Nächster erfolgreicher Angriff trifft AndroidForums

Nach den Angriffen in dieser Woche auf GMX, Yahoo und NVIDIA wurde nun ein weiterer Zwischenfall dieser Art bekannt. Hierbei geht es um AndroidForums.com. Entwendet wurden möglicherweise mehr als eine Million Nutzerdaten. mehr... phandroid phandroid

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Das ist halt immer das Problem mit dieser "zwingend" erforderlichen E-Mail die man ja ständig benötigt überall.
 
@TeamTaken: dafür gibt es sog. temporäre Einzeladressen (eine zufällig generierte emailadresse die man für 30 minuten abrufen [dienste gibt es da genug] und länger brauchte man diese adresse eh nie)! ist zwar nicht im sinne des forumsbetreibers aber ebenso ist es nicht in meinem interesse spam zu erhalten oder meine emailadresse weiter zu geben! alternativ legen viele auch so ne 2. adresse an (die kann man notfalls [bei z.B. vergessenen passwort] doch mal abrufen)! -> also wer seine privaten daten hergibt ist selbst schuld!
 
@JesusFreak: Jetzt weiß ich auch, wieso meine Hauptemailadresse für Spam verwendet wurde. Hat bestimmt mit der temporären Geschichte zu tun. -[
 
Was bringt mir ein super tolles Passwort mit Sonderzeichen Groß-undKleinschreibung etc. wenn dann die Hacker auf die Serverdatenbank eingreifen und dort es eh auslesen können?
 
@Krucki: Wenn die Passwörter (mit einem brauchbaren Algorithmus) gehashed und 'gesalzen' gespeichert wurden, kann der Angreifer keine Rückschlüsse auf dein Klartextpasswort ziehen.
 
@Ebukadneza: Sagen wir eher "falls" ;) Klartext oder minderwertige Verschluesselungen sollten heutzutage eine saftige Strafe nach sich ziehen! Es ist keine Kunst mehr Passwörter verschluesselt in einer Datenbank abzulegen, das kann jeder der sich ne Stunde in die Materie einliest und daher handeln Unternehmen denen das egal ist grob Fahrlässig...!
 
@Krucki: In der Regel sollten die Passwörter nur in Form eines Hash Wertes auf dem Server gespeichert sein. Aus diesem Hash kann man meistens nur sehr schwer das Originalpasswort generieren. Es gibt allerdings immer noch viele Seiten die Passwörter im Klartext speichern. Warum sie das tuhen naja meine Vermutung sie verwenden die Passwörter selbst um z.B. heimlich unsere Mails zu lesen.
 
@Eistee: Wer liest heimlich welche Mails? Hä? Gmx, kann deine Mails auch ohne Kennwort lesen, die Boards auch deine PNS. Die brauchen dafür doch dein Kennwort nicht! Oder wie ist der Zusammenhang von ungehashten und gesalzenen hashes zu verstehen "tuhuhen"?
 
@scherno: dann ist es aber ein sehr ungenügender dienst! auf meinen Exchange kann ich niemanden Emails / nachrichten / termine,... lesen! das wird alles verschlüsselt abgespeichert! das einzigste was ich kann ist vom user passwörter zurücksetzen oder mir mitleserechte geben! beides bekommt der user aber mit! und das ist wohl das mindeste was ich von meinem email provider erwarten kann!
 
@JesusFreak: ab 9.999 userkonten muss er nach der tkü eine leseschnittstelle schaffen! da können die behörden so oder so mitlesen! und nicht nur die! ausrufezeichen! sind! super! jeder anbieter kann das lesen! ohne! das! du! das merkst!
 
@scherno: Frag dich mal wieviele leute das gleiche Passwort für mehrere Dienste im Web nutzen.
 
@Eistee: Naja ich müsste so viele unterschiedliche Passwörter sonst anlegen. Da brauch ich ja schon ne Menge Zeit für die Passwortverwaltung.
 
@Krucki: Guck dir mal Keypass an (oder ähnliche Tools). Ich habe inzwischen fast ausschließlich solche generierten Passwörter. Wenn da einer das Kennwort von Webseite XY hackt, nützt es ihm woanders gar nix ;D
 
@dodnet: Danke, werde ich mal machen. Ich hatte bis jetzt immer Bedenken ob diese Passworttools aufwendig sind in der Handhabung im Alltag. Was ist eigentlich bei einem Crash der Festplatte oder Fehlfunktion des Programms. Dann komme ich nirgendwo mehrim Web rein und muss überall ein neues Passwort anlegen?
 
