Mitternachtshacking

Nachtrag, weil ich das eben erst gesehen habe … der Hacker von phpbb.com hat exakt dokumentiert, wie er die Webseite zerlegt hat. Die Dateien bei Rapidshare sind natürlich inzwischen blockiert.

Wie durch die Medien bekannt, wurde die Webseite phpbb.com neulich gehackt. Die Angreifer haben Zugriff auf alle Passworthashes bekommen und diese analysiert:

Die Top 20 Liste der verwendete Passwörter:

• 3.03% „123456“
• 2.13% „password“
• 1.45% „phpbb“
• 0.91% „qwerty“
• 0.82% „12345“
• 0.59% „12345678“
• 0.58% „letmein“
• 0.53% „1234“
• 0.50% „test“
• 0.43% „123“
• 0.36% „trustno1“
• 0.33% „dragon“
• 0.31% „abc123“
• 0.31% „123456789“
• 0.31% „111111“
• 0.30% „hello“
• 0.30% „monkey“
• 0.28% „master“
• 0.22% „killer“
• 0.22% „123123“

Die Länge der Passwörter verteilt sich wie folgt:

• 1 character 0.34%
• 2 characters 0.54%
• 3 characters 2.92%
• 4 characters 12.29%
• 5 characters 13.29%
• 6 characters 35.16%
• 7 characters 14.60%
• 8 characters 15.50%
• 9 characters 3.81%
• 10 characters 1.14%
• 11 characters 0.22%

Und weiter in der Statistik:

• 16% of passwords matched a person’s first name
• 14% of passwords were patterns on the keyboard
• 5% of passwords are pop-culture references
• 4% are variations of the word „password“
• 4% of passwords appear to reference things nearby
• 3% of passwords are „emo“ words
• 3% are „don’t care“ words
• 1.3% are passwords people saw in movies/TV
• 1% are sports related

Psychologe müsste man sein. Oder nee, lieber doch nicht. 🙂

Mehr dazu bei DarkReading.

Randbemerkung:

„Die inzwischen an den Gesprächen beteiligten acht Zugangsanbieter würden zwar 95 Prozent des Marktes abdecken, aber eben nicht 100 Prozent.“

steht hier bei Heise.

Interessant. Mir war nicht bewusst, dass es lediglich noch acht relevante Zugangsanbieter gibt und der Rest völlig marginalisiert ist. Das ist ja schlimmer als bei den Mineralölgesellschaften. Erstaunlich eigentlich, dass es da noch Wettbewerb gibt.

Die BackTrack 4 Beta wird von Max und Co. zum Download angeboten. Diesmal als DVD-Image, auf eine CD passen die diversen Tools schon lange nicht mehr drauf. 854 MB hat das ISO-Image, sogar 1 GB das VMware-Image. Na dann Happy Downloading 🙂

„Sie haben nicht das Recht, ein Buch laut vorzulesen“, erklärt der Chef der US-Autorenvereinigung Authors Guild, Paul Aiken, gegenüber dem Wall Street Journal. Dafür ist nach Ansicht der Autoren der Erwerb gesonderter Verwertungsrechte nötig.

(via Heise)

Letzte Woche in der Firewall-Schulung beim Testen des Regelsatzes gehört:

„Geben Sie mir ein Ping. Nur ein Ping, bitte!“

😉

In den letzten Tagen sind über 6000 bisher geheime Dokumente des Congressional Research Service bei Wikileaks aufgetaucht. Der Congressional Research Service ist die Forschungs- und Informationsgruppe des US Congress mit einem Budget von etwas über 100 Millionen USD pro Jahr. In Deutschland gibt es so etwas ähnliches, da nennt sich das „Wissenschaftliche Dienste des Bundestags„. Ein Ärgernis des CRS ist vor allem, dass die dort erstellten Berichte und Empfehlungen zwar qualitativ sehr hochwertig sind, der Öffentlichkeit jedoch nicht zur Verfügung stehen. Einzelne Berichte sind zwar bei OpenCRS aufgetaucht, nicht jedoch komplette Jahresarchive. Wikileaks hat das jetzt ein wenig geändert. Ein paar der Reports sind auch für IT-Security-Leute interessant, den einen oder anderen möchte ich deshalb hier kurz erwähnen.

CRS Report RL31787: Information Operations, Electronic Warfare, and Cyberwar: Capabilities and Related Policy Issues

Der Bericht RL31787 vom 5. Juni 2007 beschäftigt sich mit den Möglichkeiten des US Department of Defense zur elektronischen Kriegsführung. Sehr interessant finde ich bereits die Begrifflichkeiten, die das DoD verwendet:

• DoD Information Operations Core Capabilities
  • Psychological Operations (PSYOP)
  • Military Deception (MILDEC)
  • Operational Security (OPSEC)
  • Computer Network Operations (CNO)
    • Computer Network Defense (CND)
    • Computer Network Exploitation (CNE)
    • Computer Network Attack (CNA)
  • Electronic Warfare (EW)
    • Domination of the Electromagnetic Spectrum
    • Electromagnetic Non-Kinetic Weapons

Das DoD verwendet dafür generell den Überbegriff „Information Operations (IO)“, der Fokus von IO liegt darin, den Entscheidungsprozess des Gegners zu stören bzw. zu beeinflussen. Explizit genannt wird die Beeinflussung von Computersystemen durch Schadprogramme, die Zerstörung von Computersystemen durch Hochenergie-Impulse (vermutlich EMPs) sowie die Störung von Sensoren und Radar.

