Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Nach Zoll-Hack: Auch Behörden sollen…

WTF? Programmierfehler?

  1. Thema

Neues Thema Ansicht wechseln


  1. WTF? Programmierfehler?

    Autor: elgooG 12.07.11 - 21:03

    >Jens Heider vom Fraunhofer-Institut für Sichere Informationstechnologie vermutete, dass durch einen Programmierfehler beim Zollkriminalamt, Passwörter in der Datenbank gespeichert wurden. Die Panne hätte durch Sicherheitstests leicht entdeckt werden können.

    Also ein Fehler hat ein SQL-Statement erzeugt, dass die Passwörter in die Datenbank gespeichert hat? Offenbar muss es dann auch noch vorher einen Programmierfehler gegeben haben, der die Tabellen um diese Spalten erweitert hat. Ja Ja...Der Mann weiß wovon er redet. Ganz klar. xD

  2. Re: WTF? Programmierfehler?

    Autor: bstea 12.07.11 - 22:11

    Was für einen Grund gibt es Passwörter(im Klartext) überhaupt zu speichern bzw. überhaupt damit zu arbeiten, wozu gibt's denn Hashes?

  3. Re: WTF? Programmierfehler?

    Autor: SteveMueller 13.07.11 - 10:15

    Ist leider teilweise übliche Praxis.
    Ein Projekt wird testweise installiert, noch ge-debugged und auf
    einmal muss es produktiv gehen, weil der Kunde es ja eigentlich auch
    schon gestern gebraucht hätte. Dann denkt man schon gar nicht
    mehr an die PWs, die noch im Klartext in der SQL Tabelle stehen.

    Persönlich finde ich es natürlich absolut unverantwortlich, gespeicherte
    Passwörter irgendwo im Klartext stehen zu haben. Zumal es genügend
    Plugins und Erweiterungen für Datenbanken u. ä. gibt, die das
    Hashen für einen übernehmen. Thema Faulheit / Ignoranz á la
    "Uns wird das schon nicht passieren ..." =)

  4. Re: WTF? Programmierfehler?

    Autor: elgooG 13.07.11 - 12:01

    SteveMueller schrieb:
    --------------------------------------------------------------------------------
    > Ist leider teilweise übliche Praxis.
    > Ein Projekt wird testweise installiert, noch ge-debugged und auf
    > einmal muss es produktiv gehen, weil der Kunde es ja eigentlich auch
    > schon gestern gebraucht hätte. Dann denkt man schon gar nicht
    > mehr an die PWs, die noch im Klartext in der SQL Tabelle stehen.

    Wenn es noch nicht fertig ist, dann hängt das ganz sicher nicht an den Passwörtern sondern ist generell noch nicht nutzbar. Außerdem müssen Sicherheitskonzepte bereits im Design verankert werden. Das betrifft ja nicht nur die Verschlüsselung der Kennwörter sondern auch Schutz vor SQL-Injectsions, unsichere Schnittstellen,....

    Aber lass dir einfach nochmal das Zitat auf der Zunge zergehen:
    >Jens Heider vom Fraunhofer-Institut für Sichere Informationstechnologie vermutete, dass durch einen Programmierfehler beim Zollkriminalamt, Passwörter in der Datenbank gespeichert wurden. Die Panne hätte durch Sicherheitstests leicht entdeckt werden können.
    Programmierfehler die verursachen, dass Passwörter gespeichert werden? Entweder er ist zu blöd um Diagnosen wiederzugeben, oder er will alle verarschen.

  5. Re: WTF? Programmierfehler?

    Autor: SteveMueller 13.07.11 - 12:37

    elgooG schrieb:
    --------------------------------------------------------------------------------

    > Wenn es noch nicht fertig ist, dann hängt das ganz sicher nicht an den
    > Passwörtern sondern ist generell noch nicht nutzbar. Außerdem müssen
    > Sicherheitskonzepte bereits im Design verankert werden. Das betrifft ja
    > nicht nur die Verschlüsselung der Kennwörter sondern auch Schutz vor
    > SQL-Injectsions, unsichere Schnittstellen,....

