Beiträge vom » Dezember, 2009 «

Rechte Passworte

Donnerstag, 31. Dezember 2009, 14:24 Uhr | Autor:

26C3: Flirtbörse der rechten Szene gehackt” (heise.de)

Hacker aus dem Umfeld des 26. Chaos Communication Congress (26C3) in Berlin haben sich Zugang zur kompletten Datenbank hinter der Partnersuchseite “MA Flirt” verschafft und diese samt Nutzerdaten und Profilbildern ins Netz gestellt.

Zu dieser Aktion habe ich ein sehr ambivalentes Verhältnis. Einerseits gelten Datenschutz und Persönlichkeitsrechte für jeden, andererseits hält sich mein Mitleid für diese Überraschungseier (außen braun, innen hohl) in Grenzen. Sei es wie es sei, da die Daten nun einmal online sind, habe ich sie mir angeschaut.

Per MD5-Cracker-DB ließen sich gestern 82,3 % der Passworte aus den MD5-Hashes ermitteln – ein sehr hoher Wert. Die Passwortstärke verhält sich allerdings zum User-IQ im umgekehrten Verhältnis, wenn man dies bedenkt, dann ist die hohe Trefferquote in den Datenbanken nicht so ungewöhnlich.

13,3 Prozent der Passworte besteht nur aus Ziffern, Telefonnummern, Geburtsdaten und verschieden Zahlenkombinationen aus den Abkürzungen der Rechten. In vielen der Passworte und Usernamen findet man diese Abkürzungen wieder. Hier die Abkürzungen die Wikipedia kennt: Rechtsextreme Symbole und Zeichen (de.wikipedia.org)

Der Favorit unter den Passworten ist 123456 mit 16 Treffern, gefolgt von landser mit 11 Stück. Hier noch ein paar:

  • 8 x landser88
  • 8 x siegheil
  • 6 x 888888
  • 6 x 14881488
  • 5 x skinhead
  • 4 x 881488
  • 4 x siegheil88

Aber nur 3 mal passwort und 1 mal password.

Setzt man sich etwas mit den Abkürzungen auseinander, kombiniert diese mit Username und dem Teil der E-Mail-Adresse vor dem @-Zeichen, so kann man sicher weitere Passworte finden.

In der Verteilung der benutzten E-Mail-Provider ist keine Besonderheit festzustellen. Hier nur die am häufigsten benutzen Provider: WEB.DE (25,4%), GMX (22,6 %), Microsoft (18,6%), Yahoo (11 %)

Offensichtlich wird an der Verbrennung der Passworte weiter gearbeitet, denn mittlerweile sind weitere Treffer in den MD5-Cracker-Datenbanken zu verzeichnen.


Update: 17.01.2010 – 19:00 Uhr

Aktueller Stand: 88,2%

Thema: Sicherheit | 2 Kommentare

IRBI et Orbi

Dienstag, 29. Dezember 2009, 13:33 Uhr | Autor:

In “Simulationstraining für Gefahren aus dem Netz” (futurezone.orf.at) heißt es am 23. Dezember (ein Mittwoch):

Gemeinsam mit Forschern der Uni München hat Microsoft Deutschland die Simulationsplattform Internet Risk Behaviour Index (IRBI) entwickelt. Sie konfrontiert Internet-Nutzer in einer sicheren Trainingsumgebung mit realistischen Situationen aus dem Alltag im Netz und will sie so gegen Angriffe auf ihre Privatsphäre immunisieren.
(…)
Die neueste Version der Plattform ist am Mittwoch ans Netz gegangen.

Microsoft selber hat zu der neuen Version des Internet Risk Behaviour Index (irbi.de) noch keine Pressemitteilung veröffentlicht. Warum nicht? Vielleicht einfach nur Zufall, weil gerade Feiertage waren und die Mitarbeiter noch im Urlaub sind. Vielleicht weil die Silverlight-Version der Seite noch nicht fertig ist oder weil (wie ich finde) die Seite noch nicht so wirklich überzeugt.


Zu den einzelnen Szenarien wird ein Einleitungstext angezeigt, der die zu lösende Aufgabe kurz erklärt. Nach einem Klick auf “SZENARIO STARTEN” werden dem Besucher Screenshots angezeigt, auf denen die klickbaren Bereiche markiert sind. Meist enthalten die Aufgaben mehrere Screenshots. Nach dem Abschluss der jeweiligen Aufgabe, wird angezeigt wie gut die Lösung war, wobei es nicht nur “richtig” oder “falsch” gibt, da Aufgaben zum Teil auf verschiedene Arten erfolgreich gelöst werden können.


Auf der Startseite steht u.a.:

Um die Service-Qualität bei der Benutzerkonten-Verwaltung zu erhöhen, bieten wir Ihnen nun Windows Live ID als Anmelde-Möglichkeit an.

