Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Cisco: Schwache Passwort-Hashes

Gefahr?

  1. Thema

Neues Thema Ansicht wechseln


  1. Gefahr?

    Autor: xri12 20.03.13 - 12:29

    Welche Gefahr entsteht denn durch den unsicheren Passworthash?
    Im Normalfall sollten die Geräte physikalische so gesichert sein, das niemand einfach mal die Config auslesen kann und wenn jemand per Telnet/SSH in das Gerät ein gebrochen ist, dann hat er ja bereits das Passwort.

    Ich könnte mir nur vorstellen, dass ein Einbruch mit einem User stattfindet, der beschränkte rechte hat und nur die Config auslesen kann...

  2. Re: Gefahr?

    Autor: Jolla 20.03.13 - 12:54

    So dramatisch find ich das jetzt auch nicht. Aber es gibt ja genug Firmen, die irgendeinen Unsinn implementieren und dann kann sowas schon blöd sein. Wenn du zB überall lokal authentifizierst und jemand bekommt, aus welchen Gründen auch immer, eine Config in die Hand, kann er das Passwort ermitteln und hat fortan Zugriff auf alle oder viele Systeme.
    Wenn man's richtig macht, ist die Eintrittswahrscheinlichkeit eher gering.

  3. Re: Gefahr?

    Autor: hannob 20.03.13 - 13:10

    Die Gefahr besteht halt darin, dass viele Leute an vielen Stellen das selbe Passwort benutzen.

    D.h. ein gehackter Router bedeutet möglicherwese: Viele gehackte Accounts.

    Aber ja, eine "Riesensache" ist es nicht. Brisant daran ist halt, dass Cisco das neuere Verfahren angepriesen hat um das vorgeblich schwächere MD5-basierte Verfahren zu ersetzen.

  4. Re: Gefahr?

    Autor: Draco2007 20.03.13 - 13:27

    Jolla schrieb:
    --------------------------------------------------------------------------------
    > Wenn man's richtig macht, ist die Eintrittswahrscheinlichkeit eher gering.

    Und wieso macht es CISCO nicht gleich richtig?
    Dann kann der Fall ja sogar eintreten und es passiert nichts weiter.

  5. Re: Gefahr?

    Autor: bassfader 20.03.13 - 13:37

    Noch brisanter finde ich dass ein großes Telekommunikationsunternehmen wie Cisco, das wer weis wie viele andere mit Technik ausstattet und berät, es nicht schafft einen halbwegs sicheres Passwort-Hash-Verfahren zu entwerfen und zu implementieren.

    Und schlimmer noch, das so ein Unternehmen scheinbar nicht mal die nötige QA hat um solche Fehler vor ihrer Veröffentlichung zu finden und zu beseitigen. Ich meine da müsste ja nur jemand mit etwas Ahnung mal über das Lastenheft oder den Code sehen und das sollte ziemlich schnell auffallen. Oder man schaut einfach mal in die Datenbasis (sei es jetzt eine Datei oder Datenbank), da sollte sofort auffallen dass die "Salt" Spalte irgendwie fehlt...

  6. Re: Gefahr?

    Autor: rembrandt 20.03.13 - 13:50

    xri12 schrieb:
    --------------------------------------------------------------------------------
    > Welche Gefahr entsteht denn durch den unsicheren Passworthash?
    > Im Normalfall sollten die Geräte physikalische so gesichert sein, das
    > niemand einfach mal die Config auslesen kann und wenn jemand per Telnet/SSH
    > in das Gerät ein gebrochen ist, dann hat er ja bereits das Passwort.
    >
    > Ich könnte mir nur vorstellen, dass ein Einbruch mit einem User
    > stattfindet, der beschränkte rechte hat und nur die Config auslesen kann...

    Die Gefahr besteht nicht bei einzelnen Geräten sondern bei großen Installationen wo Konfigurationsdatein auch via BackUps außerhalb der technischen Geräte aufbewahrt wird. Diese Methodik wird benutzt um schnell neue Geräte zu konfigurieren bzw. bei kompletten Ausfällen einen z.B. HA Firewallclusters Ersatzgeräte zu konfigurieren.

    Die Problematik besteht dabei bei allen "namenhaften" Herstellern. So z.B. auch bei Juniper.

    Als Sicher kann derzeit eigentlich Blowfish angesehen werden da es GPU-unfreundlich ist.
    Twofish wäre sicherlich auch ein guter Ansatz oder AES mit 256Bit. Es gibt keinen logischen Grund ein schnelles oder hardwarefreundliches Verfahren zu benutzen denn offen gefragt: Wie oft meldet sich jemand an einem Core-Switch an oder ändert etwas an einem BGP Router? Die paar Sekunden welche eine Anmeldung dauern würde kann bei diesen Geräten eigentlich jeder warten.

    Das steht im Kontrast zu z.B. diesem Forum. Würde man hier mehrere Sekunden warten müssen würde dahingehend die empfundene Benutzerfreundlichkeit leiden.

    Die Gefahr bei einem nicht wirklich sicherem Verfahren liegt allein bei dem Fakt der üblichen Arbeitsweise bei großen Unternehmen. Ein Einbruch durch Dritte durch die Konfigurationsdatein kopiert werden würden wäre das größte Risiko.

