Gestern
14:20 Uhr: “wofür wird havij genutzt”
28 Minuten Internetrecherche führte “es” (ich gender nicht <g>) wieder zu mir.
14:48 Uhr: “wofür wird das havji tool genutzt”

“es” hat wohl irgendwo gelesen, dass man E-Mail-Accounts per Havij gehackt hätte.
15:06 Uhr: “kann ich für eine bestimmte email adresse das passwort mit havji rausbekommen”
Schnucki, glaub nicht alles was in diesem Internetz steht. :O)

Erst einmal Schularbeiten erledigen irgendwo rumhängen und dann weiter.
17:13 Uhr: “meine@hotmail.de passwort knacken mit havij”

Etwas mehr als eine Stunde später kommt “es” noch einmal.
18:15 Uhr: “hack hotmail account with havij”

Um 21:24 Uhr war “es” noch immer nicht im Bett! ;O)
“kann ich damit eigentlich auch nur eine e mail adresse angeben??” (toolbase.me)
Ich weiß es natürlich nicht genau, aber dass jemand diese dumme Frage am gleichen Tag in einem Forum stellt, lässt mich vermuten, dass “es” das selbe ist.

Ja, es ist eine dumme Frage, weil “es” nicht bereit ist zu lernen. “es” will das (<g>) große Hacker sein ohne die Grundlagen zu lernen.

Wenn ich eine Seite z.B. mit Burp teste, dann wird mir immer diese “Dieser Verbindung wird nicht vertraut”-Fehlermeldung angezeigt, was so richtig nervt, weil man sie nicht deaktivieren kann. Dreimal muss ich klicken um diesen Unsinn zu beenden. Der 2te Klick ist nicht wirklich erforderlich, das Auslassen des Klicks würde die Liste der Server im Zertifikat-Manager aber unnötig aufblähen, da nach dem Schließen des Browsers und dem erneutem Aufruf der Seite inkl. Burp, wieder diese Fehlermeldung kommt. Auch beim Test diverser IP-Adressen im Browser, um zu sehen ob eine Weiterleitung auf die Domain folgt oder eine sonstige Fehlermeldung, nervt der FFF, weil die Zertifikate natürlich nicht für die IP ausgestellt wurden.

Immer wieder habe ich nach einer Lösung gesucht, wie man diesen SSL-NervSackDrecksScheiss im FFF abschalten kann. Endlich bin ich mit Skip Cert Error (addons.mozilla.org) fündig geworden, welches zwar auch eine Warnung anzeigt, aber eine Bestätigen ist nicht erforderlich.

Ich würde zwar sagen, dass dieses Add-On nicht für den Otto-Normal-Surfer geeignet ist, aber da eh kaum jemand auf Zertifikate schaut, schenk ich mir den Hinweis. ;O)

“2012 Bemerkungen – Weitere Prüfungsergebnisse Nr. 01 “Fragen zur Softwaresicherheit beim neuen elektronischen Personalausweis seit Jahren ungeklärt”” (bundesrechnungshof.de)

Die Langfassung (nur 4½ Seiten), also das PDF, sollte man gelesen haben.

Aus dem PDF:

Die Deutsche Rentenversicherung bietet auf ihrer Homepage den Versicherten den Zugang zu ihren Versicherungsdaten bereits über den elektronischen Identitätsnachweis an und verweist dabei auf die vom Bundesamt „zertifizierte AusweisApp“.

1.2
Der Bundesrechnungshof hat beanstandet, dass das Bundesamt den Ausweisinhabern entgegen der Personalausweisverordnung keine zertifizierte Software für den elektronischen Identitätsnachweis zur Verfügung gestellt hat.

Und hier der Absatz von der Rentenversicherung:
“Technische Voraussetzungen für die Nutzung der Online-Dienste” (deutsche-rentenversicherung.de)

Welche Software ist erforderlich?

Die AusweisApp übernimmt für die Bürgerinnen und Bürger die Kommunikation zwischen Personalausweis und dem eID-Server. Die Software muss auf dem Computer der Nutzer immer in der aktuellen Version installiert sein. Die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifizierte AusweisApp wird den Bügerinnen und Bürger kostenfrei zur Verfügung gestellt und kann dort unter Ausweisapp heruntergeladen werden.