Leider ist dies keine “Anmelde-Möglichkeit” sondern ein Anmelde-Zwang, denn ohne diese “Windows Live ID” gibt es keinen Zugang zu den Tests. Es ist sicher sinnvoll eine Registrierung zu fordern, damit nicht zu viele Besucher mehrfach die Tests absolvieren und jeweils gezählt werden und somit eine statistische Auswertung der Testergebnisse sinnlos macht. Dass allerdings die Benutzung eines Microsoft-Produkts zwingend erforderlich ist, schließt alle Microsofthasser aus und ist sicher wieder ein Steinchen mehr, zum schlechten MS-Image im Internet.

Wir bieten IRBI 2.0 nun in einer HTML- und zukünftig auch in einer Silverlight 3 Variante an.

Dies ließ mich vermuten, dass die vorherige Version Silverlight erforderte…

Es ist etwas ärgerlich, daß Microsoft ein paar kleine Hürden aufgebaut hat, bevor man mit dem Sicherheits-Training starten kann. Zunächst muß ein Plugin für den Firefox bzw. Internet-Explorer heruntergeladen werden. Das sogenannte “Silverlight Plug-In”…

Quelle: “Gefahren im Internet: Sicherheitstraining mit IRBI-Simulator” (philognosie.net) vom 03.12.2008

Microsoft will es wohl einfach nicht lernen, dass das Internet nicht an ein Betriebssystem gebunden ist und die User jeglichen Zwang dahingehend ablehnen.

Die nachfolgenden IRBI-Szenarien habe ich verlinkt. Die Links sind aber nur für die Leser sinnvoll, die bereits eine “Windows Live ID” haben oder bereit sind sich bei Microsoft zu registrieren.


Weiter zu dem was auf der IRBI-Startseite steht:

Mit IRBI lernen Sie auf einfache und spielerische Weise, Gefahren beim Surfen im Internet zu vermeiden. Sie erproben, wie Sie sich online angemessen verhalten können.

Schaut man sich die Szenarien an, so sieht man nicht wirklich das was man auf seinem Desktop bzw. in seinem Browser während des echten Surfens findet. Dies liegt zum einen an den, auf das Wesentliche, reduzierten Beispielen und zum anderen, an den roten Umrandungen, die die Vorgehensweise, eine Aufgabe zu lösen, mehr oder weniger vorgibt:

Test 1 – Situation 10
Folgender Windows-Bildschirm präsentiert sich Ihnen. Welchem Symbol widmen Sie zuerst Ihre Aufmerksamkeit?
t1-s10-1.jpg


Zum Teil sind die Aufgaben so angelegt, dass ein Klick nur auf einen Bereich möglich ist:

Test 1 – Situation 06
Sie richten Ihren WLAN-fähigen Router ein und müssen die Sicherheitsoptionen für die drahtlose Netzwerkverbindung festlegen …
t1-s06-1.jpg

Hier wird zwar am Ende erklärt was es mit der SSID auf sich hat,

Außerdem sollten Sie den Namen Ihres Funknetzwerkes, die sogenannte SSID, ausblenden lassen, um bösartigen Zeitgenossen keinen Hinweis auf Ihr WLAN zu geben.

aber auch die User die gar nicht wissen was SSID ist, müssen darauf klicken, da nur hierauf geklickt werden kann, um zum nächsten Screenshot des Szenarios zu kommen. Das ist irgendwie wie eine Multiple-Choice-Aufgabe mit nur einer Antwortmöglichkeit. :O)


Zum Teil hat man die Szenarien etwas hingedengelt, evtl. damit sie einfacher zu verstehen sind, aber leider ohne die echten Screenshots abzubilden.

Hier fehlt das Häckchen an “Mein Profil auf diesem Computer speichern”:

Test 1 – Situation 05
Sie möchten Ihre E-Mails an einem öffentlichen PC abrufen, der beispielsweise in einer Bibliothek steht…
t1-s06-1.jpg

Und hier ist das Häckchen, so wie es zu sehen ist, wenn man z.B. hotmail.com ansurft um sich einzuloggen:

Test 2 – Situation 04
Ihre bisherige E-Mailadresse erhält so viele Spam-Mails, dass Sie sie kaum noch sinnvoll nutzen können. Sie wollen deshalb eine weitere private E-Mailadresse für sich anlegen, die Ihre Privatsphäre bestmöglich schützt.
t1-s06-1.jpg

Im “Test 1 – Situation 05” hat man einfach den ersten Klick, damit das Profil nicht gespeichert wird, weggelassen. Wer nun sagt, dies sei nur eine Kleinigkeit, dem muss ich entgegnen, genau solche vermeintlichen Kleinigkeiten können zu Fehlern führen, die man kaum absehen kann.

Wenn Sie die Windows Live ID auf Ihrem Computer speichern möchten, um sie bei der nächsten Anmeldung nicht erneut eingeben zu müssen, aktivieren Sie das Kontrollkästchen Mein Profil auf diesem Computer speichern.

