Autor Nachricht

admin_j

(Mitglied)

Hallo,

Gestern wurde das Philaforum "gehackt". Was wohl passiert war, Hobbyhacker haben eine Sicherheitslücke in der Forensoftware von WlofLab entdeckt. Damit können viele Foren die auf diesem Script basieren, Opfer einer einfachen SQL-Injection werden. Das ist eine Methode eines Hackerangriffs, die Daten aus SQL Datenbanken ausliest.

Im Fall von Philaforum wurden 742 Benutzernamen und die dazu gehörenden Passworte ausgelesen und im Internet veröffentlicht. Mir liegt die Liste vor. Unten die Liste der Benutzernamen, deren Passwort öffentlich bekannt ist.

Die Gefahr besteht, dass Nutzer identische Zugangsdaten auch für andere Seiten hinterlegt haben. Ich bin mir sicher, das auch Kombinationen dabei sind, mit denen man sich erfolgreich bei Ebay einloggen kann.


Liste der Sonderzeichen zum Einkopieren

Epson-Scanner-Standard-Einstellungen

Welche Sonderzeichen in Beiträgen können Veröffentlichung verhindern?

10.08.08, 15:03:14

admin_j

(Mitglied)

Hallo nochmal zu dem Thema,

die Gefahr besteht immer noch, dass aus den WolfLab Scripts, von Philaforum verwendet, Daten ausgelesen werden.

Ich bin dort ja als stampsX angemeldet und wer dort mein Passwort sieht, kann sehen, wie Passworte aussehen sollten. Erstens benutze ich jedes Passwort nur an einer Stelle. Zweitens benutze ich kryptische Zeichenfolgen.

Völlig ungeeignet sind Passworte wie: online (kommt gleich bei mehreren Usern vor), die Vornamen der Partnerinnen (jedes zweite Passwort), Puschel, Diddl oder Mausi, der Username als Passwort und andere, offensichtlich leicht zu erratende Worte.

Die Maßnahme, mit der die Daten ausgelesen wurden, ist Kinderkram. Es ist eine sogenannte SQL-Injektion. Dazu braucht man nur zu wissen, wie die Variablennamen Programmintern heißen. Das ist bei öffentlich zugänglichen Skripten kein Problem.

Ansonsten hängt man an ein Eingabefeld oder bei "GET" Variablen, einfach an die URL, ein wenig Code an und schon bekommt man die gewünschten Daten geliefert. Versucht es bei stampsx.com!

Es geht nicht. Warum geht es nicht? Weil man in den ersten fünf Lektionen PHP/SQL Gegenmaßnahmen erlernt. Es soll natürlich Programmierer geben, die haben nie einen Lehrgang gemacht.

Als groben Hinweis möchte ich bemerken, man kann alle Daten, die von außen kommen, abfragen. Erwarte ich eine Artikelnummer, lasse ich nur Zahlen durch. Bei allem anderem als einem CMS, vernichte ich mit htmlspecialchars() HTML-Code. Alle SQL Schlüsselworte wie zum Beispiel "UNION+" maskiere ich. Man kann einige Standardfunktionen schreiben, die für verschiedene Daten generell so eine "Reinigung" vornehmen. Ich mache noch mehr. Aus purem Spaß vergebe ich GET Variable an der URL die mit scheinbaren Inhalten gefüllt sind. Die werte ich jedoch nicht aus, sondern Session-Variable oder Post-Variable, die nicht sichtbar sind und zusätzlich noch blöde Namen haben. Man kann den Hackern zwei Schritte voraus sein, wenn man weiß wie es geht.

Das ist ganz ähnlich mit den Fälschern. freuen

Liste der Sonderzeichen zum Einkopieren

Epson-Scanner-Standard-Einstellungen

Welche Sonderzeichen in Beiträgen können Veröffentlichung verhindern?