@Krucki: So sieht's im Grunde genommen aus. Deine Passwort-Datenbank (die ja verschlüsselt abgespeichert wird), musst du dir natürlich noch mal extra sichern um gegen Datenverlust gewappnet zu sein. Zum alltäglichen Gebrauch kann ich bei KeePass jedenfalls sagen, dass es nicht allzu umständlich ist, wenn man sich einmal an die Verwendung eines solchen Tools gewöhnt hat. Natürlich ist es umständlicher, als ein Passwort für verschiedene Webseiten zu benutzen (bzw. wie in meinem Fall ein unsicheres Passwort für Foren, ein mittleres für Games und zwei stärkere für Banking / Google-Account, etc.), aber dafür erhöht es die Sicherheit ungemein. Mit KeePass kannst du dir verschiedene Passwörter generieren lassen (individuell einstellbar) und diese dann in Gruppen sortiert speichern. Die Gruppen benennst du dann, wie du möchtest und kannst zusätzlich deinen Login-Namen mit angeben. Tjo und fortan wirst du dann halt immer kurz in KeePass reinschauen müssen, wenn du dich irgendwo anmelden willst. Aber wie gesagt: Da gewöhnt man sich dran, dauert dann ein wenig länger als sonst, dafür ist's an Sicherheit kaum zu überbieten.
 
@Krucki: Für Keypass gibts auch Apps für Android und andere System (iOS sicher auch). Damit ist es auch kein Problem, von unterwegs auf die Kennwörter zuzugreifen. Eine Sicherung der DB ist natürlich unumgänglich, sonst kommst du im Falle eines Crashs nirgendwo mehr rein ;)
 
Danke für die Infos :)
 
@Krucki: wir auch nie zu verhindern sein.
 
Das der jeweilige Server gehackt wurde, sehe ich noch nicht mals als das Hauptproblem an, im Höchstfall sind dann eben alle Foreninhalte und alle Nutzer weg (Oder wie bei GMX Spamversand). Mir ist zwar spontan nicht bekannt, dass sowas ausgenutzt wurde, aber eine Umfrage auf WF wer auf verschiedenen Webseiten die selben Logindaten (EMail/Passwort) verwendet, dürfte ein eindeutiges Ergebniss liefern. Die wenigstens Seiten, wie z.B. MS Live, haben dagegen zusätzliche Schutzmechanismen.
 
Was mich einmal interessieren würde, über welche Wege andauernd Daten aus Foren geklaut werden. Wenn angenommen sei, dass SQL Injections mit SQL Parametern unmöglich sind, wie kommt man denn dann an die Daten dran? Das ist mir nicht klar.
Das Einfachste wäre jetzt das Administrator Passwort erraten durch Brute Force, jedoch halte ich das für unwahrscheinlich. Selbst dann, wie soll dann Zugriff auf die Datenbank erlangt worden sein? Sicherheitslücken auf dem Webserver? Ich verstehe das nicht. Wer eine Antwort weiß, bitte mal belehren. Danke.
 
@Blackspeed: Hi, es gibt mehrere Wege: 1. Hast du ja schon erwähnt SQL Injection, 2. Passwörter erraten - Was bei Unternehmen schwer sein dürfte, da jeder vernünftige Admin den Zugriff nur von bestimmten IP's/MAC-Adressen erlaubt, 3. Sicherheitslücken z.B. in Apache/MySQL/MSSQL/IIS..., 4. Einschleusen eines Backdoors durch Umleitung beim Update (eher unwarscheinlich, aber möglich), 5. Unsaubere Konfigurationen, welche unter bestimmten Umständen einen Zugriff erlauben, 6. Eine Möglichkeit das Netz lahmzulegen ohne Zugriff zu erhalten wäre z.B. in deren RZ sich Server mieten, DHCP aufsetzen und so konfigurieren, dass er mit dem "echten" DHCP-Server im RZ konkurriert (Wie genau das geht, will ich hier nicht erwähnen, ist aber sehr einfach, wenn die keine ausreichenden Vorkehrungen getroffen haben). Diesen Vorfall gab es schon mal! Ganz gemein ist natürlich, eine zwischengeschaltete/umgeleitete Firewall/Proxy etc., welche den Traffic loggt und sonst nur weiterleitet. Fällt nur selten in paar Stunden/Tagen auf und man kann dadurch fast alles knacken/herausfinden. --> Ich hoffe ich konnte ein wenig helfen ;) EDIT: Wenn es dir nur um das entschlüsseln/rankommen der Daten geht: Datenbank auf eigenen Cluster kopieren und dann mit Bruteforce knacken lassen. Dürfte die einfachste Möglichkeit sein, wenn man das PW nicht kennt und angenommen keine Lücken in der Software sind.
 