    Da gehe ich auch mit dir mit. Ich denke jetzt mal an ein paar Linux-Projekte
    an denen ich mitgearbeitet habe. Die Pakete waren schnell installiert,
    dann nur noch ein paar PlugIns installieren, bissl testen, etc. Das man
    aber die Authentifizierung auf dem Auslieferungsstandard gelassen hat
    fällt dann teils nicht mehr auf. Leider kommt die meiste Software aus
    diesen Bereichen eben standardmäßig ohne Verschlüsselung/Hashes,
    auch wenn diese Features angeboten werden.

    Es besteht oft aber auch noch ein strukturelles Problem. Das Design
    sollte idealer weise von einem Architekten vorgegeben werden. In vielen Software-Schmieden sitzen aber "nur" Entwickler, was bedingt durch eine Vielzahl von
    (internen) Projekten demnach niemals zu einem einheitlichen Standard führen wird.

    > Aber lass dir einfach nochmal das Zitat auf der Zunge zergehen:
    > >Jens Heider vom Fraunhofer-Institut für Sichere Informationstechnologie
    > vermutete, dass durch einen Programmierfehler beim Zollkriminalamt,
    > Passwörter in der Datenbank gespeichert wurden. Die Panne hätte durch
    > Sicherheitstests leicht entdeckt werden können.
    > Programmierfehler die verursachen, dass Passwörter gespeichert werden?
    > Entweder er ist zu blöd um Diagnosen wiederzugeben, oder er will alle
    > verarschen.

    ACK. Wüsste jetzt ehrlich gesagt auch nicht, auf welche der zwei Versionen
    ich tippen würde. Jeder der aus der IT kommt, sollte wissen, dass so eine
    Aussage Schwachsinn ist. Ich erinnere mich hier an die Aussage von Apple,
    dass die Bewegungsdaten von iPhones ja auch nur durch einen "Programmfehler"
    gespeichert und auf den PC übertragen wurden. Vorher hatten Sie aber ein
    Patent beantragt, was die Bewegungsdaten speichern sollte. Weiß nicht,
    obs genau dieses hier war, ging aber in die Richtung:
    http://www.appleinsider.com/articles/09/07/20/apple_looking_to_improve_gps_route_planning_estimates.html

  6. Re: WTF? Programmierfehler?

    Autor: elgooG 13.07.11 - 13:32

    SteveMueller schrieb:
    --------------------------------------------------------------------------------
    > Da gehe ich auch mit dir mit. Ich denke jetzt mal an ein paar
    > Linux-Projekte
    > an denen ich mitgearbeitet habe. Die Pakete waren schnell installiert,
    > dann nur noch ein paar PlugIns installieren, bissl testen, etc. Das man
    > aber die Authentifizierung auf dem Auslieferungsstandard gelassen hat
    > fällt dann teils nicht mehr auf. Leider kommt die meiste Software aus
    > diesen Bereichen eben standardmäßig ohne Verschlüsselung/Hashes,
    > auch wenn diese Features angeboten werden.

    Das solche Funktionen standardmäßig ausgeschaltet sind ist auch gut so. Das System soll ja erst eingerichtet und dann gesichert werden. Ansonsten handelt man sich unnötige Fehlerquellen ein, falls mal etwas nicht funktioniert. Natürlich müssen die Sicherheitsbestimmungen vorher definiert sein.

    Es gibt eine einfache Regel: Wer Serversoftware nicht sicher einrichten kann, sollte sie auch nicht einrichten. Ein "apt-get install xxxx" reicht nicht aus, man muss auch Hintergrundwissen mitbringen, ansonsten ist man nicht qualifiziert.

    > Es besteht oft aber auch noch ein strukturelles Problem. Das Design
    > sollte idealer weise von einem Architekten vorgegeben werden. In vielen
    > Software-Schmieden sitzen aber "nur" Entwickler, was bedingt durch eine
    > Vielzahl von
    > (internen) Projekten demnach niemals zu einem einheitlichen Standard führen
    > wird.

    Du meinst wohl da sitzen nur "Programmierer" die nur Code runtertippen können. Echte Entwickler können auch Softwarearchitektur spezifizieren. Mir ist bisher nicht untergekommen, dass es reine Architekten gibt, die nichts anderes machen.