10.08.08, 15:48:17

admin_j

(Mitglied)

Hallo noch mal zum Hacken,

nicht dem von Holz, sondern zu dem von Passwörtern. In den meisten Programmen ist vorgesehen, dass Passworte nicht im Klartext gespeichert werden. Man verschlüsselt die Passworte. Gängig ist das MD5 Format. Der Vorteil des Formates, man kann zwar Kodieren, aber nicht dekodieren. Ob das Passwort stimmt, wird dadurch überprüfbar, indem man aus dem eingegebenen Passwort wieder MD5 Code macht und die MD5 Codes vergleicht.

Will man nun MD5 Code hacken, bleibt nur der Versuch mit allen Möglichkeiten. Dafür gibt es sicher schon Programme und ich könnte eines in einer Stunde schreiben.

Man fängt einfach bei "A" an. Der MD5 Code dafür wäre 7fc56270e7a70fa81a5935b72eacbe29

In den ausgelutschten Daten standen die Benutzernamen und die MD5 Codes. Ich bilde also einfach eine Datenbank mit Wörterbüchern, Namen und ähnlichem. In der Datenbank steht zu jedem Wort der frisch berechnete MD5 Code. Dann nehme ich noch den Benutzernamen selbst und vergleiche, ob hier der MD5 Code übereinstimmt.

Für jeden Code den ich überprüfen = hacken will, brauche ich einen Suchlauf durch die Datenbankeinträge. Neue Codes (außer dem des Usernamens) werde ich "on the fly" wohl kaum erzeugen wollen. Will ich meine Datenbank besonders fit halten, hänge ich noch an jedes Wort 1 oder 01 oder Kombinationen daraus, bis zu 8stellige Zahlen, die ein Geburtsdatum sein könnten.

Das Ergebnis aus den Philaforum Einträgen zeigt, dass die MD5 Dekodierung des jugendlichen Hackers eher Kleinkinderkram war. Nur die dümmsten ( = ungeeignetsten) Passworte wurden entschlüsselt.

Es zeigt auch noch etwas, ein Passwort wie h5Ec!q8l-5x ist nicht zu hacken. Alles unter acht Stellen kann aber aber noch in erträglicher Zeit rechnen lassen. Die Rechner werden immer schneller, nehmt lange Passworte.

Liste der Sonderzeichen zum Einkopieren

Epson-Scanner-Standard-Einstellungen

Welche Sonderzeichen in Beiträgen können Veröffentlichung verhindern?

10.08.08, 17:38:32

admin_j

(Mitglied)

Noch ein Warnhinweis: Im Netz war auch eine Liste mit allen angemeldeten Benutzern und dem Passwort als MD5 Code vom Philaforum. Ich bin sicher, das sich daraus mehr als 742 Passworte knacken lassen. Es sollte wirklich jeder sein Passwort ändern.

Liste der Sonderzeichen zum Einkopieren

Epson-Scanner-Standard-Einstellungen

Welche Sonderzeichen in Beiträgen können Veröffentlichung verhindern?

10.08.08, 22:15:02

admin_j

(Mitglied)

Hallo zu Thema Datensicherheit im Internet,

Benutzernamen und Passworte dazu, öffentlich im Internet
Ich will noch einmal zusammenfassen, was am Wochenende für Aufregung gesorgt hatte. Betroffen war das Philaforum, dass sich im Tiel seiner Internetseite mit "Herzlich Willkommen in Deutschlands führendem Forum für Philatelie" schmückt.

Eine Liste mit 742 Benutzernahmen und den dazu gehörenden Passworten wurde im Internet veröffentlicht. Ebenfalls wurde eine Liste mit 3.535 Benutzernamen und dazu gehörendem MD5 Code veröffentlicht.

Nachdem die Sache bekannt war, sollen Benutzer des Forums einen Beitrag dazu begonnen haben. Als ich sehr viele Stunden später, am 10. 8. gegen 13:00 davon erfuhr, habe ich die Hackerseite besucht, den dort veröffentlichten Code auf der Philaforum-Seite eingegeben und bekam immer noch unerwünschte und ungewollte Informationen angezeigt.

