Archiv für die Kategorie » Korinthenkacker «

Heise: Bäcker, bleib bei deinen Brötchen ;O)

Donnerstag, 3. April 2014, 13:22 Uhr | Autor:

Boxee: Unbekannte veröffentlichen Nutzerdaten” (heise.de)

Letztere (Passworte) waren angeblich nicht im Klartext gespeichert, sondern wohl als salted Hashes – dies bietet aber kaum Sicherheit.

Ein easily cracked according to sources in kaum Sicherheit zu übersetzen ist etwas zu schlicht — da sollte man schon genauer hinschauen.

Ok, Heise hatte keine Zeit, also mach ich mal wieder den Korinthenkacker. ;O)

Das Forum (http://forums.boxee.tv/) ist zur Zeit abgeschaltet. Der Google-Cache liefert aber, nach viel Wartezeit, noch etwas aus. Das Forum lief unter: Powered by vBulletin® Version 4.2.2

vBulletin nutzt salted Hash um das Passwort in der Datenbank zu speichern. Hierfür wird der folgende Code verwendet: md5(md5($pass).$salt)
Ja, MD5 ist nicht sicher, aber das eigentliche Problem liegt eher bei den meist zu einfach gewählten Passworten.

Füttert man Hashcat mit 280d6873630845690fdb8cbeebb82a56:auch-salz-hilft-nicht-wirklich, wird sofort 123456 als Passwort gefunden. (vBulletin > v3.8.5, einfache Wörterliste)
Also stimmt dies bietet aber kaum Sicherheit doch?!

Bei dem Versuch mit 63a76359d3f2f6bf79b571bbf5e86064:starkepassworte-ohnesalzsicher würde man wohl ein paar Mrd. Jahre auf Hashcat warten müssen, genauso wie bei dem MD5-Hash ohne Salt 8299cd11288241118c312809a0aa469f, einfach weil ein starkes Passwort nach wie vor nicht so einfach zu knacken ist.
Nein, dies bietet aber kaum Sicherheit stimmt so nicht.


Zum Abschluss noch etwas, was sich der Bäcker evtl. auch einmal durchlesen sollte und für Fragen findet er sicher kompetente Kollegen bei Heise. ;O) “Passwörter unknackbar speichern” (heise.de)

Thema: Korinthenkacker, Sicherheit | Beitrag kommentieren

Licht ins Dunkel um GLADII 2

Samstag, 18. Januar 2014, 16:35 Uhr | Autor:

#redtube #Abmahnung Das Gutachten zum GLADII-Gespenst ist da!” (blog.kowabit.de)

Fangen wir mal an und prüfen, ob der Gutachter sein Ziel erreicht hat.

Erstmal besucht nochmal diesen Beitrag: SITIRI-Test

Dann druckt euch das Gutachten aus und wir gehen es zusammen durch.

(…)

Es geht in dem Gutachten grundsätzlich um die Funktionstüchtigkeit von GLADII 1.1.3. Es geht in dem Gutachten nicht um die Funktionsweise!!! Das macht einen Unterschied aus und zeigt den Wert des Gutachtens der Kanzlei Diehl und Partner in meinen Augen. Um auch gleich vorzugreifen: Ich halte das erarbeitete Stück Papier der Kanzlei Diehl und Partner nicht für ein Gutachten, sondern nur für ein Testprotokoll. Lückenhaft und oberflächlich. Deshalb spreche ich auch nur von Tester, statt von Gutachter. Wenn das gutachterliche Arbeit in Deutschland ist, dann haben wir schwere Probleme.

Ich habe mir das “Gutachten” auch angesehen und musste lachen, vor allem bei diesem Punkt:

4. Für die Überprüfung verantwortliche Person

Dr. Frank Schorr ist promovierter Physiker und Patentanwalt mit 18 Jahren Berufserfahrung. (…) Aufgrund seiner Tätigkeit ist Dr. Frank Schorr mit den Technologien der Informationsverarbeitung und Informationsübertragungen über das Internet in einem Maß vertraut, welches über das für die vorliegende Untersuchung notwendige Maß weit hinausgeht.

Dieser Physiker hat sich keine Sekunde gefragt, wie die Software die IP-Adressen, etc. protokollieren konnte — ganz einfach weil er kein Ahnung hat, wie Informationen im Internet übertragen werden. Wenn ich diese Kanzlei in der Vergangenheit als Gutachter bestellt hätte, würde ich mir nun ob deren Qualität ernsthaft Sorgen mach, speziell wenn etwas im Zusammenhang mit Informationstechnologien begutachtet wurde.


Den “SITIRI-Test” habe ich oben zitiert, da dieser für viele sicher hilfreich sein könnte, um zu verstehen wie evtl. die IP-Adressen gewonnen wurden. Zum Test geht es hier lang: “#redtube #abmahnung IP-Adressen abphishen für Anfänger und zukünftige Abmahnanwälte” (blog.kowabit.de)

Einen Punkt hat Herr Kowalski bei der Beschreibung seines Tests vergessen zu erwähnen.

Teilnehmer an diesem Test akzeptieren die Speicherung der Daten UND, dass ALLE Teilnehmer des Tests und einfache Besucher die Daten einsehen können, da die Zugangsdaten HIER veröffentlicht sind.

Nicht nur wer Teilnehmer des Tests ist kann seine IP-Adresse hinterlassen. Auch der der unwissend das JavaScript zur Protokollierung, welches in einer beliebigen Website eingebunden sein kann, aufruft, kann von dem 12-$-Script erfasst werden. Das heißt, wessen IP-Adresse irgendwo gespeichert wird, muss nicht zwingend bewusst selber eine Website besucht haben. Was dann am Ende auch mit der anstehenden Vorratsdatenspeicherung bedacht werden sollte.


Und zum Abschluss noch ein Beispiel, wo der Otto Normal seine Daten hinterlässt. Ich habe beispielhaft nur die Startseite der BLÖD aufgerufen.

Abhängigkeiten:

Cookies:



Update: 24.01.2014 – 14:55 Uhr

Auch in “#redtube #abmahnung Kann das GLADII Gutachten die Abmahner überführen? (Update)” (blog.kowabit.de) wird versucht noch detailverliebter Korinthen zu kacken, was aber wieder nicht gelingt. Aus dem folgenden wird einfach abgeleitet/vermutet, dass sich der Physiker vor den Tests in die Überwachungssoftware eingeloggt hat:

5. Testszenario

5.1 Die Software “GLADII 1.1.3″ besitzt ein Web-Interface, zu welchem uns vom Auftraggeber ein Zugang zur Verfügung gestellt wurde.

Nur weil ich einem Freund in Hamburg sage “Heute war es in Moskau mit -25°C saukalt!” bedeutet dies natürlich nicht, dass ich selber in Moskau war.

Einerseits wird versucht einzelne Worte des “Gutachtens” wie “integrierten” (Video-Player) auf die Goldwaage zu legen, um einen Weg zu finden, wie die IP-Adressen aufgezeichnet worden sein können. Andererseits werden die unzähligen Ungenauigkeiten, wie beispielsweise der angebliche Download, obwohl nur Streams möglich sind, ignoriert. Wer sich einfach nur das rauspickt was einem in de Kram passt, der macht sich es zu einfach. Wir sind doch keine Journalisten! ;O)

Das “Gutachten” ist nicht geeignet um einen genauen Ablauf der Tests zu rekonstruieren. PUNKT!

Thema: Datenschutz, Korinthenkacker | Kommentare geschlossen