Das die Rentenversicherung da etwas schwindelt, evtl. auch nur aus Unwissenheit, fiel Heise nicht auf, zumindest wurde es dort nicht erwähnt: “Rechnungshof rügt BSI für AusweisApp-Schlamperei” (heise.de) Da hat Heise geschlampt. ;O)


Weiter aus dem PDF:

In einer weiteren Stellungnahme im Januar 2013 hat das Bundesinnenministerium die Auffassung vertreten, von der Pflicht zur Zertifizierung nach der Personalausweisverordnung könne bei Vorliegen besonderer atypischer Fälle abgewichen werden. Die AusweisApp sei ein solcher atypischer Fall. Eine Zertifizierung sei nicht mehr nötig, da das Bundesamt bereits bei der Entwicklung alle Kriterien für eine Zertifizierung berücksichtigt, überprüft und überwacht habe. Es ergebe keinen Sinn, wenn der Hersteller, in diesem Fall das Bundesamt, sein selbst erstelltes Produkt anschließend zertifiziere.

Was das BMI da erzählt ist natürlich falsch. Die AusweisApp wurde nicht vom BSI verbrochen. Am 12. August 2010 meldete OpenLimit unter “Neue Version der AusweisApp ausgeliefert” (openlimit.com) folgendes:

Anwendungssoftware für den neuen Personalausweis erfüllt höchste Ansprüche an Barrierefreiheit

Am vergangenen Dienstag hat OpenLimit die Testversion 4 der AusweisApp dem Bundeministerium des Inneren (BMI) zur Verfügung gestellt. Die neue Version der Anwendungssoftware für den neuen Personalausweis steht ab sofort den rund 200 Unternehmen und Behörden bereit, die den Ausweis im Rahmen eines Anwendungstest ausprobieren.

Liebes BMI: Bundesamt für Sicherheit in der Informationstechnik != OpenLimit

Aber naja, das BMI steht bekanntlich mit IT und Computerzeugs etwas auf Kriegsfuß, siehe: “Gelöschte E-Mail: Postfächer im Innenministerium angeblich nur 9 MByte groß” (heise.de)

Der Testballon “DE-Mail per Gesetz für sicher erklären” ist ja wunderbar aufgestiegen, also wird wohl bald der atypische Fall auch gesetzlich als “zertifiziert” festgeschrieben und das BSI ist aus dem Schneider.


Diese gesetzlich verordnete Unsicherheit führt natürlich auch zur Unsicherheit der Bürger und deren Verunsicherung und Skepsis gegenüber der Technik. Wer halbwegs bei Verstand ist, wird weder die DE-Mail noch den nPA und die AusweisApp nutzen. Es ist zu befürchten, dass irgendwann auch die Nutzung von DE-Mail, nPA und AusweisApp per Gesetz erzwungen wird, genauso wie bereits jetzt die Umsatzsteuervoranmeldung per Elster und Java (!).

Ich bin mir noch nicht sicher, ob es grenzenlose Dummheit der Politiker ist oder ob es einfach Boshaftigkeit ist, so nach dem Motto: “Ich sitze an den Hebeln der Macht, also kann ich jeden Schwachsinn durchdrücken — und der Souverän (kicher) kann nichts dagegen unternehmen!”

Jeremi Gosney präsentierte (PDF-Datei) auf der Konferenz Passwords^12 seinen GPU-Cluster, mit dem es ihm gelang, 180 Milliarden MD5-Hashes pro Sekunde zu prüfen.

Mit den “180 Milliarden MD5-Hashes pro Sekunde” und hashcat (hashcat.net) habe ich mich noch einmal beschäftigt.

Brute-Force

Das MD5-Rechenmonster braucht für das Finden eines 10 Zeichen langen Passwortes, welches nur aus Ziffern besteht, maximal 0,06 Sekunden. Werden zusätzlich auch Kleinbuchstaben ohne Sonderzeichen verwendet, dann wird nach maximal etwas mehr als 5½ Stunden das Passwort gefunden. Und wenn auch Großbuchstaben verwendet werden, dann braucht das Rechenmonster rund 54 Tage um fündig zu werden.