Der Betreiber, wohl als aerotech in seinem Forum unterwegs, schrieb, er würde an dem Problem arbeiten. Die nun öffentlich bekannte Sicherheitslücke nicht zu schließen, sondern statt dessen Beitrage erschreckter Benutzer zu löschen ist ein bemerkenswerter Vorgang. Aerotech hatte offensichtlich keine Ahnung was wirklich passiert war. Aktuell zu der Zeit, behauptete er, es gäbe kein Problem. Daraufhin habe ich mit dem Code sein MD5 Passwort aus dem Netz gezogen und sofort im Forum veröffentlicht. Das war um 13:41. Erst danach hat aerotech die direkt betroffene Seite ...shop.php ... vom Netz genommen. Die einzig richtige Reaktion wäre gewesen die Seite sofort vollständig vom Netz zu nehmen und nach Lösung des Problems, wieder online zu gehen. Um den eigenen Ruf zu bewahren, wurde hier mit der Sicherheit der Benutzer grob fahrlässig gespielt.

Als gegen fast 18:00 Uhr, entgegen der Behauptung von Aerotech, die bewussten Listen immer noch im Netz standen, was allerdings nichts mit der Philaforum-Seite, sondern mit dem Hacker zu tun hat, habe ich bei diesem Seitenbetreiber angerufen und nach diversen Test, dafür gesorgt, dass die Daten wirklich nicht mehr im Internet standen. Falls sich jemand fragt, wie man das herausbekommen konnte: man geht zur Seite http://nic.com und gibt den Domännamen dort bei "whois" ein. Dann bekommt man die Daten des Betreibers, hier einschließlich korrekter Telefonnummer, zu sehen.

An anderen Stellen wurde nun auch die tolle Leistung des Hackers, es soll ein Jugendlicher sein, bewundert. Was er gemacht hat ist jedoch keine Leistung, sondern Blödsinn, für den nur Jugendliche Zeit zu haben scheinen. Selbst bei Wikipedia ist nachzulesen, was eine SQL-Injection ist. Damit kommt man an die Daten, wenn die Seiten unsicher programmiert sind. Was man noch wissen muss, eben außer dem was bei Wikipedia steht, sind interne Feldnamen. Das ist sehr einfach bei frei zugänglichen Scripten wie denen von Philaforum, BDPH-Forum oder auch von dem hier verwendeten Script von Christoph Roeder.

Kann sich der Seitenbetreiber schützen?
Es ist jedoch genauso einfach, sich gegen die Angriffe zu schützen. Man muss natürlich selbst programmieren können und nicht nur Scripte installieren können. Ich habe auch tagelang selbst getestet, ob ich diese Forenseite hier knacken kann. Es ist mir nicht gelungen, obwohl ich weiß wie alle Variablen und Feldnamen heißen. Ich schließe auch gegen Bezahlung, Sicherheitslücken in HTML und PHP Programmen egal wer der Hersteller ist.

Kann sich der Benutzer schützen?
Ja, Passworte sollen mindestens 8 Zeichen haben. Passworte sollen keinen Text enthalten, sondern kryptische Zeichenfolgen.

Wem dazu nichts einfällt, der geht auf meine Seite https://www.stampsx.com/ratgeber/konverter.php

Dort gibt man zum Beispiel ein: bolero dreck, macht ein Häkchen bei B64 decode und klickt auf berechne. Dann kommt als Ergebnis n‰^®‡kyÉ heraus. Das wäre ein fast gutes Passwort. Will man ein ganz gutes, dann zum Beispiel fillatee was bei B64 decode ~)ejמ ergibt. Das sind nur 6 Zeichen. Also fügen wir noch irgendwo ein $ oder ! oder ? ein und einen Buchstaben, dann haben wir ein sicheres Passwort. Sollten im Passwort nicht alle Zeichen erlaubt sein, einfach 10 Stellen nehmen und Text wie Y5ODYpKC8m. Das ist auch OK. Fällt euch nichts ein, schreibt einen Text, gebt in in meinen Konverter ein, drückt B64 encode und ihr bekommt Ideen. Dann noch ein paar Zeichen ändern und fertig ist das sichere Passwort. Mein kleines Programm speichert nichts, sondern berechnet während der Benutzung die Werte und gibt sie wieder aus.