    Idealerweise spezifizieren die Entwickler (oder die jeweiligen Teamführer) zusammen die Architektur und arbeiten diese aus. Das sorgt gleichzeitig dafür, dass jeder Entwickler bei der Implementierung die Architektur begreift und Probleme im Voraus erkennt und nicht erst nach der Implementierung.

    Bei internen Projekten ist eben entscheident, ob diese auch extern erreichbar sein sollen. Ansonsten sind interne Projekte nicht besonders gefährdet, es sei den sie sind Unternehmenskritisch bzw. müssen vor Spionage geschützt werden.

    Aber egal wie unwichtig, klein und intern ein Projekt ist. Passwörter werden NICHT im Klartext in einer Datenbank abgelegt. Der Aufwand ist heutzutage sehr gering und es muss einen Mindeststandard geben der einfach nicht unterboten werden darf. Das Selbe gilt für SQL-Injections. Wer richtig implementiert und grundsätzlich keine SQL-Konkationationen gegen die Datenbank feuert hat dieses Problem einfach nicht.

  7. Re: WTF? Programmierfehler?

    Autor: SteveMueller 13.07.11 - 15:16

    elgooG schrieb:
    --------------------------------------------------------------------------------
    > Das solche Funktionen standardmäßig ausgeschaltet sind ist auch gut so. Das
    > System soll ja erst eingerichtet und dann gesichert werden. Ansonsten
    > handelt man sich unnötige Fehlerquellen ein, falls mal etwas nicht
    > funktioniert. Natürlich müssen die Sicherheitsbestimmungen vorher definiert
    > sein.

    Du, das hat alles sein Für und Wider. Klar ist es vom Installationsablauf
    sinnvoller, erstmal das System zum laufen zu bekommen und dann entsprechend
    zu konfigurieren. Auf der Anderen Seite kann man sich aber auch gleich der
    Authentifizierung widmen. So läuft man eben nicht Gefahr das es später unter
    geht. Der Aufwand entsteht so oder so.

    > Es gibt eine einfache Regel: Wer Serversoftware nicht sicher einrichten
    > kann, sollte sie auch nicht einrichten.

    Yup, seh ich genauso. In mittelständischen Betrieben gibt es aber auch oft
    niemanden, der einem auf die Finger schaut. Oft scheiterts schon am
    Fachlichen.

    > Ein "apt-get install xxxx" reicht
    > nicht aus, man muss auch Hintergrundwissen mitbringen, ansonsten ist man
    > nicht qualifiziert.

    Aus meiner damaligen IT-Abschlussklasse waren viele auch nicht qualifiziert.
    Möchte gar nicht wissen, wie die nen Server einrichten =)
    Bei mir wäre es entsprechend "#yum install" gewesen ^^


    > Du meinst wohl da sitzen nur "Programmierer" die nur Code runtertippen
    > können. Echte Entwickler können auch Softwarearchitektur spezifizieren. Mir
    > ist bisher nicht untergekommen, dass es reine Architekten gibt, die nichts
    > anderes machen.

    Doch, gibts schon, auch wenn Sie in Deutschland wohl nicht so genannt
    werden dürfen:
    http://de.wikipedia.org/wiki/Softwarearchitekt

    > Idealerweise spezifizieren die Entwickler (oder die jeweiligen Teamführer)
    > zusammen die Architektur und arbeiten diese aus. Das sorgt gleichzeitig
    > dafür, dass jeder Entwickler bei der Implementierung die Architektur
    > begreift und Probleme im Voraus erkennt und nicht erst nach der
    > Implementierung.

    Ja. Idealerweise eben.

    > Aber egal wie unwichtig, klein und intern ein Projekt ist. Passwörter
    > werden NICHT im Klartext in einer Datenbank abgelegt. Der Aufwand ist
    > heutzutage sehr gering und es muss einen Mindeststandard geben der einfach
    > nicht unterboten werden darf. Das Selbe gilt für SQL-Injections. Wer
    > richtig implementiert und grundsätzlich keine SQL-Konkationationen gegen
    > die Datenbank feuert hat dieses Problem einfach nicht.