10 Zeichen lang:
0-9 => 10 Milliarden Kombinationen => 0,06 Sekunden
0-9, a-z => 3,656 Billiarden Kombinationen => 5½ Stunden
0-9, a-z, A-Z => 839,3 Billiarden Kombinationen => 54 Tage

Mit der brachialen Gewalt des GPU-Clusters findet man jedes Passwort, was aber bei einem 16 Zeichen langen Passwort (0-9, a-z, A-Z) schon mal 8,4 Mrd. Jahre dauern kann. (Alter des Universums: ca. 13,75 Mrd. Jahre)

Ich habe mein Äpfelchen, welches nicht zum MD5-Cracken geeignet ist, die folgenden Hashes prüfen lassen:
915af6ed1576fe6451804c1b8775a17a => 1 Minute
e5837b7157a59330e33f8e1b511508af => 5 Minuten
27bf0ad90179b423b7ec895f1b7d8055 => 8 Minuten 30 Sekunden
2a40307b6727b06ece288066004f32d6 => 15 Minuten

Die Zeiten sind eher peinlich, auch weil ich hashcat nur unter Windows 7 (Parallels) laufen ließ, was nur die CPU nutzt und keine Grafikkarte deren GPU eine deutliche Geschwindigkeitserhöhung bringen würde. Aber rein zum testen von hashcat war dies trotzdem interessant. Nur durch schummeln, wobei ich hashcat die Länge des zu findenden Passworts und deren Zeichenbereich (Ziffern, Buchstaben und Sonderzeichen) vorgesagt habe, konnten die noch annehmbaren Zeiten erreicht werden. Da ich also per Brute-Force (noch <g>) nicht wirklich sinnvoll weiter komme, habe ich mir Wörterlisten angeschaut.

Wörterbuchangriff

Wer keine 8 Mrd. Jahre Zeit hat oder wo das Passwort doch länger ist oder auch Sonderzeichen beinhaltet, da helfen Listen von Wörtern bzw. Passwörtern, mit denen man hashcat füttert. z71&+NkRKIF3J9 sieht als Passwort gar nicht so schlecht aus, da es aber in einer der vielen Liste zu finden ist, ist es als Passwort verbrannt und unbrauchbar. Woher die Passwörter in den Listen stammen weiß ich nicht, ich nehme an, sie wurden mit Keyloggern gewonnen. Bei der Auswahl einer thematischen Liste passend zur Website, kann die Quote der gefundenen Passworte deutlich erhöht werden.


Mein kleiner Ausflug in den Bereich der Hashcracker zeigte mir sehr deutlich, dass meine persönlich Passwortrichtlinie nicht nur meine paranoiden Wahnvorstellungen bedient. Sofern die Registrierung auf einer Website es zulässt, sieht ein Passwort von mir wie folgt aus:

@p8?H[^;4t&W2(.f<2)Uxyc{>N%wn]9+643mhD#}*T7Qe:8/kV

Zum knacken des MD5-Hashs von diesem Passwort würde das GPU-Rechenmonster ca. 5,21E+77 Jahre benötigen. :O)

Solche Passworte fallen aus dem “Strong Password Generator” von 1Password (agilebits.com) raus.

(ich kann nur hoffen, dass der zufallsmechanismus von 1password gut ist. <g>)

Der Datenschützer Peter Schaar sieht die Gesetzespläne zum besseren Schutz vor Cyber-Angriffen skeptisch. “Grundsätzlich habe ich nichts dagegen, wenn Unternehmen und staatliche Stellen mehr für die IT-Sicherheit tun. Aber das darf nicht zulasten des Datenschutzes gehen”
(…)
Mit dem geplanten IT-Sicherheitsgesetz will die Bundesregierung besonders gefährdete Infrastrukturen wie Energie- oder Telekommunikationsnetze besser vor Hacker-Angriffen schützen.

Ein Meldegesetz wird genau so viel zur IT-Sicherheit beitragen, wie die qua Gesetz bescheinigte Sicherheit der DE-Mail, siehe dazu: “De-Mail: Uneinigkeit über Eignung fürs E-Government” (heise.de)

Der oberste Datenschützer beklagte, beim Kampf gegen Cyber-Angriffe zeige sich “ein gewisser Aktionismus”.