Quelle: Windows Live-Hilfe

Bei einer Simulation die die Wirklichkeit nicht so genau wie möglich abbildet, besteht immer die Gefahr, dass etwas gelernt wird, was in der Realität zu Fehleinschätzungen und schwerwiegenden Schäden führen kann.


Diese beiden Szenarien sehen fast identisch aus, in beiden geht es um ein automatisches Update einer Software:

Test 1 – Situation 08
Sie sitzen an Ihrem Computer und öffnen das Grafik-Programm “Malen & Zeichnen”. Kurz nach dem Öffnen des Programms erscheint eine Meldung…
t1-s08-1.jpg

Test 1 – Situation 14
Sie lesen mit dem Programm “PDF Reader” – einem Anzeigeprogramm für Dokumente im “Portable Document Format (PDF)” – ein Dokument. Kurz nach dem Öffnen des Dokuments meldet sich die automatische Update-Funktion des PDF-Readers.
t1-s08-1.jpg

Werden die beiden Aufgaben mit dem Herunterladen und Installieren der Updates beantwortet, so wird jeweils ein “Sehr gut!” vergeben. Leider steckt auch hier wieder eine Fehlleistung im Detail.

Malen & Zeichnen
Die Software wurde gestartet, um ein neues Dokument zu erstellen oder ein vorhandenes zu öffnen.
PDF Reader
Die Software wurde automatisch gestartet, indem ein vorhandenes Dokument geöffnet wurde.

Öffnet man ein Dokument, welches die entsprechende Software automatisch startet, so besteht immer die Gefahr, dass in dem Dokument selber Schadcode eingebettet ist, der zu dem Update auffordert und dabei weiteren Schadcode nachlädt.

Adobe will kritische Lücke im Reader erst im Januar patchen” (heise.de)

Die Lücke ermöglicht das Einschleusen und Ausführen von Code auf verwundbaren Systemen. Dazu genügt es, ein präpariertes PDF-Dokument zu öffnen.

Der Benutzer sollte sich auch folgende Fragen stellen:

  • Verfügt die Software über eine automatische Updatefunktion?
  • Habe ich diese Funktion selber aktiviert/deaktiviert?
  • Wann und wo habe ich die Software erworben/heruntergeladen?
  • Wann habe ich das letzte Update gemacht?
  • Woher ist das Dokument und besteht die Möglichkeit dass darin Schadcode enthalten ist?

Auch legitime offizielle Updates können dazu führen dass die Software nicht mehr korrekt funktioniert und/oder andere Software negativ beeinflusst wird.

Ein automatisches Update generell mit “Sehr gut!” zu beantworten ist nicht gut. Wenn Benutzer solche Nachfragen einer Software immer mit dem automatischen Aktualisieren beantworten – ohne nachzudenken – besteht auch hier die Möglichkeit zu Schaden zu kommen.


Das die Szenarien primär Microsoft-Produkte zeigen, kann man kritisieren, muss man aber nicht. Wäre es ein Apple-Projekt, so sehe alles nach OS-X aus, bei einer Linux-Distribution, wie deren… – dies ist sekundär. Den meisten Benutzern wird eine Windows-Umgebung am vertrautesten vorkommen, da Microsoft nun einmal das am weitesten verbreitete Betriebssystem weltweit anbietet.

Es geht aber nicht darum die richtigen Buttons, die richtigen Hinweistexte, etc. zu erkennen und blind zu klicken, es geht um das Verständnis, welche Funktionen/Aktionen damit verbunden sind. Ist dies erst einmal verstanden worden, so kann man unabhängig vom Look & Feel weitestgehend gefahrlos Surfen.

Die Idee dieses Microsoft-Projektes halte ich für sehr gut. Unerfahrenen Computerbenutzern kann man mit einer Testsimulation ganz sicher die Angst vor dem Unbekannten nehmen. Man sollte sich allerdings etwas mehr Mühe machen und nicht nur grafische Multiple-Choice-Aufgaben stellen, die zum Teil auch noch fehlerhaft sind. Es muss ein Lerneffekt eintreten, mit einem echten Verständnis – dazu sind allerdings mehr erklärende Texte erforderlich.

Vielleicht ist als Simulationsumgebung ein Online-Betriebssystem sinnvoller, in dem der Proband wie auf seinem Computer agieren kann. Mit Screencasts zur Erklärung und mit Video-/Audio-Einspielungen, um nicht mit zu viel Text abzuschrecken. Eine Testumgebung die im ersten Schritt abklopft wie der Wissensstand ist, Erklärungsangebote macht und erst danach das Wissen abfragt. Einen Fahrschüler setzt man ja auch nicht in der ersten Stunde in ein Auto und schickt ihn in den Stadtverkehr einer Großstadt. :O)


Und zum Schluss noch eine kleine Korinthe – Suche den Fehler im Bild. :O)
IRBI Notebook - falsche Spiegelung hervorgehoben

Thema: Korinthenkacker, Microsoft, Sicherheit | 2 Kommentare