Am Freitag las ich von den “BIENE-Finalisten” (biene-award.de) und konnte es natürlich nicht lassen… ;O)

Jeweils nach nur wenigen Sekunden fand ich… irgendwie wird es ja fast langweilig, wenn es wirklich nur Defacement wäre und man per XSS nicht auch an die Session-ID gelangen würde.

50% der Websites sind betroffen. Am Freitag habe ich noch allen eine E-Mail gesendet. Einer hat auch schon geantwortet und meinte, dass er mit einer Nominierung nicht gerechnet hat, da die Website selber erstellt wurde ohne Hilfe einer Agentur.

Nur weil eine Agentur, überbezahlte Entwickler,… ok, ich sag ja schon nichts mehr.


Vor ein Paar Tagen las ich auf gulli: “Symantec-Website gehackt” (gulli.com)

Ausgerechnet die Website der japanischen Niederlassung des Sicherheitssoftware-Herstellers Symantec wies offenbar bis heute massive Schwachstellen auf. Das berichtet ein rumänischer Hacker namens “Unu”.
(…)
Offenbar waren die Passwörter von Kunden im Symantec Online-Shop im Klartext gespeichert…

Die Quelle auf die sich gulli.com bezieht: “Symantec exposed passwords,serials… SQL Injection, full database access” (unu123456.baywords.com)

Symantec… Passworte im Klartext… bidde?

Die Jungs und Mädels von Symantec beschäftigen sich zwar eher mit Viren, Würmern und Trojanern, aber Passworte im Klartext zu speichern ist wohl eines der peinlichsten Fehler die man machen kann… obwohl…


Mit etwas krimineller Energie kann man auch fast ohne Aufwand an Passworte gelangen. Man setze einfach eine Website auf, eine Social Community zum Thema xyz. Die Software kann etwas sein was die Opfer kennen, da ein Cracker nun auch keine Zeit hat, etwas eigenes zu entwickeln. An diese Software flanscht man eine kleine Pipeline an, die die Passworte gleich nach dem Registrieren und jedem Login im Klartext in einer zweiten Datenbank speichert. Da ca. 37% (zu der Zahl komme ich gleich noch) Passwort-Recycling betreiben, also das gleiche Passwort in verschiedenen Diensten benutzen, kann sich der Cracker ein Gesamtbild von seinem Opfer machen. Diese Crackommunity lässt man eine Zeit lang laufen. Wenn man keine zu offensichtlichen Fehler macht, so sollte man in relativ kurzer Zeit mehrere tausend User im System haben.

Die Leute im Netz sind ja soooo vertrauensselig… “Oh, eine neue Website, gleich mal registrieren und natürlich mit meinen echten Daten und dem Passwort was ich immer verwende.”

Hat der Cracker keine Zeit oder auch einfach keine Lust, eine eigene Social Community aufzubauen, so kann er auch recht einfach bestehende Seiten anzapfen.


Am vergangenen Sonntag stolperte ich per Google-Hacking über etwas…

Eine Website, über die Freelancer Jobs finden können, speichert offensichtlich die Dateien die der Auftraggeber dem Auftragnehmer gibt, damit dieser den Job erledigen kann. Da findet man natürlich alle möglichen und unmöglichen Dateiendungen, von .doc über .pdf und .php bis zu .example ist alles dabei. In den Dateien gibt es dann auch Zugangsdaten der verschiedensten Art.

In einer Word-Datei schrieb die Auftraggeberin gleich die Zugangsdaten zum FTP-Server und dem Domain-Dealer-Account mit auf, damit es der Freelancer (und der Cracker) einfacher haben. Wie nicht anders zu erwarten ist, findet man auf der Website bereits ein Unterverzeichnis mit einem kleinen Tool, um die Datenbank nach SQL-Injection abzuklopfen.

In einer PHP-Datei stehen, obwohl es nur ein Eingabeformular ist, die Zugangsdaten zur Datenbank. Da dort nun nicht einfach nur “localhost” zu finden ist, sondern eine IP-Adresse, stellt es kein Problem dar, den dazugehörige Datenbankserver zu finden. Gibt man nur die IP-Adresse in den Browser ein, so findet man eine Website, auf der der Hoster seinem Kunden den Link zu phpMyAdmin anbietet. Mit den Zugangsdaten loggt man sich dann in die Datenbankadministration ein und in der Tabelle der User findet man natürlich auch die Hashes der Passworte. Die Passworte sind zwar per MD5 codiert, aber leider ohne Salz. Gleich der erste Hash, der des Admin des Systems, ist in einer Datenbank eines MD5-Cracker zu finden. Und der Datenbankname ist so einzigartig… Googles erstes Suchergebnis war die Website zu der Datenbank und dort gibt man die Zugangsdaten des Admin ein. Tja.. Backend des CMS… buff!

Ein relativ langer Weg:

1. Freelancer-Website wirft sensible Dateien den Suchmaschinen zum Fraß vor.
2. Auftraggeber schiebt Freelancer Datei mit DB-Zugangsdaten rüber.
3. IP-Adresse anstatt “localhost”.
4. Auswahlmenü vom Hoster zu phpMyAdmin.
5. Administrator des Systems verwendet crackbares Passwort.
6. Datenbankname ist einzigartig, womit man die Website findet und den Zugang zum Backend des CMS.

