Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Cisco: Schwache Passwort-Hashes

Gefahr?

  1. Thema

Neues Thema Ansicht wechseln


  1. Gefahr?

    Autor: xri12 20.03.13 - 12:29

    Welche Gefahr entsteht denn durch den unsicheren Passworthash?
    Im Normalfall sollten die Geräte physikalische so gesichert sein, das niemand einfach mal die Config auslesen kann und wenn jemand per Telnet/SSH in das Gerät ein gebrochen ist, dann hat er ja bereits das Passwort.

    Ich könnte mir nur vorstellen, dass ein Einbruch mit einem User stattfindet, der beschränkte rechte hat und nur die Config auslesen kann...

  2. Re: Gefahr?

    Autor: Jolla 20.03.13 - 12:54

    So dramatisch find ich das jetzt auch nicht. Aber es gibt ja genug Firmen, die irgendeinen Unsinn implementieren und dann kann sowas schon blöd sein. Wenn du zB überall lokal authentifizierst und jemand bekommt, aus welchen Gründen auch immer, eine Config in die Hand, kann er das Passwort ermitteln und hat fortan Zugriff auf alle oder viele Systeme.
    Wenn man's richtig macht, ist die Eintrittswahrscheinlichkeit eher gering.

  3. Re: Gefahr?

    Autor: hannob 20.03.13 - 13:10

    Die Gefahr besteht halt darin, dass viele Leute an vielen Stellen das selbe Passwort benutzen.

    D.h. ein gehackter Router bedeutet möglicherwese: Viele gehackte Accounts.

    Aber ja, eine "Riesensache" ist es nicht. Brisant daran ist halt, dass Cisco das neuere Verfahren angepriesen hat um das vorgeblich schwächere MD5-basierte Verfahren zu ersetzen.

  4. Re: Gefahr?

    Autor: Draco2007 20.03.13 - 13:27

    Jolla schrieb:
    --------------------------------------------------------------------------------
    > Wenn man's richtig macht, ist die Eintrittswahrscheinlichkeit eher gering.

    Und wieso macht es CISCO nicht gleich richtig?
    Dann kann der Fall ja sogar eintreten und es passiert nichts weiter.

  5. Re: Gefahr?

    Autor: bassfader 20.03.13 - 13:37

    Noch brisanter finde ich dass ein großes Telekommunikationsunternehmen wie Cisco, das wer weis wie viele andere mit Technik ausstattet und berät, es nicht schafft einen halbwegs sicheres Passwort-Hash-Verfahren zu entwerfen und zu implementieren.

    Und schlimmer noch, das so ein Unternehmen scheinbar nicht mal die nötige QA hat um solche Fehler vor ihrer Veröffentlichung zu finden und zu beseitigen. Ich meine da müsste ja nur jemand mit etwas Ahnung mal über das Lastenheft oder den Code sehen und das sollte ziemlich schnell auffallen. Oder man schaut einfach mal in die Datenbasis (sei es jetzt eine Datei oder Datenbank), da sollte sofort auffallen dass die "Salt" Spalte irgendwie fehlt...

  6. Re: Gefahr?

    Autor: rembrandt 20.03.13 - 13:50

    xri12 schrieb:
    --------------------------------------------------------------------------------
    > Welche Gefahr entsteht denn durch den unsicheren Passworthash?
    > Im Normalfall sollten die Geräte physikalische so gesichert sein, das
    > niemand einfach mal die Config auslesen kann und wenn jemand per Telnet/SSH
    > in das Gerät ein gebrochen ist, dann hat er ja bereits das Passwort.
    >
    > Ich könnte mir nur vorstellen, dass ein Einbruch mit einem User
    > stattfindet, der beschränkte rechte hat und nur die Config auslesen kann...

    Die Gefahr besteht nicht bei einzelnen Geräten sondern bei großen Installationen wo Konfigurationsdatein auch via BackUps außerhalb der technischen Geräte aufbewahrt wird. Diese Methodik wird benutzt um schnell neue Geräte zu konfigurieren bzw. bei kompletten Ausfällen einen z.B. HA Firewallclusters Ersatzgeräte zu konfigurieren.

    Die Problematik besteht dabei bei allen "namenhaften" Herstellern. So z.B. auch bei Juniper.

    Als Sicher kann derzeit eigentlich Blowfish angesehen werden da es GPU-unfreundlich ist.
    Twofish wäre sicherlich auch ein guter Ansatz oder AES mit 256Bit. Es gibt keinen logischen Grund ein schnelles oder hardwarefreundliches Verfahren zu benutzen denn offen gefragt: Wie oft meldet sich jemand an einem Core-Switch an oder ändert etwas an einem BGP Router? Die paar Sekunden welche eine Anmeldung dauern würde kann bei diesen Geräten eigentlich jeder warten.

    Das steht im Kontrast zu z.B. diesem Forum. Würde man hier mehrere Sekunden warten müssen würde dahingehend die empfundene Benutzerfreundlichkeit leiden.

    Die Gefahr bei einem nicht wirklich sicherem Verfahren liegt allein bei dem Fakt der üblichen Arbeitsweise bei großen Unternehmen. Ein Einbruch durch Dritte durch die Konfigurationsdatein kopiert werden würden wäre das größte Risiko.

    Aufgrund meiner Arbeit kann ich sagen, dass Backup-Server nicht als die wirklich abgesichersten Netzwerkteilnehmer gelten. Jede weitere Implizierung dürfte sich damit erschließen.


    Kind regards,
    Rembrandt

    p.s.
    Gruß an "Atom"

  7. Re: Gefahr?

    Autor: Jolla 20.03.13 - 18:07

    Draco2007 schrieb:
    --------------------------------------------------------------------------------
    > Jolla schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Wenn man's richtig macht, ist die Eintrittswahrscheinlichkeit eher
    > gering.
    >
    > Und wieso macht es CISCO nicht gleich richtig?
    > Dann kann der Fall ja sogar eintreten und es passiert nichts weiter.

    Woher soll ich wissen wieso Cisco da einen Fehler macht. Mit "Wenn man's richtig macht" meinte ich auch eher die eigene Implementierung. Sprich eine zentrale, personenbezogene Authentifizierung über Radius oder besser Tacacs+. Lokale Passwörter und wahrscheinlich noch auf allen Systemen das gleiche ist eher...unglücklich. Sowas kann man als Backup machen falls mal der Radius nicht erreichbar ist oder sowas.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Technische Universität Darmstadt Hochschulrechenzentrum, Darmstadt
  2. SKF GmbH, Schweinfurt
  3. Fraunhofer-Institut für Optronik, Systemtechnik und Bildauswertung IOSB, Karlsruhe
  4. Vodafone GmbH, Düsseldorf

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (-75%) 3,25€
  2. 2,99€
  3. 2,22€
  4. 39,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Bethesda: Ich habe TES Blades für 5,50 Euro durchgespielt
Bethesda
Ich habe TES Blades für 5,50 Euro durchgespielt

Rund sechs Wochen lang hatte ich täglich viele spaßige und auch einige frustrierende Erlebnisse in Tamriel: Mittlerweile habe ich den Hexenkönig in TES Blades besiegt - ohne dafür teuer bezahlen zu müssen.
Ein Bericht von Marc Sauter

  1. Bethesda TES Blades erhält mehr Story-Inhalte und besseres Balancing
  2. Bethesda TES Blades ist für alle verfügbar
  3. TES Blades im Test Tolles Tamriel trollt

Zulassung autonomer Autos: Der Mensch fährt besser als gedacht
Zulassung autonomer Autos
Der Mensch fährt besser als gedacht

Mehrere Jahre haben Wissenschaftler und Autokonzerne an Testverfahren für einen Autobahnpiloten geforscht. Die Ergebnisse sprechen für den umfangreichen Einsatz von Simulation. Und gegen den schnellen Einsatz der Technik.
Von Friedhelm Greis

  1. Mercedes-Sicherheitsstudie Wenn das Warndreieck autonom aus dem Auto fährt
  2. Einride T-Pod Autonomer Lkw fährt in Schweden Waren aus
  3. Ingolstadt Audi vernetzt Autos mit Ampeln

Sicherheitslücken: Zombieload in Intel-Prozessoren
Sicherheitslücken
Zombieload in Intel-Prozessoren

Forscher haben weitere Seitenkanalangriffe auf Intel-Prozessoren entdeckt, die sie Microarchitectural Data Sampling alias Zombieload nennen. Der Hersteller wusste davon und reagiert mit CPU-Revisionen. Apple rät dazu, Hyperthreading abzuschalten - was 40 Prozent Performance kosten kann.
Ein Bericht von Marc Sauter und Sebastian Grüner

  1. Open-Source Technology Summit Intel will moderne Firmware und Rust-VMM für Server
  2. Ice Lake plus Xe-GPGPU Intel erläutert 10-nm- und 7-nm-Zukunft
  3. GPU-Architektur Intels Xe beschleunigt Raytracing in Hardware

  1. Suunto 5: Sportuhr mit schlauem Akku vorgestellt
    Suunto 5
    Sportuhr mit schlauem Akku vorgestellt

    Es gibt neue Konkurrenz für die Sportuhren von Garmin und Polar: Nun stattet auch Suunto sein neues Mittelklassemodell mit einem GPS-Chip von Sony aus, der besonders wenig Energie benötigt. Für immer ausreichende Akkuleistung hat sich der Hersteller einen weiteren Kniff überlegt.

  2. Ceconomy: Media Markt/Saturn will Amazon-Preise unterbieten
    Ceconomy
    Media Markt/Saturn will Amazon-Preise unterbieten

    Media Markt/Saturn erhält ein neues zentrales Preissystem. Durch Analyse der Konkurrenz und KI will die Handelskette den Wettbewerbern stets einen Schritt voraus sein.

  3. Computergeschichte: Unix hinter dem Eisernen Vorhang
    Computergeschichte
    Unix hinter dem Eisernen Vorhang

    Während sich Unix in den 1970er Jahren an westlichen Universitäten verbreitete, war die DDR durch Embargos von der Entwicklung abgeschnitten - offiziell zumindest. Als es das Betriebssystem hinter den Eisernen Vorhang schaffte, traf es schnell auf Begeisterte.


  1. 12:30

  2. 12:07

  3. 12:03

  4. 11:49

  5. 11:27

  6. 11:16

  7. 11:00

  8. 10:40