    Aufgrund meiner Arbeit kann ich sagen, dass Backup-Server nicht als die wirklich abgesichersten Netzwerkteilnehmer gelten. Jede weitere Implizierung dürfte sich damit erschließen.


    Kind regards,
    Rembrandt

    p.s.
    Gruß an "Atom"

  7. Re: Gefahr?

    Autor: Jolla 20.03.13 - 18:07

    Draco2007 schrieb:
    --------------------------------------------------------------------------------
    > Jolla schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Wenn man's richtig macht, ist die Eintrittswahrscheinlichkeit eher
    > gering.
    >
    > Und wieso macht es CISCO nicht gleich richtig?
    > Dann kann der Fall ja sogar eintreten und es passiert nichts weiter.

    Woher soll ich wissen wieso Cisco da einen Fehler macht. Mit "Wenn man's richtig macht" meinte ich auch eher die eigene Implementierung. Sprich eine zentrale, personenbezogene Authentifizierung über Radius oder besser Tacacs+. Lokale Passwörter und wahrscheinlich noch auf allen Systemen das gleiche ist eher...unglücklich. Sowas kann man als Backup machen falls mal der Radius nicht erreichbar ist oder sowas.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. etkon GmbH, Gräfelfing
  2. Bundesinstitut für Risikobewertung, Berlin
  3. DAL Deutsche Anlagen-Leasing GmbH & Co. KG, Mainz
  4. Automotive Safety Technologies GmbH, Gaimersheim

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. AMD Upgrade-Bundle mit Sapphire Radeon RX 590 Nitro+ SE + AMD Ryzen 7 2700X + ASUS TUF B450...
  2. (u. a. Sandisk SSD Plus 1 TB für 88€, WD Elements 1,5-TB-HDD für 55€ und Seagate Expansion...
  3. (u. a. Call of Duty: Modern Warfare für 52,99€, Pillars of Eternity II für 16,99€, Devil May...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Atari Portfolio im Retrotest: Endlich können wir unterwegs arbeiten!
Atari Portfolio im Retrotest
Endlich können wir unterwegs arbeiten!

Ende der 1980er Jahre waren tragbare PCs nicht gerade handlich, der Portfolio von Atari war eine willkommene Ausnahme: Der erste Palmtop-Computer der Welt war klein, leicht und weitestgehend DOS-kompatibel - ideal für Geschäftsreisende aus dem Jahr 1989 und Nerds aus dem Jahr 2019.
Ein Test von Tobias Költzsch

  1. Retrokonsole Hauptverantwortlicher des Atari VCS schmeißt hin

Linux-Kernel: Selbst Google ist unfähig, Android zu pflegen
Linux-Kernel
Selbst Google ist unfähig, Android zu pflegen

Bisher gilt Google als positive Ausnahme von der schlechten Update-Politik im Android-Ökosystem. Doch eine aktuelle Sicherheitslücke zeigt, dass auch Google die Updates nicht im Griff hat. Das ist selbst verschuldet und könnte vermieden werden.
Ein IMHO von Sebastian Grüner

  1. Kernel Linux bekommt Unterstützung für USB 4
  2. Kernel Vorschau auf Linux 5.4 bringt viele Security-Funktionen
  3. Linux Lockdown-Patches im Kernel aufgenommen

16K-Videos: 400 MByte für einen Screenshot
16K-Videos
400 MByte für einen Screenshot

Die meisten Spiele können nur 4K, mit Downsampling sind bis zu 16K möglich. Wie das geht, haben wir bereits in einem früheren Artikel erklärt. Jetzt folgt die nächste Stufe: Wie erstellt man Videos in solchen Auflösungen? Hier wird gleich ein ganzer Schwung weiterer Tools und Tricks nötig.
Eine Anleitung von Joachim Otahal

  1. UL 3DMark Feature Test prüft variable Shading-Rate
  2. Nvidia Turing Neuer 3DMark-Benchmark testet DLSS-Kantenglättung

  1. Ghost Canyon: Intels NUC9 Extreme basiert auf zwei PCIe-Karten
    Ghost Canyon
    Intels NUC9 Extreme basiert auf zwei PCIe-Karten

    Mit dem Ghost Canyon alias NUC9 Extreme plant Intel einen 5-Liter-Mini-PC mit untypischem Innenleben: Statt auf einer Hauptplatine sitzen der Prozessor, die RAM-Steckplätze und die SSD-Slots auf einem PCIe-Modul. Hinzu kommt optional eine dedizierte Grafikkarte neben dem Mainboard.

  2. Surface Pro X im Hands on: ARM macht arm
    Surface Pro X im Hands on
    ARM macht arm

    Das Surface Pro X könnte als neues Vorzeigegerät der Plattform Windows-10-on-ARM herhalten. Das Display ist groß und hochauflösend. Der Stift wurde verglichen mit dem herkömmlichen Surface Pen merklich verbessert. Allerdings gehen Zielgruppe und Preisvorstellung weit auseinander.

  3. Mobil: Media Markt Saturn vermietet E-Scooter
    Mobil
    Media Markt Saturn vermietet E-Scooter

    Ab 30 Euro im Monat vermietet Media Markt Saturn E-Scooter. Der Elektronikmarkt hofft, eine Marktlücke gefunden zu haben.


  1. 12:37

  2. 12:08

  3. 12:03

  4. 11:24

  5. 11:09

  6. 10:51

  7. 10:36

  8. 10:11