Ich würde es wilden Aktionismus nennen, gegen etwas, was man nicht versteht. Das die Verantwortlichen nichts verstehen sah man sehr gut an “Kinderporno-Sperren: Regierung erwägt Echtzeitüberwachung der Stoppschild-Zugriffe” (heise.de) Und zuletzt an dem Schenkelklopfer: “Falsche Angaben zu E-Mail-Postfächern: Innenstaatssekretär muss sich entschuldigen” (heise.de) Nun kommt noch “Bundestag regelt Zugriff auf IP-Adressen und Passwörter neu” (heise.de) Was wollen die Sesselfurzer in Berlin tun, wenn sie bemerken, dass Passworte nicht im Klartext zur Auslieferung vorliegen? Ein Hashverbot?

<einschub>
Auf der Suche nach dem Originaltext vom Bundesbeauftragten Schaar stieß ich auf eine weiße Seite unter http://bfdi.de/. Erst wenn man sich den HTML-Quellcode anschaut, ahnt man wo das Problem liegt. Nur der Opera und der Internet Explorer zeigen dem Besucher an, wie er die Seite des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit trotzdem besuchen kann.

Eine Website komplett in einem Frame laden, dies war in ’90ern des letzten Jahrhunderts in Mode — wahrscheinlich auch dass Jahrhundert, in dem der Webfuzzi die Seite dass letzte mal angeschaut hat. :O)
</einschub>

Ich erwarte von Politikern zwar nicht, dass sie Hasch von Hash unterscheiden können, aber ich erwarte doch, dass bei Unwissenheit Fachleute zu Rate gezogen werden und zwar nicht nur immer die Spezialexperten, die genau das wiedergeben, was die Politik hören will.

Der politische Wahnsinn führt dazu, dass ich Java nutzen muss, um meine Umsatzsteuervoranmeldung zu erledigen, obwohl ich weiss, dass Java im Browser Evil ist. Und dann kommen noch die Apfelmännchen die Java, seit dem letzten Update, im Safari komplett deaktivieren und dies natürlich ohne den kleinsten Hinweis zur Abschaltung. Politiker und Apfelmännchen in einen Sack und immer drauf schlagen, man trifft nie den falschen!

“Elster: Finanzverwaltung rückt von Java ab” (heise.de)

Die in jüngster Zeit gehäuft auftretenden Sicherheitsprobleme habe man im Jahr 2005 bei der Plattformentscheidung nicht vorhersehen können, erklärte der Sprecher.

Wer sich nur ein bisschen mit IT beschäftigt, der kann darüber natürlich nur lachen, allerdings bleibt einem dieses im Halse stecken, weil man den Bockmist der Politik ausbaden muss.

Message-Digest Algorithm 5 (MD5) ist eine weit verbreitete kryptographische Hashfunktion, die aus einer beliebigen Nachricht einen 128-Bit-Hashwert erzeugt.

Wer sich häufiger mit MD5 auseinander gesetzt hat, der wird diese beiden Hashes sofort erkennen:
md5(123456) => e10adc3949ba59abbe56e057f20f883e
md5('password') => 5f4dcc3b5aa765d61d8327deb882cf99


md5('Message-Digest Algorithm 5 (MD5) ist eine weit verbreitete kryptographische Hashfunktion, die aus einer beliebigen Nachricht einen 128-Bit-Hashwert erzeugt.') => 1124bdd495b44b02c17d70f0f57651f8

Wie kann nun aus 1124bdd495b44b02c17d70f0f57651f8 wieder der Text “entschlüsselt” werden? Gar nicht! Weil es keine Verschlüsselung ist.


Regelmäßig geht mir die Hutschnur hoch, wenn von MD5 oder SHA-1 als “Verschlüsselung” geschrieben wird. Wenn so etwas in BLÖD & Co. zu lesen ist, dann wundert mich dies nicht. Leider schreitet die Verblödung im Netz voran, weshalb auch in Fachpublikationen zum Thema Computer, der gleiche Blödfug zu finden ist.

Nun mag der eine oder der andere meinen, dies wäre nur eine Korinthe und man würde ja bei einer Hashfunktion auch von “Einwegverschlüsselung” reden — aber muss man sich denn an den dümmsten Menschen dieser Welt orientieren? Nein! Muss man nicht!

Genau durch diese Verblödung bilden sich so Ausdrücke wie “Datendiebstahl”, den es nicht gibt, da die Daten immer nur kopiert werden. Oder so unsägliche “Meinungen”, dass ein POST-Request vor Cross-Site Scripting schützen würde.