Ich stehe auf einer der Listen. Kann das Folgen haben?
Ja, nicht nur im Philaforum brüsten sich Halbwissende Legastheniker damit, die Listen gespeichert zu haben! Sicher haben Horden gemeiner Hacker die Listen gespeichert um zu testen, ob mehr als 742 Passworte aus den MD5 Codes gehackt werden können. Jedes Passwort mehr, bringt Ruhm und Ehre unter Hackern. Die Beschwichtigung im Philaforum, es wäre ja kein Schaden entstanden ist pures Wunschdenken naiver Schreiber.

Mein Beitrag von 13:41 im Philaforum:

Lücke nicht geschlossen

Hallo,

die Lücke ist wohl noch offen. Vor 60 Sekunden habe ich nach Eingabe der SQL-Injection aus dem Hackerforum den md5code des Passwortes von Aerotech ansehen können:

#aerotech : b8093a269f9fc578e5bf0a82ede9e46b : aerotech@freenet.de -

Das ist kein Drama, denn mit dem Code kann man Extern nichts anfangen. Der Hackerangriff verwendet keine tollen Tricks, sondern ist eine einfache SQL-Injection. Diese nicht zuzulassen, lernen Anfänger die PHP Programmieren lernen, in den ersten 5 Lektionen.

Die Hacker interessieren sich auch kaum für Briefmarken, ja können sicher nicht einmal deutsch. Die haben nach dem Script gesucht, dass dieses Forum verwendet, weil die Sicherheitslücken wohl bekannt waren.

-------------- Ende des Zitates -------------

Der Hacker selbst ist wohl in Deutschland ansässig. Das Hackerforum wird jedoch international gelesen und ist in englischer Sprache.

Liste der Sonderzeichen zum Einkopieren

Epson-Scanner-Standard-Einstellungen

Welche Sonderzeichen in Beiträgen können Veröffentlichung verhindern?

11.08.08, 14:40:44

admin_j

(Mitglied)

Hallo,

die Liste mit den 742 aufgedeckten Passwörtern wurde erwartungsgemäß übertroffen von einer Liste mit 2.303 Passwort/Benutzernamen/MD5 Codes. Sicher gibt es Tabellen, die noch ein paar Codes mehr kennen. Aus der Liste kann man schließen, dass bis 6 Zeichen alles geknackt ist. Bei 7 Zeichen kryptischem Passwort ist noch alles sicher, und bei 8-10 Stellen sollte noch für einige Jahre Ruhe sein.

Das Problem des Hackens liegt nicht im MD5 Code. Auch jeder andere noch so genial erzeugte Code, lässt sich einfach als Tabelle erstellen, wenn der Ursprung kurz genug ist.

Was zählt ist

1. Länge: mindestens 8 Zeichen
2. Keine realen Worte verwenden: Hexensabbat wird geknackt!
3. Groß-/Kleinschreibung benutzen: nHv4EstOä
4. Sonderzeichen einfügen: !"§$%&/()=?}][{^°Ñªº¿®Ñ½¼¡ usw.
5. Keine Zeichenreihe von der Tastatur nehmen: QWERTZUIOP wird geknackt!
6. Keine Name/Zahlenkombination nehmen: yasaka99 wird geknackt!

In einem anderen Forum hat ein Provokateur folgendes zum Besten gegeben:

Die MD5 Verschlüsselung biete im grunde nur Schutz vor dem Datenbank Admin damit er die Passwörter nicht lesen kann. MD5 ist seit Jahren geknackt und total unsicher.

beispielsweise kannst du das hier nachlesen: http://www.md5crk.com/


Offenbar glaubt er entweder, dass niemand den Link klickt, oder das niemand englisch kann. Da steht nämlich nicht, wie man MD5 Code hacken kann, sondern:
Effiziente Umsetzung der MD5 Message-Digest Algorithmus (RFC1321) auf einem 8-Bit-Mikro-Controller verwirrt

Ignore the Trolls!

