
    21.794
    Zustimmungen:
    750
    1. SysProfile:
    84758
    2. SysProfile:
    134624
    Wie gesagt kenne ich mich damit nicht aus. Und a) wurde ja schon gesagt das so ein Forum für die meisten Hacker eh uninteressant ist und b) ist mein PW hier relativ lang.

    Ich verwende überall unterschiedliche Pws.
     
    #23 Shadowchaser, 27. April 2014
  9. Da GuRu

    Da GuRu Administrator
    Admin

    Registriert seit:
    22. Dezember 2006
    Beiträge:
    1.567
    Zustimmungen:
    87
    Wenn man ins Lan reinkommt, dann kann ich dir auch direkt nen Keylogger installieren.

    Willst du zu jedem, den du "hacken" möchtest, nach Hause fahren und bei ihm sniffen?
    Und selbst wenn: den Hashwert von einem vernünftigen PW wirst du sowieso nicht so schnell gelesen bekommen.

    Viel Spass.
     
  10. Snuffy

    Snuffy Capt'n Strohhut

    Registriert seit:
    20. November 2007
    Beiträge:
    5.893
    Zustimmungen:
    332
    1. SysProfile:
    44741
    2. SysProfile:
    181059185458188596190734
    Steam-ID:
    Snuffy_aka_eve
    Dann kann das Thema ja eigtl. zu, weil hier eh nichts sinnvolles mehr rum kommt.
     
  11. Kingston King

    Kingston King Lebende CPU
    Themenstarter

    Registriert seit:
    18. April 2008
    Beiträge:
    1.369
    Zustimmungen:
    12
    Name:
    Daniel
    1. SysProfile:
    62913
    Hi,

    lassen wir uns das einmal sachlich angehen.
    Ich als User würde mich fragen, ob du dann als Forenbetreiber nicht gegen das BDSG verstößt, indem du nämlich personenbezogene Daten (was mein Passwort ist) fahrlässig unverschlüsselt über das Internet übertragen lässt.

    Wir alle haben keine Ahnung, wo & an welchen Zwischenstellen von wem gelauscht wird.
    Es geht nicht nur darum, dass es sehr unwahrscheinlich ist, dass gerade DEIN Passwort abgefangen wird, sondern überhaupt eines von einem User aus diesem Forum.

    Es gibt 1000 Beispiele, dass z.B an einem öffentlichem Hotspot oder einem vermeintlich sicheren VPN-Server,... die Daten im großen Stil abgefangen wird.


    Ein einfaches Szenario:
    Ich setzte mich in ein gut besuchtes Terminal am Flughafen und mache die Hotspot-Funktion von meinem Notebook an und nenne das WLAN "Flughafen Berlin - Free WiFi".

    Binnen weniger Minuten habe ich etliche Benutzer, die über meinen Rechner gehen. Davon lasse ich alle Pakete mitschneiden, die via HTTP den String "login.php" enthalten und werte deren Inhalte aus.

    Das gleiche mache ich am Hauptbahnhof, im Freibad, im Restaurant, im Einkaufszentrum, auf dem Oktoberfest,...

    Anschließend werte ich die MD5 & teilweise im Klartext übermittelten Passwörter aus und veröffentliche meine Funde.
    Die Reputation von dem betroffenden Betreiber wäre von jetzt auf gleich zerstört.


    Ok, jetzt habe ich den Teufel an die Wand genagelt.
    Aber wäre es dafür nicht Wert, ein SSL Zertifikat für 40€/Jahr zu kaufen und einfach den Usern ein gutes und sicheres Gefühl zu geben?

    Gruß,
    Dani
     
    #26 Kingston King, 27. April 2014
  12. gemini

    gemini Wandelnde HDD

    Registriert seit:
    26. Juli 2007
    Beiträge:
    7.012
    Zustimmungen:
    516
    1. SysProfile:
    33171
    2. SysProfile:
    143510
    Jetzt übertreib aber mal hier nicht. Seit wann gehört ein Passwort zu den personenbezogener Daten?

    "Daten sind personenbezogen, wenn sie eindeutig einer bestimmten natürlichen Person zugeordnet sind oder diese Zuordnung zumindest mittelbar erfolgen kann. Im zweiten Fall spricht man auch von personenbeziehbaren Daten."

