Russische Hacker....

[londo]

kompromitieren laut off. Angaben mehr als 400.000 Webseiten und stehlen wohl eine unbestimmte Anzahl an Zugangsdaten.
Letzte Meldung die ich gehört habe, sind es laut US Sicherheitsbehörden mehr als 1 Milliarde Zugangsdaten.

habs nur im Radio gehört, da ich den ganzen tag unterwegs war.
hat schon jemand vielleicht weitere Infos? z.b. Vorgehensweise etc.

[Xin]

Viele Informationen gibt's dazu noch nicht.

Angegriffen wurde wohl ziemlich alles, was an großen Firmen da war. Nicht zu unterschätzen sind aber auch Standard-Installation, die vielleicht wenig User, aber dafür häufig im Netz anzutreffen sind - wie dieses Forum beispielsweise. Findet man einen sicherheitsrelevanten Fehler in der Forensoftware und dieses Forum, könnte man die Daten auslesen.

Vorgehensweise? Business as usual: Sich fragen, welche E-Mailadressen betroffen sind, Passwörter ändern (im Idealfall nicht auf alte Passwörter, denn vermutlich sind die Daten, die sich dort angesammelt haben auch nicht alle superfrisch, sondern enthalten auch veraltete Passwörter).

Ich nutze für (fast) jede Website eine eigene Mailadresse und habe mehrere Passwörter, die ich nach Sicherheitsbedürfnis zusammenfasse. Das Root-PW des proggen.org Servers ist z.B. einmalig, mein Passwort für den Useraccount nutze ich auch zu Hause, das Passwort für Shopping-Websiten unterscheidet sich vom Passwort, dass ich für Foren nutze.

Viel mehr kann man wohl nicht tun, denn eine Garantie für Sicherheit gibt es nie.

[londo]

jup hast du vollkommen recht...business as usual;-)

hab mich jetzt auch mal damit beschäftigt.
also erstmal der hot news fanatismus in deutschland hat wohl kaum konkurrenten:-)

ich hab das heute das erste mal im Radio gehört, dort wurde gesagt: russische Hacker haben hunderttausende Webseiten angegriffen und dabei mehrere millionen passwörter....
also im sinne von Attacke ist gerade erst passiert. daher auch meine frage, wie die vorgehensweise gewesen sein könnte.

jetzt hab ich bei Golem gelesen.
das es sich dabei um eine gewachsene DB mit zugangsdaten handle, und wohl die meisten Daten aus SQL-Injection attacks stamme, die mittels bot als SQL Injection fähig markiert wurden und die eigendliche attacke dann später durchgeführt wurde.

was mich allerdings nachdenklich macht is das vorgehen der Sicherheitsfirma die die DB entdeckt hatte.
die sollen dann ein Service geschalten haben, wo man für 120€/monat informiert werden würde ob Zugangsdaten in dieser DB aufgenommen wurden. und erst auf nachfrage einiger Redaktionen(NY Times, Wash. Post, etc) wurde dieser service gelöscht und per Mail mitgeteilt das es sich um 120€ p.a. gehandelt habe. und die 10€/monat quasi die bearbeitungsgebühr darstelle.

[cloidnerux]

Bei jeder Website bei der man sich anmeldet muss man sich fragen: "Wie wir mein Passwort gespeichert?".
Ist es im Klartext, als Hash, als Hash mit Salt, als etwas anderes?
Ist die Website des netten Blumenhändlers nebenan vertrauenswürdig bezüglich Sicherheit?

Ich habe mehrere Passwörter. Zwei für unsichere Websiten die nichts relevantes bieten. Einfache Foren, nicht vertrauenswürdige Websiten. Dafür sind die Passwörter auch sehr einfach. Besser bald in einer Wörterbuch Attacke gefunden werden als neue Passwörter zu veröffentlichen.

Bei dem Rest nutze ein Passwort System, bei dem seitenspezfisch ein bestimmter Suffix oder Präfix an ein standard Passwort angehängt wird. Damit ist die Gefahr von Wörterbuchattacken sehr viel geringer und ich muss mir nur ein Basis Passwort merken.

[Xin]

Bei jeder Website bei der man sich anmeldet muss man sich fragen: "Wie wir mein Passwort gespeichert?".
Ist es im Klartext, als Hash, als Hash mit Salt, als etwas anderes?

Zu Passwörtern bei proggen.org:

proggen.org betreibt drei Dienste, für die man sich authentifizieren muss.

Das Forum ist ein phpBB3. Die Passwörter landen in einer MySQL-DB und sind gehasht. Im Quelltext von phpBB finden sich Funktionen, die ein Salt erzeugen. Die genaue Funktionsweise habe ich nicht untersucht.

Dokuwiki speichert die Passwörter ebenfalls gehasht auf der Festplatte. Ebenfalls finden sich Funktionen im Quelltext, die Salts erzeugen, auch hier habe ich die genaue Funktionsweise nicht untersucht.

Subversion speichert die Passwörter in Klartext auf der Festplatte. Die Passwörter werden in der Regel von mir vergeben, weil ich eure Passwörter gar nicht kennen möchte. Sie sind aber in der Regel aber verhandelbar.