Liste der Sonderzeichen zum Einkopieren

Epson-Scanner-Standard-Einstellungen

Welche Sonderzeichen in Beiträgen können Veröffentlichung verhindern?

11.08.08, 21:30:08

admin_j

(Mitglied)

Hallo,

damit die Passworte nicht so unsicher sind, habe ich ein kleines Programm gemacht, dass sichere, 12stellige Passworte erzeugt. Bei jedem Klick kommt ein neues Passwort. Das wird die nächsten tausend Jahre so gehen. Die Passworte werden nur erzeugt und angezeigt. Das Programm speichert nichts. Ein Hacker der sich Passworte erzeugen ließe, um sie mit MD5 zu verschlüsseln und die Codes zu speichern, würde seine Zeit vertun. Keines der Passwörter käme jemals wieder vor.

Das "geniale" Passwort "Heidi" ergäbe: tVw1q1TU§Uyc
während "heidi" W%WSIZCbuwCk ergibt und
"Heide" als v.Jitk.v§vyg heraus kommt.

Zur Erzeugung setze ich u. a. drei verschiedene Verschlüsselungsverfahren ein und verändere durch einen eigenen Algorithmus weitere Bits.

https://www.stampsx.com/ratgeber/konverter.php

Liste der Sonderzeichen zum Einkopieren

Epson-Scanner-Standard-Einstellungen

Welche Sonderzeichen in Beiträgen können Veröffentlichung verhindern?

12.08.08, 01:41:39

admin_j

(Mitglied)

Hallo zusammen,

noch ein kleiner Trost in dieser Sache zum Abschied von dem Thema. Viele Seiten auf denen es auch um Geld geht, tatsächlich auch bei Ebay und Paypal, kann man kein Passwort mit vier Stellen verwenden, ohne bei jedem Login mit einer Warnung belästigt zu werden.

Ich glaube es ist auch bei Ebay eine Anzeige über die Sicherheit des Passworts beim Anmeldevorgang zu sehen. Benutzt meinen Passwortgenerator und testet, was Ebay dazu sagt.

Noch einmal zu der Schuldfrage.

1. Selbstverständlich sind nicht Benutzer mit "unsicheren" Passworten am Hackerangriff schuld. Diese Benutzer setzen sich nur, entgegen aller Warnungen, vermeidbaren Risiken aus.

2. Eine Software, die durch eine sogenannte SQL Injection, um Daten beraubt werden kann, ist sehr schlecht programmiert. Das schreibe ich nicht weil ich die Autoren beleidigen will, sondern weil Gegenmaßnahmen kinderleicht sind und in jedem Lehrgang, gleich in den ersten Lektionen behandelt werden. Ich vermute daher, die Mitarbeiter des Scipterstellers haben nie Lehrgänge besucht.

Da dieses Thema hier ohnehin nichts mit Philatelie zu tun hat, zähle ich hier ein paar Standardmaßnahmen aus. A. Alles was von Außen kommt ($_GET und $_POST) und eine Datenbank benutzt wird, muss zunächst mit mysql_real_escape_string() behandet werden. Der nächste Punkt ist, wenn ich eine GET oder auch POST Variable habe, die zum Beispiel "Action" heißt und deren Wert "zufügen", "ansehen", "ändern" oder ähnlich haben kann, dann frage ich genau auf die Werte ab. In der Beispielzeile unten, stark abgewandelt und unbrauchbar, ist beispielhaft gezeigt, dass eine Variable namens ID, die einen numerischen Wert haben sollte, mit Schadcode gefüllt wird.
Code:
1:
http://philaforum.de/shop.php?ID=42;UPDATE+USER+SET+TYPE="admin"+WHERE+ID=23


Es ist die Stelle nach dem Fragezeichen. Ich frage Felder auf Inhalt und Länge ab. Dafür habe ich eine standardisierte Funktion geschrieben. Die erfragt Feldtyp und Länge aus der Datenbank-Tabelle. Ändere ich dort etwas, wird das im laufenden Programm berücksichtigt. Wird nun die Länge überschritten oder der die Inhalte passen nicht zum Typ (ich erwarte Zahlen, da steht aber "UPDATE+ ...) dann gebe ich eine Fehlermeldung aus oder ignoriere die ganze Anfrage.