Um aus einem Hashwert wie e10adc3949ba59abbe56e057f20f883e den Klartext zu gewinnen, müssen viele Hashes erzeugt und verglichen werden.

md5(1) => c4ca4238a0b923820dcc509a6f75849b
md5(12) => c20ad4d76fe97759aa27a0c99bff6710
md5(123) => 202cb962ac59075b964b07152d234b70
md5(1234) => 81dc9bdb52d04dc20036dbd8313ed055
md5(12345) => 827ccb0eea8a706c4c34a16891f84e7b
md5(123456) => e10adc3949ba59abbe56e057f20f883e
md5(1234567) => fcea920f7412b5da7be0cf42b8c93759
md5(12345678) => 25d55ad283aa400af464c76d713c07ad
md5(123456789) => 25f9e794323b453885f5181f1b624d0b
md5(1234567890) => e807f1fcf82d132f9bb018ca6738a19f

Mit der richtigen Hard- und Software geht dies sehr schnell.

“Rekorde im Passwort-Knacken durch Riesen-GPU-Cluster” (heise.de)

Jeremi Gosney präsentierte (PDF-Datei) auf der Konferenz Passwords^12 seinen GPU-Cluster, mit dem es ihm gelang, 180 Milliarden MD5-Hashes pro Sekunde zu prüfen.

Dies ist eine Verschlüsselung, zwar eine sehr einfache Kodierung, aber eine Verschlüsselung:

rot13('MD5 ist eine kryptographische Hashfunktion.') =>
ZQ5 vfg rvar xelcgbtencuvfpur Unfushaxgvba.

rot13('ZQ5 vfg rvar xelcgbtencuvfpur Unfushaxgvba.') =>
MD5 ist eine kryptographische Hashfunktion.

Siehe dazu:
Caesar-Verschlüsselung (de.wikipedia.org)
ROT13 (de.wikipedia.org)

Macht uns das Internet dumm?

Das seit Ende 2010 geplante Online-Portal GovData für offene Verwaltungsdaten von Bund, Ländern und Kommunen soll am heutigen Dienstag in einen einjährigen Testbetrieb gehen. Dies bestätigte Ina Schieferdecker, technische Projektleiterin am Fraunhofer-Institut für Offene Kommunikationssysteme (FOKUS), gegenüber heise online.

Die Registrierung und das Login erfolgen natürlich (!) unverschlüsselt, deswegen braucht der Session-Cookie auch den Cookie-Flag secure nicht, aber dies nur der Vollständigkeit halber. Viel interessanter finde ich, dass die E-Mail-Adresse sowie Vor- und Nachname der registrierten Benutzer öffentlich zugänglich sind.

Ob Phisher diese Daten nutzen würden? “Bitte geben Sie uns Ihre Bankverbindung, dann gibt es für Ihre Registrierung ein Dankeschön in Form von 10 Euro.”

Auf jeden Fall ist es bezeichnend wie staatliche Stellen mit unseren Daten umgehen, es passt auch gut zu dem was Herr Maurer gestern sagte.

“Polizeikongress: Wer ins Internet geht, verlässt die Privatheit” (heise.de)

“Wer im Internet ist, hat die Privatheit verlassen.”

Update: 25.02.2013 – 18:38 Uhr

Nun hat der Session-Cookie den Flag secure spendiert bekommen und die Seite läuft nur noch per https. Das Datenleck wurde auch geschlossen. Die Suchfunktion, über die ich das Leck fand, funktioniert zwar noch, diese findet aber keine Benutzer mehr.

Es geht doch! Warum muss ich erst nerven, bevor gehandelt wird?

Eine Liste aller Dokumente, auch der noch auf “Entwurf” stehenden, würde ich nicht öffentlich machen wollen — ich sag nur ID 15. Im Moment sind in der Liste nur 20 Dokumente zu finden, aber mit der Zeit wird es auch mal welche geben, die man ungern öffentlich sehen möchte.

Wer Liferay nutzt, der muss mit weiteren Peinlichkeiten rechnen! ;O)


Update: 26.02.2013 – 20:33 Uhr

Das war wohl ein Versehen — das Datenleck ist wieder offen!