    Wie kann ich bitte ein Passwort direkt einer Person zuordnen? Ein Passwort ist noch nicht mal eindeutig nur von einer Person benutzbar.

    1. Jemand muss auch die 40€ bezahlen
    2. Eine verschlüsselte Verbindung ist rechenintensiver, also muss natürlich erst mal geguckt werden, ob die Server die Mehrbelastung aushalten, wenn nicht, werden stärkere Server notwendig, die auch wieder Geld kosten.

    ----

    Auch wenn ich persönlich nichts gegen eine verschlüsselte Verbindung habe, muss ich sagen, dass dein auftreten hier (Video, Beschuldigung gegen das BDSG zu verstoßen) langsam zu weit geht. Aber das ist nur meine persönliche Meinung.
     
    3 Person(en) gefällt das.
  13. Kingston King

    Kingston King Lebende CPU
    Themenstarter

    Registriert seit:
    18. April 2008
    Beiträge:
    1.369
    Zustimmungen:
    12
    Name:
    Daniel
    1. SysProfile:
    62913
    Hi,

    also ich möchte dazu sagen, dass ich weder die Betreiber noch SysProfile selber "angreife" damit.
    Das Video ist lediglich eine Feststellung.

    Ich werfe auch euch auch nichts bzgl. BDSG vor!

    Wie geschrieben sollte es eine sachliche Diskussion werden, die das Thema des Logins als Kern trägt.
    Wie schon von Snuffy geschrieben driften wir von dem Kern allerdings ab. Daher kann der Thread an der Stelle auch gerne geschlossen werden.

    Für die Nutzer, die ein praktisches Beispiel davon sehen möchten wie das Auslesen theoretisch möglich ist, habe ich das Video erstellt.
     
    #28 Kingston King, 27. April 2014
  14. Schweini

    Schweini Wandelnde HDD

    Registriert seit:
    26. Dezember 2006
    Beiträge:
    4.341
    Zustimmungen:
    229
    Also, dann übernehme ich die 40€ fürs erste Jahr, wenn sich einer findet, der das umstellt.

    Halte ich für übertrieben, aber ist mir lieber als sone Paranoia.
    Rein theoretisch hast Du recht, aber wer will mit dem Zugang hier was nützliches anfangen?

    Edit: Dann könnte man ja auch nur die login.php in hilfe.php umbenennen und schon sucht keiner danach? chat.php oder sowas ist ja dann verkehrt, oder erzeugt das Gegenteil - Der Sniffer snifft das erst recht.
     
    #29 Schweini, 27. April 2014
    Zuletzt bearbeitet: 27. April 2014
  15. bulletpr00f

    bulletpr00f Lebende CPU

    Registriert seit:
    17. September 2007
    Beiträge:
    1.786
    Zustimmungen:
    206
    Name:
    Chris
    1. SysProfile:
    68368
    Möchte hier keinerlei Partei ergreifen, um nicht noch mehr Staub aufzuwühlen. Aber: Es geht ihm, denke ich, auch weniger um die Daten des Logins HIER. Viel mehr ist es ja so, dass - wie Gorsi auch schon angemerkt hat - viele Nutzer evtl. selbige Logindaten auch anderweitig nutzen. Und wenn ich, gerade durch die in letzter Zeit aufgetretenen Sicherheits-Fauxpas, kurz nachdenke... Gibt es etwas wertvolleres auf der Welt, als Daten? (im übertragenen Sinne)

    Mal im Ernst: Von solchen Nutzern gibt es viele ;) Natürlich ist hier jeder seines eigenen Glückes Schmied, wer fahrlässig handelt, läuft Gefahr, am Ende dumm da zu stehen. Allgemeine Sicherheits-Eckpunkte sollte jeder schon in der 5. Klasse Informatikunterricht lernen (kryptisches Passwort, öfters mal ändern, keine persönlichen oder vertraulichen Daten öffentlich posten...)

    Ein mit SSL verschlüsseltes Forum stellt in meinen Augen zwar einen sehr netten Sicherheitsaspekt da, ist aber bei sensiblem Umgang mit den eigenen Daten nicht notwendig.
     
    #30 bulletpr00f, 28. April 2014
    3 Person(en) gefällt das.
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen