Beiträge mit dem Tag ‘sicherheit’

Mifare Exploit erschienen

27. Oktober 2008

Wie heise Security berichtet, ist der erste Mifare Exploit aufgetaucht. Ein Hacker namens “Bla” hat ein in der Programmiersprache C geschriebenes Tool veröffentlicht mit dem sich innerhalb von rund zwei Sekunden der Zugriffsschlüssel einer Mifare-Classic-Karte errechnen lässt. Für einen erfolgreichen Hack wird lediglich der Mitschnitt einer Funkverbindung zwischen Karte und Lesegerät benötigt.

Wer die Diskussion der letzten Wochen – insbesondere in div. Podcasts – verfolgt hat, wird vermutlich ahnen woher das nun veröffentlichte Tool stammt.

Siehe auch: “Mifare-Hack” – Uni Essen sieht aktuell keinen Handlungsbedarf

Keine Kommentare »

Geschrieben in Netzwelt, Ticker

Tags:

WordPress und die geheimen Schlüssel

15. August 2008

Mit der Version 2.5 wurde in WordPress ein “Secret Key” eingeführt, der für eine bessere Absicherung der Daten in Cookies sorgen soll. Damit sollen Benutzerdaten stärker gegen Angriffe abgesichert werden. Der “Secret Key” agiert dabei wie ein sog. “Salt”.

Was ist ein Salt?
Ein Salt ist eine (meistens zufällige) Zeichenkette die eine bestehende Zeichenkette (z.B. ein Passwort) um Zufälligkeit erweitert. Das bekannteste Beispiel hierfür sind Passwörter. Diese werden i.d.R. als MD5-Hash-Wert in der Datenbank gespeichert. Wenn sich ein Benutzer anmeldet, wird das eingegebene Passwort “gehasht” und mit dem Wert in der Datenbank verglichen. Da Hash-Werte aber deterministisch sind, lässt sich (bei einem einfachen Passwort) über eine Brute-Force-Attacke ein Passwort “realtiv” einfach ermitteln. Deshalb wird das Passwort mit einem zufälligen Wert (dem Salt) erweitert, danach “gehasht” und dann erst in der Datenbank gespeichert. Somit lässt sich auch ein schwaches Passwort “relativ” sicher in der Datenbank speichern.

Salt in WordPress
Wie bereits erwähnt, wird dieses Verfahren seit WordPress 2.5 auch für Cookie-Daten verwendet. Zunächst wurde nur ein zufälliger Wert verwendet. Ab WordPress 2.6 sind es drei Werte. Diese werden in der Datein wp-config.php (im Root-Ordner der WordPress-Installation) festgelegt. Damit die Werte so zufällig wie möglich sind, gibt es auf den WordPress-Seiten einen Key-Generator, von dem man die Einträge kopieren und direkt in die wp-config.php einfügen kann. Allerdings produziert der Key-Generator für die zufälligen Werte u.U. auch Escape-Zeichen, die zu PHP-Parse-Fehlern führen können (war bei mir zweimal der Fall). Wer ähnliche Probleme hat, sollte deshalb auf alphanumerische Zeichen zurück greifen. Einen entsprechenden Key-Generator findet man z.B. hier.

Es ist sehr wichtig, dass man die “Secret-Keys” nach der Installation mit zufälligen Werten füllt, da man sonst den Standardwert “put your unique phrase here” verwendet.

Vielen Dank an Jens, der mich mit seinem Beitrag darauf gebracht hat, mir das Ganze noch einmal im Detail anzusehen.

2 Kommentare »

Geschrieben in Kommentar

Tags:

Lesetipp: aktuelle iX

23. Mai 2008

Wer sich für Web-und Systemsicherheit sowie für Ruby on Rails interessiert, dem kann ich die aktuelle Ausgabe (06/2008) der iX empfehlen. Dort findet man einen sehr guten Artikel über Metasploit, einem Open-Source Projekt zur Sicherheitsanalyse in Netzwerken. Außerdem einen Bericht über Goolag, einem Sicherheitswerkzeug, dass nach Schwachstellen und verräterischen Informationen in Webauftritten sucht. Und zu guter letzt den ersten Teil einer dreiteiligen Serie zum Einstieg in Ruby on Rails.

Den Artikel über Goolag gibt es mittlerweile auch online.

Keine Kommentare »

Geschrieben in Kommentar, Tipp

Tags:

WordPress sicher installieren und einrichten

1. November 2007

Anfang Oktober wurde auf BlogSecurity das WordPress Whitepaper veröffentlicht. Hierbei handelt es sich um eine Sammlung von Tipps und Tricks für eine sichere WordPress Installation und Konfiguration. Das Whitepaper hält durchaus einige nützliche Hinweise für Anfänger, als auch für Profis bereits. Nach Absprache mit David Kierznowski von BlogSecurity habe ich das Whitepaper ins deutsche übersetzt, und stelle es nun zum Download bereit.

Download WordPress Whitepaper by BlogSecurity.org (DE) – PDF – 220 Kbyte

1 Kommentar »

Geschrieben in WordPress

Tags:

Ungewolltes DSL-Netzwerk [UPDATE]

22. Juli 2007
DSL Modem

Normalerweise sollte man davon ausgehen, dass alles was auf der Strecke zwischen dem eigenem DSL-Modem und dem Internet liegt, einer gewissen Grundsicherheit unterliegt. Schließlich handelt es sich hierbei um die mehr oder weniger geschlossene Hard- und Software des gewählten DSL-Providers. Doch gerade in diesem Bereich kann es bei Next-Generation-Network (NGN) Anbietern zu eklatanten Sicherheitslücken kommen, wie die c’t in ihrer aktuellen Ausgabe berichtet.

Aufgegriffen wird der Extremfall eines DSL-Benutzers, der in seiner Netzwerkumgebung plötzlich einen PC entdeckte, den er nicht besaß und auch nicht kannte. Umso größer war die Verwunderung des Nutzers, als er feststellen musste, das auf dem fremden PC eine große Sammlung an Kinderpornografie gespeichert war, die über seine Internet-Verbindungs-Freigabe fleißig erweitert wurde. Umgehend meldet der DSL-Benutzer diesen Vorfall der Polizei, welche sofort tätig wurde. In Zusammenarbeit mit den Technikern des Providers wurde das Problem ausgiebig analysiert um den Sachverhalt eindeutig darzulegen. Der vermeintliche Mit-Surfer wurde zur Anklage gebracht.

Der Fehler für das ungewünschte Netzwerk lag in einem Zugangsswitch, der zwischen dem DSL-Modem in der Vermittlungsstelle (DSLAM), und dem sog. Access-Concentrator (welcher die Verbindung ins Internet herstellt) liegt. Dieser Switch sollte normalerweise so konfiguriert sein, dass die einzelnen Teilnehmer voneinander gar nichts mitbekommen. In diesem Fall führte die Fehlkonfiguration aber dazu, dass eine Verbindung der beiden PCs untereinander möglich war. Der betroffene Provider Alice reagierte sofort und behob das Problem umgehend.

Um sich vor solchen Gefahren zu schützen, reicht schon ein handelsüblicher Router. Dieser trennt vor Ort noch einmal die Netzwelt des Providers und die des lokalen Netzes. Nutzer, die direkt über das DSL-Modem ins Internet gehen, sollten darauf achten, dass in ihrerer Windows-LAN-Verbindung alle Protokolle ausgeschaltet sind, in dem alle Häkchen in den Eigenschaften werden.