Also werden die eingehenden Daten maskiert, dann validiert. Dann kommt die nächste Funktion. Die prüft auf Worte wie "UPDATE+". Vorher wird noch aus eventuellem HTML-CODE das ASCII-Zeichen gemacht. Es wird auch Groß-/Kleinschreibung ignoriert. Zusätzlich, gegen andere Angriffe gerichtet, werden die Daten mit htmlspecialchars() behandelt.

Was hier kompliziert und zeitaufwändig aussieht, ist Kinderkram. Man schreib eine Funktion, die wird bei jedem Datenempfang verwendet. Das ist alles.

Statt if (isset($_POST[feldname])) {$variable=$_POST[feldname];} schreibet man dann
if (isset($_POST[feldname])) {antihack($variable=$_POST[feldname]);}

Ich will euch nicht noch mit dem Code der Funktion langweilen. Ich mache auch noch andere kleine Maßnahmen. Es gibt auch ersatzweise andere, genauso wirksame Methoden, die einen Angriff dieser Art 100% sicher verhindern.

Ansonsten kann man noch über den Interessenkonflikt zwischen guter Lesbarkeit und Sicherheit beim Programmieren reden. Wenn ich statt ...php?aktion=ansehen schreibe ...php?a2=3 wird es ein Hacker schon viel schwerer haben. Nehme ich POST statt GET habe ich auch einen kleinen Vorteil. Noch ein Tipp, ich kann auch alles in $_SESSION Variable schreiben. Wer einmal auf meiner Seite eine Stunde zum Essen war und davor eine Arbeit gemacht hatte, die er danach beenden wollte, wird sicher gedacht haben mein Programm wäre fehlerhaft, weil die Weiterarbeit im Nichts endete. Das war aber nur eine gewollte Sicherheitsmaßnahme.

Also, die Schuld, die Möglichkeit den Schadcode zur Ausführung zu bringen, trifft den Hersteller des Scripts. Der freilich schreibt in seinen Benutzungsbedingungen, dass er für nichts garantiert. Das ist sein gutes Recht, er verschenkt ja sein Werk und sieht finale Tests nicht als seine Aufgabe an.

Die tatsächliche Schuld trifft den Benutzer des unsicheren Scriptes, also den Anbieter des Web-Auftrittes. Mit einfachen Programmierkenntnissen, kann man das Programm sicher machen.

Liste der Sonderzeichen zum Einkopieren

Epson-Scanner-Standard-Einstellungen

Welche Sonderzeichen in Beiträgen können Veröffentlichung verhindern?

12.08.08, 15:14:55
Gehe zu:
Forum Regeln:

Es ist ihnen nicht erlaubt, neue Beiträge zu schreiben.
Es ist ihnen nicht erlaubt, neue Themen zu erstellen.
Es ist ihnen nicht erlaubt, ihre Beiträge zu bearbeiten.
Es ist ihnen nicht erlaubt, ihre Beiträge zu löschen.


HTML Code ist AUS
Board Code ist AUS
Smilies sind AUS
Umfragen sind AUS

Benutzer in diesem Thema
Es lesen 0 Gäste und folgende Benutzer dieses Thema:
Archiv
Ausführzeit: 0.0303 sec. DB-Abfragen: 13
Powered by: phpMyForum 4.1.4 © Christoph Roeder
Cookies erleichtern die Bereitstellung unserer Dienste und erhöhen deinen Komfort. Mit der Nutzung unserer Dienste erklärst du dich damit einverstanden, dass wir Cookies verwenden! Datenschutzerklärung