IT-Security für Vorschüler

Donnerstag, 5. Februar 2009, 16:23 Uhr |  Autor:

phpBB coughs up names, addresses, passwords” (theregister.co.uk)

Einbruch in Webseite von Boardsoftware phpBB” (heise.de)

Was war da?

  • Datenbank der WebSite von Forensoftware phpBB gehackt.
  • Hacker kam über PHPList (Software für Newsletter) rein, was nichts mit der Forensoftware zutun hat. Es ist fremde Software, auf die sich die Jungs und Mädels von phpBB verlassen haben.
  • Hacker konnte E-Mail und Passworthashes von 400.000 Usern runterladen.
  • PHPList verwendet MD5 zum verschlüsseln der Passworte.
  • PHPList aber dumm, weil MD5 ohne Salt benutz wird.
  • Hacker kam durch Hashvergleiche an 28.000 Passworte…
  • weil User dumm und einfache Passworte vergeben.



Und liebe Kinder was lernen wir aus diesem Vorgang?

  • An die großen von euch:
    1. Passworte niemals recyceln
    2. Niemals zu einfache Passworte verwenden:
      nicht 123456
      auch nicht 12345678
      und schon gar nicht passwort
  • und an die kleinen:
    1. Passworte niemals im Klartext in einer Datenbank speichern.
    2. MD5, SHA1, etc. immer nur mit Salt verwenden.



Also manchmal komme ich mir hier wirklich wie im Kindergarten vor… Immer und immer wieder die gleichen Fehler. Muß denn erst jeder Entwickler selber auf die Schnauze gefallen sein um etwas dazuzulernen? Lernen die Informatiker denn gar nichts sinnvollen, für die Praxis, an den Unis?

Tags »   

Trackback: Trackback-URL | Feed zum Beitrag: RSS 2.0
Thema: Sicherheit

Kommentare und Pings sind geschlossen.

3 Kommentare

  1. 1
    Erich 
    Donnerstag, 5. Februar 2009, 17:53 Uhr

    Das Problem: (#1) Schwachstellen sind nicht selbsterklärend, man muss sich informieren. (#2) Wer sich informiert hat, denkt nicht immer daran. (#3) Wer daran denkt, implementiert den Schutz nicht immer richtig/vollständig. (#4) Wer den Schutz nach Stand der Technik implementiert, hat einen Kollegen, der es nicht tut. (#5) Wer Kollegen hat, die den Schutz ebenfalls implementieren, hat eine Drittsoftware daneben installiert, die das nicht tut. Denn… (siehe #1).

    PS: Die Kindergärten heißen “Websecurity Seminare” und bringen nicht zu knapp Geld. Also: ran da!

  2. 2
    ich 
    Freitag, 6. Februar 2009, 11:04 Uhr

    Ich als Kindergärtner? Wer hört schon einem nicht-Diplom-Informatiker zu?

  3. 3
    paul 
    Freitag, 6. Februar 2009, 12:08 Uhr

    Also ich bin dabei! Dipl. Infs reden doch immer so viel, praxisfern und am Ende erkennt man das die eigenen Erfahrungen doch die besten sind.