Update: 05.03.2013 – 15:59 Uhr

Nun ist das Datenleck wieder zu — schauen wir mal wie lange. :O)

WordPress 3.5.1 wurde veröffentlicht. Diese Version ist ein Sicherheits- und Wartungsrelease. Eine Aktualisierung auf die neue Version 3.5.1 wird dringend empfohlen.

Dieses Update gab es am Freitag den 25. Januar und schließt u.a. auch eine Lücke zu Cross-Site Scripting, die von jedem Besucher des Blogs ausgenutzt werden kann.


Der Link zum Updaten, der im Backend von WordPress sehr gut versteckt (<g>) ist, wurde nicht einmal von Urgesteinen des Internet wie 1&1 oder SELFHTML (gefixt) gefunden.

Da die “Enquete-Kommission Internet und digitale Gesellschaft” irgendwie rum ist, muss man da auch nichts mehr pflegen. ;O)

Bei den angeblichen “Internetausdruckern” sieht es auch nicht besser aus: CDU (gefixt), SPD (gefixt), Grüne

Wer nun aber meint, dass die “Internetpartei” besser dasteht, der täuscht sich: Piraten

Auch Gottes Bestand hilft offensichtlich nicht weiter: Radio Vatikan (gefixt)

Dies war nur eine kleine Auswahl, der mehr als einhundert Blogs die ich auf die Schnelle fand, zu denen auch so unbekannte Seiten wie die folgenden gehören:

• audi.de
• basicthinking.de (gefixt)
• bildblog.de
• cebit.de
• daimler.de
• deutsche-startups.de
• giga.de
• gravis.de
• groupon.de
• gruenderszene.de
• gutjahr.biz (gefixt)
• indiskretionehrensache.de
• kraftfuttermischwerk.de
• nachdenkseiten.de
• ndr.de
• neusprech.org
• spreeblick.com
• stefan-niggemeier.de
• sueddeutsche.de
• wiwo.de

Nun mal ernsthaft.

Sobald man sich in WordPress einloggt, bekommt man sehr deutlich viermal angezeigt, dass es ein Update gibt: Updatehinweise im Backend von WordPress

Ich habe die bisher durchgeführten Updates von WordPress nicht gezählt, aber seit Februar 2007 (Version 2.0.7) betreibe ich diesen Blog und ich hatte noch nie ein Problem damit. Backups mache ich zur Sicherheit natürlich vorher, weil — man weiß ja nie, aber gebraucht habe ich diese bisher noch nicht.

Es kann zwar auch gute Gründe geben ein Update nicht sofort einzuspielen, weil z.B. eigene Änderungen am Quellcode nicht dokumentiert wurden und man damit rechnet, dass nach dem Update WordPress nicht mehr korrekt funktioniert, aber trotzdem kann man Sicherheitslücken deshalb nicht wochenlang einfach ignorieren.

Vielleicht wurden die Updates auch nur nicht durchgeführt weil die Dringlichkeit nicht bekannt ist. Aber vielleicht sind diese Updateschlampen bei ihrem Blog genauso uninteressiert an Updates, wie bei Updates für das Betriebssystem, Adobe Reader, Adobe Flash oder Java — dann wird mein Blogpost natürlich auch ignoriert werden.

Vor ein paar Tagen kam mir ein etwas eigenwilliger Aktivierungslink unter die Augen:
https://domain/register_success?email=<e-mail-adresse>

Ähhh? Bidde? Das glaub ich jetzt nicht!? Doch, glaub es! :O)

Das schöne an dem Link ist, er ist immer gültig und nach dem Aufruf ist man in dem Benutzerkonto eingeloggt. Als Angreifer brauche ich also nur E-Mail-Adressen von registrierten Benutzern, um in deren Konto zu stöbern oder auch Bestellungen abzugeben, denn es handelt sich bei der gepenntesteten Seite um einen Shop.

Wie kann man als Programmierer nur so etwas abliefern und warum hat das noch niemand vor mir gefunden/bemängelt?

Ich bin ja kein Superhacker, der schwarz gekleidet, mit Skimaske, Sonnenbrille und Handschuhen, auf einem kleinen Notbuch, in gekrümmter Haltung, hackt, wobei es auf dem Bildschirm so (img7.joyreactor.cc) aussieht. Ich bin nur ein Penntester, der — weil ohne Sonnenbrille — wohl etwas mehr sieht als andere. Kein Wunder, es sind immerhin 27 Zoll. ;O)

Bei meinen Tests bemängel ich u.a. wenn die Cookie-Flags HttpOnly und Secure nicht gesetzt sind. Auch wenn interne IP-Adressen sichtbar sind, ist dies ein Punkt, auf der oftmals sehr langen Liste der gefundenen Schwachstellen.