Kommentar
Beim Lesen des Artikels, habe ich mir die gleiche Frage gestellt, die die c’t am Ende auch aufwirft: in wie weit lässt sich aufgrund dieser Sachlage noch die IP-Adresse des Nutzer, z.B. zu Strafverfolgung, verwenden? Der beschriebene Fall war ein Extrem, zeigt aber, dass man ungewollt und völlig ahnungslos in etwas verwickelt werden kann. Gerade in Verbindung mit der geplanten Vorratsdatenspeicherung kann der Ärger dann groß werden.

via: c’t, Ausgabe 16/2001, Seite 162-164
Eine kurze Zusammenfassung des Artikels ist bereits online. Auch golem.de hat dazu einen Artikel verfasst.

[UPDATE]
golem.de hat noch einige Hintergrundinformationen nachgereicht.

2 Kommentare »

Geschrieben in Kommentar, Netzwelt

Tags:

svenkubiak.de defaced [2. UPDATE]

12. Juli 2007

Gestern gegen Nachmittag muss es passiert sein: svenkubiak.de wurde defaced. Bis in die späten Abendstunden schmückte daraufhin eine sehr mäßige indonesische Seite meine Domain. Schuld an dem Ganzen war das bekannte Bildergalerie Plugin “myGallery” bzw. ich, den das Plugin wurde seit der Installation nicht einzig mal von mir geupdated, so dass noch die Version 1.2 lief (aktuell: 1.4b10). Der Angreifer nutze eine Schwachstelle in der Datei mygallerybrowser.php um Code nachzuladen und das Defacement durchzuführen. Darüberhinaus wurde mein Blog gestern mit Anfrage an das Script regelrecht bombardiert. Es war also nur eine Frage der Zeit, bis jemand durch kommt. Ich empfehle deshalb sehr dringend jedem Nutzer von myGallery regelmäßig ein Update auf die aktuelle Version durchzuführen.

Ein größerer Schaden scheint nach einer ersten Analyse nicht entstanden zu sein. Die Datenbank sieht gut aus und verdächtige Dateien konnte ich nicht entdecken. Ich habe mich dennoch dazu entschlossen myGallery nicht weiter zu benutzten. Zum einen ist die aktuellste Version noch im Beta-Stadium und nach dem Update funktionierte das Plugin mehr schlecht als recht. Letzteres wird vermudlich am großen Versionssprung liegen.

Bei meinen Recherchen bin ich auf die Seite BlogSecurity gestoßen, auf der es, neben einer aktuellen Liste mit WordPress/Plugin Schwachstellen, auch einen WordPress Vulnerability Scanner gibt, mit dem man Schwachstellen im Blog auswerten kann.

Übrigens, selbst populäre Seiten wie Spreeblick wurden bereits defaced. Von daher war ich gestern eher amüsiert als verärgert. Allerdings war mir dies auch eine Warnung, mit dem Update meiner Plugins genauso sorgsam umzugehen, wie ich es mit allen anderen Updates auch mache.

[UPDATE]
Wie ich bereits in dem Kommentaren angemerkt habe, halte ich myGallery nach wie vor für ein sehr geniales Plugin. Die Entscheidung das Plugin nicht mehr zu benutzten beruht primär auf fehlender Zeit (ein Update schien nicht so einfach möglich) und hat in erster Linie nichts mit der beschriebenen Schwachstelle zu tun. Ich gehe davon aus, dass das Plugin bei entsprechend Bugs regelmäßig aktualisiert wird (siehe ebenfalls Kommentare).

[2. UPDATE]
Sollte es mal zu einem Angriff kommen, empfehle ich alle Dateien auf dem Webspace mit einem Virenscanner zu scannen und nach verdächtigen Dateien zu suchen. Fast durch Zufall habe ich gerade eine Shell-Backdoor gefunden. Wer auf Nummer sicher gehen will, löscht seinen Webspace komplett und installiert WordPress neu. Eine Änderung aller relevanten Passwörter ist obligatorisch.

11 Kommentare »

Geschrieben in Netzwelt, WordPress

Tags: