Heise: Bäcker, bleib bei deinen Brötchen ;O)

Donnerstag, 3. April 2014, 13:22 Uhr

Boxee: Unbekannte veröffentlichen Nutzerdaten” (heise.de)

Letztere (Passworte) waren angeblich nicht im Klartext gespeichert, sondern wohl als salted Hashes – dies bietet aber kaum Sicherheit.

Ein easily cracked according to sources in kaum Sicherheit zu übersetzen ist etwas zu schlicht — da sollte man schon genauer hinschauen.

Ok, Heise hatte keine Zeit, also mach ich mal wieder den Korinthenkacker. ;O)

Das Forum (http://forums.boxee.tv/) ist zur Zeit abgeschaltet. Der Google-Cache liefert aber, nach viel Wartezeit, noch etwas aus. Das Forum lief unter: Powered by vBulletin® Version 4.2.2

vBulletin nutzt salted Hash um das Passwort in der Datenbank zu speichern. Hierfür wird der folgende Code verwendet: md5(md5($pass).$salt)
Ja, MD5 ist nicht sicher, aber das eigentliche Problem liegt eher bei den meist zu einfach gewählten Passworten.

Füttert man Hashcat mit 280d6873630845690fdb8cbeebb82a56:auch-salz-hilft-nicht-wirklich, wird sofort 123456 als Passwort gefunden. (vBulletin > v3.8.5, einfache Wörterliste)
Also stimmt dies bietet aber kaum Sicherheit doch?!

Bei dem Versuch mit 63a76359d3f2f6bf79b571bbf5e86064:starkepassworte-ohnesalzsicher würde man wohl ein paar Mrd. Jahre auf Hashcat warten müssen, genauso wie bei dem MD5-Hash ohne Salt 8299cd11288241118c312809a0aa469f, einfach weil ein starkes Passwort nach wie vor nicht so einfach zu knacken ist.
Nein, dies bietet aber kaum Sicherheit stimmt so nicht.


Zum Abschluss noch etwas, was sich der Bäcker evtl. auch einmal durchlesen sollte und für Fragen findet er sicher kompetente Kollegen bei Heise. ;O) “Passwörter unknackbar speichern” (heise.de)

Thema: Korinthenkacker, Sicherheit |  Beitrag kommentieren

Online-Casino-Spam fast nur in TYPO3

Donnerstag, 20. März 2014, 10:30 Uhr

Hunderte Typo3-Webseiten gehackt” (heise.de)

Eine große Anzahl von Webseiten, die das Content Management System (CMS) Typo3 einsetzen, ist offenbar Opfer eines Hackerangriffs geworden. Der Angriff scheint nur Seiten zu betreffen, welche die Long-Term-Support-Version (4.5.x) des CMS einsetzen. Welche Sicherheitslücke ausgenutzt wird, ist momentan nicht bekannt. Eine entsprechende Google-Suche deutet darauf hin, dass hunderte von Webseiten betroffen sind, viele davon in Deutschland.

Die entsprechende Google-Suche ist folgende Query:
inurl:online-casinospelletjes

Der Heise-Autor hat u.a. im Forum etwas Haue bekommen, weil es eben nicht hunderte von Webseiten betrifft. Die übliche Suche gibt vor, dass es 516 Ergebnisse gibt. Ab Seite 5 werden die Ergebnisse aber schlagartig weniger:

google zu viele ergebnisse
(klick mich)

Dieser Google-Bug kam mit der Instant-Suche hinzu. Um es abzukürzen muss man Google umstellen, damit es wieder so funktioniert wie früher:
Google 100 - 1
Google 100 - 2

Und schon ist sofort erkennbar, dass es für diese Suchanfrage nur einige Ergebnisse gibt und nicht hunderte:
Google 100 - 3
Die übersprungenen Ergebnisse gehören zu einer Domain, bei der weitere Subdomains betroffen sind/waren.

Wer dies nun selber nachvollzieht, wird weniger Ergebnisse finden, da einige Seitenbetreiber den Spam bereits entfernt haben.

An diesem Punkt ist die Kritik an Heise durchaus berechtigt.


Hintergründe des Typo3-Hacks weiter im Dunkeln” (heise.de)

Die Typo3 Association hat keine Informationen zu der Schwachstelle hinter dem Casino-Spam-Hack, der viele Typo3-Webseiten betrifft, und vermutet, dass der Hack andere Ursachen hat. Seiten ohne Typo-Installation sollen ebenfalls betroffen sein.

Dies schrieb der gleiche Heise-Autor. Sonderbare Menschen schreiben im Heise-Forum. Da erdreistet sich jemand, zu behaupten, dass geliebte CMS hätte Sicherheitslücken! OMG!!!! ;O)

Ganz von der Hand zu weisen ist es nicht. Ich habe drei verschiedene Werte für inurl getestet, wobei ganz eindeutig TYPO3 überwiegt.
online-casinospelletjes
uusi-casino
online-best-online-casino-bonuses
Wo aber nun konkret die Sicherheitslücke steckt, konnte ich nicht feststellen. Den Casino-Spam fand ich in TYPO3 von 3.8 bis 6.1. Das ich auch ein TYPO3 6.1 gefunden habe, bedeutet nicht, dass diese Version auch anfällig ist, sofern es überhaupt eine Lücke in TYPO3 sein sollte. Vielleicht wurde ursprünglich eine 4er Version angegriffen, das Opfer hat dies nicht bemerkt und ein Update auf 6.1 eingespielt.


Gibt es vielleicht verschiedene Kampagnen?

casino-spam kampagne 1
Zur Zeit.

casino-spam kampagne 2
Cache vom 4. März.

Diese beiden Screenshots gehören zu einer Seite die kein CMS verwendet, der Code sieht handmade aus und es gibt viele statische HTML-Seiten.

An diesem Punkt, ob es nun an TYPO3 liegt oder nicht, kann man Heise keinen Vorwurf machen. Meine Recherche hat mehrere Stunden gedauert und ich glaube nicht, dass Redakteure so viel Zeit haben wie ich.

Das der Spam primär TYPO3 betrifft hat meiner Meinung nach wenig mit dem CMS selber zu tun. Ich glaube eher, dass es ein Test war, eine Demonstration für neue “Kunden”. Mit der richtigen Suchanfrage kann man über Google sehr schnell Installationen von TYPO3 finden. Da man TYPO3 eher in den geschäftlichen Bereich verortet, könnten die zu beeindruckenden “Kunden” dieses Ziel anvisieren.

Ein genauere Analyse ist ohne Zugriff auf die Logfiles der kompromittierten Seiten und genauere Informationen darüber wann welche Angriffe stattgefunden haben, nicht möglich.




Thema: Sicherheit |  Kommentare geschlossen