@475: Danke, das ist alles sehr interessant.
Zum DHCP verstehe ich nicht, wie das funktionieren soll. Denn normaler Weise sollte doch der Anbieter im RZ seine Kunden von einander trennen (würde ich z.B. mit VLANs machen). Mir ist nicht ganz klar, wie damit ein Erfolg erzielt werden kann. - Aber anscheinend ist es irgendwie möglich, wenn es öfters bereits vorkam. ----
Noch generell zum Verständnis wenn irgendwie Lücken ausgenutzt werden. Wenn eine Lücke ausgenutzt wird, so gehe ich einmal davon aus, so sollte es möglich sein, bestimmten Code auszuführen? Also sozusagen dem Apache einen fremden Code unterschieben, welcher z.B. eine Datenbankabfrage macht. Habe ich das so richtig verstanden? Nehmen wir einmal an, es gibt im Netzwerk einen SQL Cluster, also kein Datenbanksystem auf dem Server selbst, sondern auf externen Maschinen. Woher weiß der Hacker dann die Zugangsdaten des Datenbanksystems? Nach meinem Verständniss würde der Datenbankserver nur Zugriff von ausgewählten Maschinen erlauben, was die Möglichkeit des Hackers eingrenzt. Der Hacker müsste dann die Zugangsdaten, die Adresse des SQL Clusters und die Adresse des eigentlichen Clients (Webserver) kennen. Wenn der Hacker sich also irgendwie in das Netzwerk einklinken könnte, wüsste ich nicht, wie er sich mit dem Datenbanksystem unterhalten könnte. Es muss also direkt vom Webserver aus geschehen, korrekt?
 
@Blackspeed: Wegen dem DHCP: Ich will hier keine Anleitungen reinstellen, wie etwas genau geht. Aber ich kann dir sagen, dass es einfacher ist, als man denkt. --- Es gibt verschiedene Arten von Lücken. Eine der bekanntesten sind Bufferoverflow und SQL Injections --- Die Zugangsdaten und IP's zu den Datenbanken brauchst du am Anfang gar nicht. Hast du Zugriff auf den Webserver, kannst du die Daten unverschlüsselt lesen! Jede Datenbankgestützte Seite hat diese Daten irgendwo stehen. Meist in einer config.php oder ähnlichem. Hat der Betreiber wirklich nichts verstanden, loggt er sich in die Datenbank mit "root" ein. Macht er das, hast du automatisch vollen Zugriff auf alle Daten, die sich darin befinden. Andere Betreiber mit etwas mehr Ahnung machen für jede "Datenbank" einen extra Benutzer mit guten Kennwort. Verteilt der Betreiber aber aus Unwissen oder Fauelheit einem Benutzer mehr Rechte z.B. auch für andere Datenbanken, brauchst du nicht mal Root-Rechte. --- Wenn es der Hacker/Cracker schafft, sich ins Netzwerk einzuklinken, braucht er keinen direkten Zugriff. Es reicht hier die gesendeten Daten zu loggen. Auch wenn diese verschlüsselt sind, können diese geknackt werden. Je mehr Daten fließen, um so schneller wird es auch geknackt. Das setzt aber physischen Zugriff vorraus. --- Les dir mal auf Wikipedia folgendes durch: SQL Injection, Pufferüberlauf, Command-Execution-Exploit, Remote-Exploit. Dürfte einiges erklären.
 
@Blackspeed: Foren und CMS Systeme erhalten ja immer mal Updates. Bei den meisten gibt es dann ein Changelog wo drin steht welche Fehler behoben wurden. Jetzt brauchst du dich nur noch informieren wie du diesen behobenen Fehler ausnutzen kannst und suchst dir dann einen noch nicht aktualisierten Server den du dann "hacken" kannst. Es ist ja nicht so das bei einem Update sofort alle kopien die im Netz eingesetzt werden gleich aktualisiert sind. Das ganze ist meistens auch etwas aufwendiger als z.B. ein Windows Update zu installieren.
 
Ist zur Zeit wohl kein Baggersee-Wetter. Dann gibt es halt Gehacktes in den Ferien, anstatt Sonnenschein.
 
Ich brauche grad mal so ca. 500000 Adressen zum testen, hat jemand einen Ahnung wo die abgelegt sind? :-)
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter