Wer gehackt wird, ist selbst schuld

[theHacker]

Definiere bitte "Billigscript" [...]...

Hier haben wir ein Musterbeispiel:
https://www.klamm.de/forum/f39/ef-account-einstellen-412277.html

Die interessante Stelle:

das selbe prob hatte ich bei mir auch weil ich ein pseudo passwort benutzt hab

"/jdk$3kdk" sowas in der art mit vielen sonderzeichen.. das mag das script wohl nicht.

ändere einfach mal das passwort, falls du auch so eines benutzen solltest

Also ich nenn meine Passwörter immer "sicheres Passwort", wenn sie u.a. viele Sonderzeichen enthalten. Hier nennt man das "pseudo passwort". *kopfschüttel*

Zum Script:
Jedem, der programmieren kann, dürfte klar sein, was das Problem ist: an der Stelle, wo die EF-API aufgerufen wird, fehlt ein nötiges urlencode(), um die Sonderzeichen ordentlich zu kodieren.
Somit is die Sicherheitslücke klar: Dasselbe Problem wird auch bei den anderen Parametern, also auch dem Betreff vorliegen. Kann man mit dem Script z.B. Überweisungen vornehmen, kann ich als Benutzer einen beliebigen Betreff eintippen. Was tue ich? Na klar, ich injecte Sonderzeichen in die URL, um den Bug auszunutzen. Der EF-Server sendet nun HTTP 400 zurück. Und da keines von den Billigscripts HTTP selber implementiert, sondern sich auf file() oder file_get_contents() ausruht, wird PHP nun ein Warning werfen und bei geeigneter Konfiguration die komplete URL samt EF-Zugangsdaten dem Benutzer ausgeben ... Bye bye Lose

Klasse Programmierung

Ich freu mich schon wieder auf die Nächsten, die wegen "gehacktem" Account rumheulen. Und warum passierts? Weil ein Losekiddie, was unbedingt ne Loseseite haben muss, von einem anderen Losekiddie, das keine Ahnung von Programmierung hat, das Script kauft. Nehmen wir nun noch ein drittes Losekiddie, was die Losebillionen im Webhosting sieht, hinzu, haben wir auch noch den passenden Webserver mit der PHP-Konfiguration, damit alles zusammenspielt.

 

[Mörchen]

also ich muss auch mal was sagen .ich hab zwar keine ahnung von programmieren und den ganzen zeug.ebenso wenig hab ich ahnung und weiß von diesem richard und sein lebenslauf. was mich aber hier echt fragen aufwirft ist, warum den dieser richaerd immer noch schalten und walten kann und der noch nicht dingfest gemacht wurde. dieser thread besteht jetz schon aus 60 seiten mit unzähligen geschädigten über ein längeren zeitraum schon. ist mir nen rätsel wieso der immer noch machen kann was er will.

 

[Arusiek]

was mich aber hier echt fragen aufwirft ist, warum den dieser richaerd immer noch schalten und walten kann und der noch nicht dingfest gemacht wurde. dieser thread besteht jetz schon aus 60 seiten mit unzähligen geschädigten über ein längeren zeitraum schon. ist mir nen rätsel wieso der immer noch machen kann was er will.

Warum von rechtlicher Seite bisher nur wenig unternommen werden kann, steht mittlerweile mehrmals im Thread...

Warum er immer noch auf so vielen Seiten erfolgreich ist, musst du die Betreiber fragen.
IMHO kommt das hauptsächlich daher, das viele Betreiber von Loseseiten einfach nur auf das vermeintlich schnelle und einfache Geld aus sind...
Da werden oft ein paar Scripts im Cent-Bereich gekauft, die dann von einem "Script-Kiddy" mit Copy&Paste Skills gegen etwas Hartgeld zusammengeschustert und auf die Menschheit losgelassen werden
Wahrscheinlich kostet eine Stunde (ordentliche) Programmierarbeit schon mehr, als viele Loseseitenbetreiber insgesamt in ihre Seite investiert haben.

Aber das ist ja im Prinzip nichts neues... Mehr oder weniger bekannte Bugs gibt es, seit es Losescripts gibt. Eigentlich ist die Frage, warum es ähnlich große Attacken nicht schon früher gab.

Und auch wenn es seit 60 Seiten mit unzähligen... bekannt ist, gibt es scheinbar immer noch Seiten und User, die den kleinen Richard geradezu einladen.

Gruß Aru

 

[Duergy]

Arusiek, ich würde sagen "Setzen 6".

Das Problem™ ist, das RR irgendwann einmal an eine Liste "KlammID->Passwort" gekommen ist und wenn ein User™ nun das Passwort "MeineKatzePuschel2010" auf allen Seiten verwendet, hat das nichts mit den Seitenbetreibern zutun, sondern ist wohl eher ein Fehler™ des User.