[londo]

Ich habe mehrere Passwörter

ja aber das problem is ja, das sich warscheinlich 0,01% alle Internet(weltweit) User damit beschäftigen.
dem rest isses egal, bis dann sowas passiert. dann sind wieder alle schuld. Die Provider, Die Firewallhersteller, Microsoft, etc. aber selbst is alles richtig gelaufen.

kann ich mal ne anekdote aus mein pers. Umfeld erzählen.
treffe einen Bekannten, der erzählt mir hat richtig probleme mit seim Rechner...lange rede...frag ihn was er benutzt., antowrt:linux!
ich welche Distro? antwort: was?
ich: welches Linux? er: keine ahnung, mach das nur an. da krieg ich immer error meldungen etc.
ich: hast schon geschaut welche prozesse laufen? antwort: nein wie geht das?
ich: shell öffnen und ps -aux eingeben antwort: mit welchem befehl öffne ich die shell?
ich: wie lange nutzt du Linux? antwort: 6 jahre!
gespräch beendet.

6 jahre und nie eine shell geöffnet! eigendlich reif fürs guinessbuch.
zu meiner zeit als Kundensupporter(Hardware, Software) hab ich schon viel schräges erlebt, aber er war das absolute highlight.

[nouseforname]

6 jahre und nie eine shell geöffnet! eigendlich reif fürs guinessbuch.

<offtopic on>
Man kann Linux OHNE Shell nutzen? Wo ist da der Sinn?
<offtopic off>

[londo]

verstehen konnt ich es auch nich wirklich.
hab ihn dann 2-3 wochen später nochmal befragt was er denn mit linux mache, oder was er macht wenn etwas nicht geht.
er nutzt es nur fürs internet und wenn etwas nicht geht dann is das halt so und er lebt dann damit.
auf die frage warum er sich für linux entschieden hatte. ein freund hatte ihm gesagt er solle windows sein lassen, da gibt es nur schadsoftware die ihm das leben schwer machen.
diese probleme gäbe es bei linux nicht! <--- na wenn das mal kein statement ist hehe

[cloidnerux]

ja aber das problem is ja, das sich warscheinlich 0,01% alle Internet(weltweit) User damit beschäftigen.

Aber die können mir egal sein. Ich habe mit den 99.99% der Leute nichts zu tun.
Was ich aber mal im Rahmen der Diskussion erwähnen will ist gutes und sinnvolles Passwortmanagement, damit sich jeder interessierte bessern kann.

Und so gesehen macht es mitunter sinn, dass selbe einfache Passwort für all die wertlosen ungeschützten Seiten zu verwenden. Wofür ein sicheres Passwort, damit man in einem Forum mal ein Bild anschauen kann?

Aber auf der anderen Seite hat man auch viel wichtiges und kritisches. Man sollte sich mal vorstellen, was man alles mit einem gekaperten Email-Account machen kann: Passwort resets, Bestellungen uvm.
Und jetzt mal daran denken was passiert, wenn das super sichere 20 stellige general-Passwort auf Seite XY im Klartext in einer Standardinstalltion von veraltetn MySQL und Apache versionen lagert.

verstehen konnt ich es auch nich wirklich.
hab ihn dann 2-3 wochen später nochmal befragt was er denn mit linux mache, oder was er macht wenn etwas nicht geht.
er nutzt es nur fürs internet und wenn etwas nicht geht dann is das halt so und er lebt dann damit.

Die Frage ist doch, wie er auf Linux gekommen ist.
Ich hab auf dem Rechner meiner Tante Linux installiert, zum einen weil sie jeden Cent spart den man sparen kann, zum anderen weil ich mich so nicht um standard Viren oder Malware gedanken machen muss. Alles wird auf einmal geupdated(Dank Paketmanager). Für mich als Familien-SysAdmin ist das super.

[darksider3]

Außerdem muss man anmerken, dass die Zahl erstmal nur groß klingt, aber gar nicht soo übel ist. Wenn wir jetzt mal davon ausgehen, dass das alles nur Mail-Accounts sind: Ich habe in meiner Zeit, während ich im Inet bin, sicher schon 300 Mailaccounts angelegt(298 davon sind Mülladressen, die ich nur ein einziges mal "abgerufen" habe). Wenn jetzt jeder min. 10 Accounts hat, dann ist nur noch ein Zwanzigstel des Internets betroffen.

So wie die solch Attacken eig. ständig passieren - es gibt riesige Datenbanken, die größer sind als diese "Attacke", die auch immer weiter verkauft werden(siehe bsp. im Tornet, das HackBB oder die Paypal-Kapercrews).

... zu guter letzt muss man aber durchaus auch sagen, dass dies doch irgendwo stinkt. Gerade jetzt finden Sicherheitsforscher dass heraus. Ich sage euch, irgenwdann wird folgendes kommen: "Mit hilfe der von uns gesammelten Daten[..] konnten wir die Verursacher ausfindig machen." - und auch, dass diese durchsagen in keinem Fall bestätigt wurden. Mir fehlt so'n bisschen das Hinterfragen an dieser Stelle, weil es gerade zur passenden Zeit kommt.

MfG