    Wer PWs im Klartext speichert oder sein System nicht gegen SQL-Injections
    abgesichert sollte eine mit dem ausgedruckten Quellcode um die Ohren
    gehauen bekommen ... wortwörtlich ... Aber eben auch nur meine Meinung.
    Bin eh nicht mehr im operativen Bereich, lese aber immer wieder mit
    Tränen in den Augen wie Firmen wie HBGary durch SQL-Injection
    "gehackt" wurden.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. schröter managed services GmbH, Krefeld
  2. HARDY REMAGEN GMBH & CO.KG, Hürth
  3. DEKRA Certification GmbH, Berlin
  4. Scheer GmbH, deutschlandweit

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. für 229,99€ vorbestellbar
  2. 94,90€ + Versand mit Gutschein QVO20
  3. (u. a. Grafikkarten, Monitore, Mainboards)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Adblock Plus: Adblock-Filterregeln können Code ausführen
Adblock Plus
Adblock-Filterregeln können Code ausführen

Unter bestimmten Voraussetzungen können Filterregeln für Adblocker mit einer neuen Funktion Javascript-Code in Webseiten einfügen. Adblock Plus will reagieren und die entsprechende Funktion wieder entfernen. Ublock Origin ist nicht betroffen.
Von Hanno Böck


    Raspi-Tastatur und -Maus im Test: Die Basteltastatur für Bastelrechner
    Raspi-Tastatur und -Maus im Test
    Die Basteltastatur für Bastelrechner

    Für die Raspberry-Pi-Platinen gibt es eine offizielle Tastatur und Maus, passenderweise in Weiß und Rot. Im Test macht die Tastatur einen anständigen Eindruck, die Maus hingegen hat uns eher kaltgelassen. Das Keyboard ist zudem ein guter Ausgangspunkt für Bastelprojekte.
    Ein Test von Tobias Költzsch

    1. Bastelcomputer Offizielle Maus und Tastatur für den Raspberry Pi
    2. Kodi mit Raspberry Pi Pimp your Stereoanlage
    3. Betriebssystem Windows 10 on ARM kann auf Raspberry Pi 3 installiert werden

    Fitbit Versa Lite im Test: Eher smartes als sportliches Wearable
    Fitbit Versa Lite im Test
    Eher smartes als sportliches Wearable

    Sieht fast aus wie eine Apple Watch, ist aber viel günstiger: Golem.de hat die Versa Lite von Fitbit ausprobiert. Neben den Sport- und Fitnessfunktionen haben uns besonders der Appstore und das Angebot an spaßigen und ernsthaften Anwendungen interessiert.
    Von Peter Steinlechner

    1. Smartwatch Fitbit stellt Versa Lite für Einsteiger vor
    2. Inspire Fitbits neues Wearable gibt es nicht im Handel
    3. Charge 3 Fitbit stellt neuen Fitness-Tracker für 150 Euro vor

    1. Reno: Oppos Smartphone mit 10x-Vergrößerung kostet 800 Euro
      Reno
      Oppos Smartphone mit 10x-Vergrößerung kostet 800 Euro

      Nach dem Start in China hat Oppo auch Preise in Euro für seine neuen Reno-Smartphones bekanntgegeben: Das Modell mit digital optimiertem Zehnfach-Teleobjektiv soll 800 Euro kosten. Das ist etwas weniger als der aktuelle Straßenpreis für Huaweis P30 Pro.

    2. Produktionsverlagerung: Kein Made in Korea mehr bei LGs Smartphones
      Produktionsverlagerung
      Kein Made in Korea mehr bei LGs Smartphones

      Wegen anhaltender Verluste soll sich LG dazu entschlossen haben, seine verbliebene Smartphone-Produktion nach Vietnam auszulagern. Auf die Anzahl der produzierten Geräte dürfte dies keine Auswirkungen haben, für das Unternehmen ist das allerdings ein Bruch.

    3. Virtualisierung: Qemu 4.0 bringt maximale Geschwindigkeit für PCIe 4.0
      Virtualisierung
      Qemu 4.0 bringt maximale Geschwindigkeit für PCIe 4.0

      Die aktuelle Version 4.0 des VM-Werkzeuges Qemu unterstützt PCIe 4.0 bei maximaler Geschwindigkeit. Die Entwickler haben außerdem den CPU-Support erweitert, was vor allem Architekturen jenseits von x86 betrifft.


    1. 16:52

    2. 16:15

    3. 15:58

    4. 15:44

    5. 15:34

    6. 15:25

    7. 15:00

    8. 14:45