 

[Arusiek]

Das Problem™ ist, das RR irgendwann einmal an eine Liste "KlammID->Passwort" gekommen ist

Und wie ist er da ran gekommen?
Sicher sind einige User im Prinzip selbst schuld... Aber viele Betreiber sind sich scheinbar auch nicht im geringsten der Verantwortung bewusst, die sie nunmal haben, wenn sie (sensible) Userdaten speichern.

Als Sonys PSN gehackt wurde ist ein Sturm der Entrüstung entbrannt, wie es überhaupt passieren kann, daß man über das System an Nutzerdaten gelangen kann. Hier ist es doch im Prinzip schon jedem egal, daß seine Daten ungesichert in irgendwelchen Datenbanken bei Kinderzimmerhostern liegen.

Ich kann mir auch nicht vorstellen, daß er da eine einmalige Liste hat... er hat sich definitiv mehrfach Zugang zu verschiedenen Seiten verschafft...

Gruß Aru

 

[TAKAGAMES]

Es sind ja nicht immer nur die billigscripte, bis vor einpaar Wochen konnte man sich bei Paiduniversum auch unendlich Planeten erstellen hört man...

 

[theHacker]

Das Problem™ ist, das RR irgendwann einmal an eine Liste "KlammID->Passwort" gekommen ist [...]

Und? Ich weiß nicht mehr wer es war, aber hier gabs doch schon mindestens einen User im Thread, der machfach geheult hat. Spätestens beim ersten Mal hätte jeder sein Passwort ändern können.

Zum Thema, warum es immer wieder passiert, häng ich an Aru's Post gleich mein aktuelles Musterbeispiel nochmal dran:
https://www.klamm.de/forum/f39/ef-account-einstellen-412277.html#post7076322
Im besagten Fall hat der Seitenbetreiber umgerechnet ganze 1,17€ für die Software gezahlt. Wenn man dafür nicht mal Profi-Qualität erwarten kann

Und der Oberhammer... und das is es auch, warum es immer und immer wieder passiert - und ich freu mich drüber, weils ihr nicht anders verdient habt!:
Nachdem über die kritische Sicherheitslücke informiert wurde, kommt

Hey,
ja da hast du schon recht. Werde das script erweitern und verbessern lassen, sodass die Schwachstellen behoben werden.
Denke als Vorlage reicht es erstmal .

Ich für meinen Teil würde jetzt die Lektion lernen: Seiten, die von Susum betrieben werden, mit einem großen Bogen meiden!

Und wie siehts aus:

lose4sig.de - Lose mit deiner Signatur verdienen! - NEU

Seite is online und es sind auch schon 15 User angemeldet.

Und da wundert sich wer

 

[kapitalist87]

Arusiek, ich würde sagen "Setzen 6".

Das Problem™ ist, das RR irgendwann einmal an eine Liste "KlammID->Passwort" gekommen ist und wenn ein User™ nun das Passwort "MeineKatzePuschel2010" auf allen Seiten verwendet, hat das nichts mit den Seitenbetreibern zutun, sondern ist wohl eher ein Fehler™ des User.

Kann mich dem Gedankengang nur anschließen. Du hast es ja auch bereits selbst zugegeben das du in der Datenbank rumwühlst und gerne mal looki - looki machst..

 

[Florian]

Kann mich dem Gedankengang nur anschließen. Du hast es ja auch bereits selbst zugegeben das du in der Datenbank rumwühlst und gerne mal looki - looki machst..

Ist das dein Ernst? Das ist völliger Bullshit.
Duergy kann - selbst wenn er wollte - nur die md5-Hashes von Passwörtern sehen und das, was er "zugegeben" hat, ist, dass er eine Abfrage drinne hat, die prüft, ob mehrere Nutzer das selbe Passwort (=dann auch den selben Hash) nutzen.
Und genau mit dieser Abfrage (die übrigens glaube ich ein Großteil aller Seiten eingebaut hat...) sieht man sehr schön, wo die Sicherheitslücken liegen. Da tauschen dann 10 Leute mit dem Hash "e10adc3949ba59abbe56e057f20f883e" auf und wundern sich, dass sie gehackt werden... Neben den ganzen Billigscripts ist das wohl die größte Sicherheitslücke im System ^.^

 

[Mone]

Ist das dein Ernst?

Spielt das eine Rolle? Er wollte ein bisschen rumtrollen. Provozieren. Ich meine, guck mal auf das Datum, der Thread war 10 Tage alt. Da gibt es einen alten, aber bewährten Spruch:

\|||/
(o o)
,----ooO--(_)-------.
| Please |
| don't feed the |
| TROLL's ! |
'--------------Ooo--'
|__|__|
|| ||
ooO Ooo ​

 

[TAKAGAMES]

selbst wenn er wollte - nur die md5-Hashes von Passwörtern sehen

nur? md5 sind die Standartsachen schon in vielen Datenbanken "suchbar".

