Beiträge vom » Juli, 2012 «

Yahoo sollte mal alles durchkämmen

Montag, 16. Juli 2012, 14:10 Uhr | Autor:

Wenn Yahoo von nur 5 Prozent noch gültigen Passworten spricht, dann meinen sie nur den eigenen angegriffenen Dienst. Dass aber wahrscheinlich deutlich mehr Google-, AOL-, Hotmail-, GMX- oder Web.de-Konten betroffen sind und die Benutzer in den nächsten Tagen und Wochen eine böse Überraschung erleben werden, davon spricht erst einmal niemand.

Die Empfehlung von Yahoo sichere Passworte zu wählen und diese öfter auch mal zu ändern, klingt wie Hohn — denn was nützt das sicherste Passwort, wenn es im Klartext gespeichert wird? Nichts!

Nach Bereinigung der Liste bleiben 442.787 E-Mail-Adresse/Passwort-Kombinationen übrig, also genügend potenzielle Opfer, die u.U. noch gar nichts von ihrem Glück wissen.

Zu Besuch im E-Mail-Account von Yahoo-Freunden. ;O)


Als Benutzer eines Dienstes hat man nur zwei Chancen festzustellen ob ein Passwort im Klartext in der Datenbank gespeichert wurde:

  1. Bekommt man über die Passwort-Erinnerungs-Funktion das vergebene Passwort zugesendet, dann muss es im Klartext in der Datenbank stehen oder es ist so kodiert, dass diese Kodierung wieder rückgängig gemacht werden kann (z.B. Base64).
  2. Es gibt eine Schwachstelle über die man direkt in die Datenbank reinschauen kann, z.B. per SQL-Injection, über den direkten Zugriff auf die Datenbank per phpMyAdmin oder ein Datenbank-Dump liegt auf dem Server rum.

Da man i.d.R. nicht weiß wie die Zugangsdaten in der Datenbank gespeichert werden, sollte man immer vom DAMP ausgehen, also von Passworten im Klartext. Da hilft nur: Für jeden Dienst ein eigenes Passwort vergeben und wenn man paranoid ist, auch noch jeweils eine eigene E-Mail-Adresse, dann kann man auch sehr schnell feststellen, wo Daten lecken, wenn man mit Spam zugeschüttet wird.


Wer nun glaubt das Yahoo eine Ausnahme wäre, den erinnere ich gerne noch einmal an: “Hacktivisten knacken Datenbank von Sony Pictures” (heise.de)

Und auch bei eigenen Forschungen via Havij werden sich garantiert die Nackenhaare aufstellen.


Ich glaube dass es Yahoo so gehen wird wie dem Spaceball: “Hier gibts nicht mal Scheiße, Sir!”





(DAMP — Dümmster anzunehmender Möch­te­gernprogrammierer)

Thema: Sicherheit | Kommentare geschlossen

SQL-Injection für Scriptkiddies

Donnerstag, 12. Juli 2012, 21:30 Uhr | Autor:

Bei den in den letzten Wochen gehäuft aufgetretenen Einbrüchen in Datenbanken mit Kundendaten (LinkedIn, eHarmony, Last.fm, Yahoo Voice Yahoo! Contributor Network, etc.), könnte man auf die Idee kommen, dass da Fachleute am hacken waren — dem muss aber nicht so sein. Auch DAUs kommen leicht per SQL-Injection (und dem richtigen Werkzeug), an Zugangsdaten — und dies ohne jegliche Kenntnisse, wie eine SQLi-Lücke konkret ausgenutzt werden kann.


Das Video zeigt WordPress mit einem Plugin, welches für SQL-Injection anfälligen ist.

Als erstes sieht man den Firefox (mit der HackBar). Wird ein Hochkomma an die 1 von postID gehängt, so wird eine Fehlermeldung ausgegeben. Diese Fehlermeldung ist noch kein Beweis für eine SQL-Injection, aber ein Hinweis darauf, dass hier die Benutzereingaben nicht ausreichend gefiltert werden. Das ausbleiben einer Fehlermeldung wäre hingegen kein Indiz dafür, dass keine Schwachstelle vorliegt, denn Fehlermeldungen können auch generell unterdrückt werden.

Dass das and 1=1 keine Fehlermeldung ausgibt, aber ein and 1=2, ist dagegen schon ein deutlicher Beleg für ein Schwachstelle.

Die weiteren Schritte im Video zeigen nicht die Details einer manuellen SQL-Injection, sondern das Werkzeug Havij, welches den Angriff automatisch durchführt. Es muss nur noch ausgewählt werden welche Daten Havij auslesen soll.

Wie im Video zu sehen ist, gibt es neben der Datenbank “havijdemo” noch weitere Datenbanken. Dies alles ist eine XAMP-Installation in die ich einmal WordPress mit dem für SQLi anfälligen Plugin installiert habe und eine nackte WordPress-Installation. Wer also auf seinem System, und sei es auch nur zum Testen, etwas installiert, worin eine SQL-Injection zu finden ist, der kompromittiert alle Datenbanken auf dem System. Dies sagt uns: Nur weil die Daten aus dem VoIP-Dienst Yahoo Voice Yahoo! Contributor Network stammen, bedeutet dies nicht, dass genau dieser Dienst auch Anfällig für SQL-Injection ist bzw. war, es könnte auch eine vollkommen andere Anwendung auf dem Server angegriffen worden sein.


Was will ich jetzt hiermit verdeutlichen? Das nicht jeder Hack von hochspezialisierten Cyberkriminelle durchgeführt wurde und der Cyberwar nicht vor der Tür steht, nur weil sich dies in den Medien besser verkaufen lässt. Was in den letzten Wochen und Monaten an Zugangsdaten nach oben geschwemmt wurde, geht wahrscheinlich eher auf das Konto der pickligen 15-jährigen DAUs, die entsprechende Tools im Netz entdeckt haben…

15-jähriger Hacker knackte PCs von 259 Firmen” (futurezone.at)

Ein 15-jähriger Hauptschüler aus Niederösterreich soll einen groß angelegten Hackerangriff gegen die Wirtschaft geführt haben. Insgesamt knackte er Computer von 259 Firmen, darunter befanden sich auch 30 österreichische. Der Jugendliche wurde von einer Spezialeinheit des Bundeskriminalamts aufgespürt und angezeigt.



Update: 13.07.2012 – 14:05 Uhr

Es tropfte nicht aus Yahoo Voice, sondern aus dem Yahoo! Contributor Network, siehe: “Yahoo bestätigt Passwort-Leck” (heise.de)

Thema: SQLi | Kommentare geschlossen