Nun bekam ich folgende Rückmeldung zu den fehlenden Cookie-Flags:

Einziger Cookie, welcher nicht HTTPonly gesetzt hat: siehe “Interne IP” Nicht Securityrelevant, aber Lösung für “Interne IP” löst auch “Cookie-Flags”.

Bei der “Lösung für “Interne IP”" soll die IP-Adresse verschlüsselt im Cookie gespeichert werden. Es wird also nicht der Cookie verschlüsselt übertragen, sondern nur der Wert darin verschlüsselt.

Worum es bei den Cookie-Flags geht, kann man hier nachlesen: HTTP-Cookie (de.wikipedia.org) Hiermit haben sich sehr wahrscheinlich schon viele Webentwicker beschäftigt, sollte also für viele nicht wirklich neu sein.

Bei “Interne IP” ging es um dieses Problem: “Cookie decoder: F5 BIG-IP” (blog.taddong.com) Wer nicht ständig mit großen Systemen und F5 BIG-IP zu tun hat, wird dies Problem kaum kennen.

Aber, was haben die beiden Probleme miteinander zu tun? Bis auf den Punkt, dass es beide Male um Cookies geht — nichts!

Bei ITlern die für eine Firma arbeiten, die mehrere hundert Mio. Euro Umsatz pro Jahr generiert, erwarte ich schon etwas mehr Fachwissen.

Ich werde sehr wahrscheinlich nie eine gut bezahlte Festanstellung in der IT-Branche bekommen, weil ich kein studierter ITler mit Diplom bzw. Master bin, sondern nur ein Schlosser mit 30 Jahren Erfahrung in der IT. Aber ich frage mich ernsthaft, wie jemand mit so wenig Wissen in einer so großen Firma das Bewerbungsgespräch überstanden hat. Zu erklären ist dies wohl nur durch noch weniger Fachwissen bei dem Menschen, der den DAU eingestellt hat.

Dies waren jetzt nur zwei Beispiele von dem, was ich jeden Tag erlebe. IT-Sicherheit ist vielfach nicht nur ein Stiefkind, es scheint gänzlich unbekannt zu sein und dies unabhängig von der Größe eines Unternehmens.

Wir werden alle sterben!

Subject:
Michael Schwarz: Akute Information zu Ihrem Kundenkonto. Aussetzung droht! 09.02.2013

From:
Pay:Pal BR <mail@pay-pal-bremen.be>

Hallo Michael Schwarz,
es gelten neue Datenschutzbestimmungen, welche zur Folge haben, dass unsere Kunden einen Datenabgleich ausführen müssen.
Dieser ist seit dem 01. Februar 2013 in unserem System vorhanden und muss bis spätestens 15. Februar 2013 durchgeführt sein.
Wenn Sie es bis zu dem oben genannten Zeitpunkt nicht kostenfrei durchführen, wird Ihr Kundenkonto ausgesetzt.
Die anschließende Entsperrung wird mit Kosten verbunden sein!
Führen Sie den Vorgang nun unter dem folgenden Link durch:

– Kostenfreier Datenabgleich Februar 2013 Michael Schwarz –

Mit freundlichen Grüßen
Karsten Dietz,
Pay:Pal Bremen
Tumblingerstr. 11-13
28256 Bremen
Telefonnummer: 0180 – 22 99 55

Ihre ID: 168974703321974086101244533128

Das “Kostenfreier Datenabgleich…” ist dann natürlich mit einer Website in Russland verlinkt. Weil die PayPal-Mädels aus Bremen immer über eine nicht registrierte belgische Domain ihre E-Mails verschicken, ist es auch nicht verwunderlich wenn die Daten über Russland gesammelt werden — weil großes Land, viel Platz, ihr wisst schon.


Das schlimmste an diesem Spaß ist, dass es noch dümmere Menschen als diesen Phisher gibt, die wirklich auf der gehackten russischen Website ihre echten Daten eingeben.

Wir werden alle sterben!