Wer als Seitenbetreiber eine einfache md5 Hashfunktion verwendet, handelt meiner Meinung nach grob fahrlässig.

 

[theHacker]

nur? md5 sind die Standartsachen schon in vielen Datenbanken "suchbar".

Kannst du das so formulieren, dass jeder versteht, was diese "Standartsachen" sind?

 

[paymymail]

Kannst du das so formulieren, dass jeder versteht, was diese "Standartsachen" sind?

Ich schätze "123", "Mama", "Passwort" etc. sind damit gemeint. Das "Hash-Gegenstück" lässt sich suchen ist wohl gemeint.

 

[theHacker]

Das hat aber doch nix mit MD5 zu tun

KussMar wollte uns irgendwas betreffend MD5 sagen. Ich möchte gerne verstehen, was.

 

[TAKAGAMES]

paymymail hat das schon richtig erkannt!
MD5 ist das was jedes billigscript verwendet und große Datenbanken zur Gegenprobe existieren.

wenn ichs zb 2 mal md5 Verschlüssel oder danach/davor nochwas mit den PW anstelle ist das 100 mal sicherer, darauf wollt ich hinaus.

70% der "einfach md5 verschlüsselten" heutigen PW der User sind nachvollziehbar.
(hatte da einen Artikel einer Studie finde ich aber nichtmehr, glaub waren ~70% oder mehr)

 

[theHacker]

paymymail hat das schon richtig erkannt!
MD5 ist das was jedes billigscript verwendet und große Datenbanken zur Gegenprobe existieren.
[...]
70% der "einfach md5 verschlüsselten" heutigen PW der User sind nachvollziehbar.
(hatte da einen Artikel einer Studie finde ich aber nichtmehr, glaub waren ~70% oder mehr)

Ich verstehe immer noch nicht, was das jetzt mit MD5 zu tun hat. Was bedeutet "nachvollziehbar"?
Wählt der Benutzer sein Passwort unsicher und verwendet die Webseite zusätzlich kein Passwort-Salt für das Hashing, so ist jeder Hash-Algorithmus betroffen, egal ob MD5 oder z.B. SHA-512.

 

[TAKAGAMES]

Ich verstehe immer noch nicht, was das jetzt mit MD5 zu tun hat. Was bedeutet "nachvollziehbar"?
Wählt der Benutzer sein Passwort unsicher und verwendet die Webseite zusätzlich kein Passwort-Salt für das Hashing, so ist jeder Hash-Algorithmus betroffen, egal ob MD5 oder z.B. SHA-512.

Ja das ist richtig,

Aber für MD5 gibt es deutlich mehr Hashwertdatenbanken als für SHA-512

 

[theHacker]

Sich die Mühe zu machen und ein "paar" Hashes vorzuberechnen, dauert jetzt aber auch nicht so ewig lang.
Ich hatte vor einiger Zeit selber mal einen Versuch gemacht. Mittels eines Crawlers, der das Internet ca. 6 Stunden nach Wörtern durchsucht hat, diese gehasht und abgespeichert hat, plus dem manuellen Füttern von Geburtsdaten der Format "ddmmyy", hab ich dann meine eigene Datenbank attackiert und versucht, User-Passwörter zu knacken. Ich konnte über 25% knacken

Fazit: Es kommt nicht auf eine große Hash-Datenbank an, wo du viele Wochen fütterst, sondern auf dumme User. Und "zum Glück" hat man die ja ... die dummen User - nicht die große Hash-Datenbank

 

[TAKAGAMES]

ja das stimmt, wobei wenn du wie ich gesagt hab bei md5 das machst und ein paar datenbanken checkst bekommst du auch die mit ungewöhnlichen PW und selbst meine ersten passworter damals im web sehen dagegen alt aus, und das waren keine geburtstage oder namen oder dudenwörter!

ich denke wir sind uns da einig was ich als erstes zitiert habe

selbst wenn er wollte - nur die md5-Hashes von Passwörtern sehen

ist grob fahrlässig, ob nun md5 oder eine andere Hashfunktion benutz wird, einfaches Verschlüssel ist wie zu 70% unverschlüsselt zu speichern

 

[theHacker]

Hier mal wieder der Klassiker:
https://www.klamm.de/forum/f28/auto_prepend_file-anwenden-413538.html

19-jähriger betreibt einen Server mit einer Klicki-Bunti-Administrationsoberfläche, hat keine Ahnung, was er tut, will aber "dort auch webspace + domain gegen werbung anbieten".

Kann sich wohl jeder ausrechnen, wie sicher mir da Webseiten vorkommen