Die Unterscheidung zwischen Computer Network Exploitation (CNE) und Computer Network Attack (CNA) liegt hauptsächlich darin, dass für die Exploitation die Hackingtools so modifiziert werden müssen, dass die Systeme selbst nicht zerstört werden, gleichwohl aber sensible Daten von diesen Systemen gesammelt werden können (Intelligence Collection). Allerdings scheint es dazu noch keine abschließenden Strategien zu geben (wörtlich: „CNE is an area of IO that is not yet clearly defined within DOD“). Unter CNA dagegen versteht das DoD die Zerstörung der Systeme durch einen geeigneten Datenstrom (vermutlich sind Viren, Trojaner oder andere Exploits gemeint). Die Zerstörung oder Beschädigung durch einen Hochenergie-Impuls wird im Gegensatz dazu als Electronic Warfare (EW) bezeichnet. Electromagnetic Non-Kinetic Weapons sind beispielsweise (meist nicht-lethale) hochenergetische Microwellenemitter, die Schmerzen und Verbrennungen einige Millimeter unter der Hautschicht erzeugen können.

Mein persönlicher Eindruck ist, dass das US-Verteidigungsministerium (noch) zu viel Wert auf technologischen Vorsprung legt. Dazu gehört die Dominanz in wichtigen elektromagnetischen Frequenzbereichen, Mikrowellenwaffen, Elektromagnetische Impulse und in Flugzeugen montierte Laserwaffen (Airborn Laser Weapons). Das klassische Hacking, d.h. Einbrechen in Computersysteme mittels Exploits hat sich noch nicht so recht bis zum Militär durchgesprochen. Vermutlich liegt das auch in der Philosophie des US-Militärs begründet, Gefechte primär mit dem Säbel und weniger mit dem Florett auszufechten.

Zumindest Stand dieses Reports mache ich mir persönlich mehr Sorgen um die hervorragend organisierten staatlichen chinesischen Hacker und weniger um amerikanische Hacker. Aber wie ich schon schrieb: die USA geben solche Aufgaben gerne auch mal in private Hände ab … irgendwo findet sich garantiert ein Schwarzwasserhacker.

Genau so war der Fön im letzten Hotel vor Diebstahl gesichert:

Ich habe eine Weile überlegt, ob ich den benutzen soll!

Soso, die Bundeswehr gründet eine Cyberwar-Einheit, die „Abteilung Informations- und Computernetzwerkoperationen“ schreibt der Spiegel. 76 Mann stark und abgeschottet in einer Kaserne. Das kann nicht funktionieren. Gerade Hacking lebt stark vom Austausch mit anderen, die neue Verfahren entwickeln, Sicherheitslücken analysieren und Ideen ausprobieren. Und eine „geheime“ Bundeswehrtruppe ist ungefähr genau das Gegenteil davon.

Andererseits tut sich mir da eine prima Geschäftsidee auf. Genau wie es in konventionellen Konflikten private Söldnertruppen gibt, beispielsweise die berüchtigte Blackwater, deren Leute neulich erst aus dem Irak rausgeflogen sind, könnte man sich das im Cybewar doch auch vorstellen.

Wenn also dieses Blog hier demnächst unter der URL www.schwarzwasserhacking.de erscheint … 😉

Nachtrag:

Fefe lästert auch schon fleißig 🙂

Die Webseite des Snake Oil- Virenscanner-Herstellers Kaspersky in den USA wurde offensichtlich ein klein wenig gehackt. Genau genommen mittels SQL-Injection komplett übernommen. Inklusive Kundendaten, Vertragsinformationen, License-Keys, etc. Kaspersky hat sich noch nicht dazu geäußert.

Naja, Pech. Das kommt vor. Bei einem IT-Security-Anbieter ist das natürlich doppelt peinlich. Aber trotzdem, das kommt vor. Im Grunde zeigt das nur meine alte Leier, dass Webseiten und Webapplikationen viel zu oft von Schnarchnasen erstellt werden, die HTML für eine Programmiersprache halten.

Es zeigt aber auch noch etwas anderes … Kaspersky war auf so einen Vorfall in keinster Weise vorbereitet. Das zeugt entweder von einiger Überheblichkeit („uns passiert so etwas nicht“) oder schlichter Ignoranz („wir kümmern uns, wenn es soweit ist“). Und das macht mir mehr Sorge denn es zeigt, wie wenig Risikomanagement bei Kaspersky ausgeprägt ist. Risikomanagement besteht nämlich nicht nur daraus, zu bewertet wie gefährlich z.B. der Betrieb einer Webapplikation ist sondern auch daraus, Vorkehrungen für den Fall der Fälle zu treffen, um die Schadensauswirkungen zu minimieren.

Man könnte beispielsweise Kundendaten auf verschiedene Datenbanken verteilen, ein Zugriff auf eine Datenbank gibt dann noch nicht direkt alle Informationen heraus. Typische Aufteilung ist eine Datenbank zur Nutzerauthentisierung und eine zweite Datenbank mit den eigentlichen Kundendaten. Man könnte auch eine interne Sprachregelung vorbereiten um aktiv mit Informationen an die Medien zu gehen, bevor sich so ein Ereignis verselbständigt und offizielle Medien sowie Blogger wild über Ursachen und Folgen spekulieren. Bei Marketingfritzen nennt man das wohl die Informationshoheit zu behalten. Jedenfalls dürfte Kaspersky einiges zu tun haben, um dieses Ereignis intern vernünftig aufzuarbeiten.

(via Fefe, Heise)