Nebenbei finden sich auch noch mehr als 1000 weitere User in der Datenbank. Nicht sehr groß diese Community – von Quantität sollte man aber nicht auf Qualität schließen!


Und dies alles nur weil die Freelancer-Website Dateien, die nicht für die Öffentlichkeit bestimmt sind, öffentlich macht? Bevor ich da jemandem, der angeblich zu den Marktführern in diesem Segment gehört, mit solchen Anschuldigungen komme, klopfe ich meine Vermutung noch einmal ab, versuche es wasserdicht zu machen. Also habe ich noch einmal genau nach den Dateinamen gesucht und fand dann auch den wahren Schuldigen.

Nicht die Betreiber der Website habe da einen Fehler gemacht – nein! Die Auftraggeber haben beim Einstellen ihrer Gesuche die Möglichkeit den potenziellen Auftragnehmern auch Dateien zur Verfügung zu stellen. Es gibt Auftraggeber die dort Dateien hinzufügen in denen Daten stecken… Oh mein Gott, wirf Hirn vom Himmel. :O)


Ich habe mir die mehr als 1000 Hashes bzw. die Passworte dann noch etwas genauer angeschaut:

• 60% lassen sich per MD5-Cracker ermitteln.
• 33,8% / 6 Zeichen lang
• 23,7% / 7 Zeichen lang
• 26,1% / 8 Zeichen lang
• 10,3% / 9 Zeichen lang
• 6,1% / länger als 9 Zeichen
• 4,6% / nur Ziffern
• 50,6% / nur Buchstaben
• 44,8% / Ziffern und Buchstaben
• 1,5% der Passworte kommen mehrmals vor.

Als Passwort kommt “password” und “123456″ gar nicht vor und “12345678″ nur zweimal.

Die statistischen Werte der Passworte sind relativ gut, auch wenn sie per MD5-Cracker zu ermitteln sind, was wohl an dem Alter der User liegt. Laut den Usernamen wie z.B. purzel61 und dem was ich in Hotmail gesehen habe, sind die User eher alte Säcke, so jenseits der 45 bis 55 Jahre und älter.

25,8% der crackbaren Passworte gehören zu einem hotmail.com-Account. Da Microsoft keine Captchas einsetzt, wenn man sich mehrfach einloggt, habe ich der Einfachheit halber nur diese Passworte nachgeprüft. Mit 37% der Passworte kann man sich in den Webmail-Account einloggen. Dies sind die 37% die ich oben schon im Zusammenhang mit dem Passwort-Recycling erwähnte. Man kann wohl davon ausgehen, dass sich der Hang zum Passwort-Recycling von Hotmail-Usern nicht signifikant von anderen Usern unterschiedet.

<einschub>
Google macht es dem Cracker etwas schwerer. Dort muss man, egal ob das Passwort nun stimmte oder nicht, nach einigen Anmeldungen, ein Captcha lösen und die Google-Captchas lassen sich manchmal kaum entziffern. So etwas verdirbt dem Cracker den Spaß, da geht er doch lieber zur Konkurrenz.

Man muss kein Microsofthasser sein, aber das Verhalten von Google finde ich in diesem Fall mal wieder sehr viel durchdachter. Microsoft, warum sollte es legitim sein, sich mit hunderten von verschiedenen Zugangsdaten, innerhalb von wenigen Minuten, bei Hotmail anzumelden?
</einschub>

Ich habe nun zwar die eigentlichen Schuldigen angeschrieben, aber weiß noch nicht ob ich die mehr als 1000 User auch anschreiben soll, dass sie ihr Passwort ändern müssen. Manchmal gibt es schon von den Verantwortlichen mehrfach Rückfragen, wo denn das Problem liegt, aber dies nun einem Enduser, der schon froh ist, dass er seine E-Mail einigermaßen heil senden und empfangen kann, zu erklären?! Und dann auch noch auf Auswärts?


Unter denen, die auf der Freelancer-Website Dateien veröffentlichen, die man eigentlich nicht öffentlich machen sollte, gibt es auch bekannte Firmen. Zum Beispiel SEO-Firmen die für ihr “Link Building” (man kann auch Spam sagen) Leute suchen, die auf irgendwelchen Websites Links setzen, Kommentare hinterlassen, Foreneinträge schreiben, etc. In den Excel-Dateien gibt es dann neben den Kunden-URLs auch gleich die Zugangsdaten zu den Social Bookmarks, Foren, etc., etc.

Damit komme ich dann noch einmal zum Anfang zurück und schließe den Kreis.

Nur weil man eine Agentur für einen Job bezahlt, bedeutet dies noch lange nicht, dass der Job auch professionell erledigt wird. Viele Agenturen sind zwar professionell im Sinne von: sie verdienen ihr Geld damit – aber vollkommen unprofessionell, was die Qualität ihrer Arbeit angeht.