Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Nach Zoll-Hack: Auch Behörden sollen…

WTF? Programmierfehler?

  1. Thema

Neues Thema Ansicht wechseln


  1. WTF? Programmierfehler?

    Autor: elgooG 12.07.11 - 21:03

    >Jens Heider vom Fraunhofer-Institut für Sichere Informationstechnologie vermutete, dass durch einen Programmierfehler beim Zollkriminalamt, Passwörter in der Datenbank gespeichert wurden. Die Panne hätte durch Sicherheitstests leicht entdeckt werden können.

    Also ein Fehler hat ein SQL-Statement erzeugt, dass die Passwörter in die Datenbank gespeichert hat? Offenbar muss es dann auch noch vorher einen Programmierfehler gegeben haben, der die Tabellen um diese Spalten erweitert hat. Ja Ja...Der Mann weiß wovon er redet. Ganz klar. xD

  2. Re: WTF? Programmierfehler?

    Autor: bstea 12.07.11 - 22:11

    Was für einen Grund gibt es Passwörter(im Klartext) überhaupt zu speichern bzw. überhaupt damit zu arbeiten, wozu gibt's denn Hashes?

  3. Re: WTF? Programmierfehler?

    Autor: SteveMueller 13.07.11 - 10:15

    Ist leider teilweise übliche Praxis.
    Ein Projekt wird testweise installiert, noch ge-debugged und auf
    einmal muss es produktiv gehen, weil der Kunde es ja eigentlich auch
    schon gestern gebraucht hätte. Dann denkt man schon gar nicht
    mehr an die PWs, die noch im Klartext in der SQL Tabelle stehen.

    Persönlich finde ich es natürlich absolut unverantwortlich, gespeicherte
    Passwörter irgendwo im Klartext stehen zu haben. Zumal es genügend
    Plugins und Erweiterungen für Datenbanken u. ä. gibt, die das
    Hashen für einen übernehmen. Thema Faulheit / Ignoranz á la
    "Uns wird das schon nicht passieren ..." =)

  4. Re: WTF? Programmierfehler?

    Autor: elgooG 13.07.11 - 12:01

    SteveMueller schrieb:
    --------------------------------------------------------------------------------
    > Ist leider teilweise übliche Praxis.
    > Ein Projekt wird testweise installiert, noch ge-debugged und auf
    > einmal muss es produktiv gehen, weil der Kunde es ja eigentlich auch
    > schon gestern gebraucht hätte. Dann denkt man schon gar nicht
    > mehr an die PWs, die noch im Klartext in der SQL Tabelle stehen.

    Wenn es noch nicht fertig ist, dann hängt das ganz sicher nicht an den Passwörtern sondern ist generell noch nicht nutzbar. Außerdem müssen Sicherheitskonzepte bereits im Design verankert werden. Das betrifft ja nicht nur die Verschlüsselung der Kennwörter sondern auch Schutz vor SQL-Injectsions, unsichere Schnittstellen,....

    Aber lass dir einfach nochmal das Zitat auf der Zunge zergehen:
    >Jens Heider vom Fraunhofer-Institut für Sichere Informationstechnologie vermutete, dass durch einen Programmierfehler beim Zollkriminalamt, Passwörter in der Datenbank gespeichert wurden. Die Panne hätte durch Sicherheitstests leicht entdeckt werden können.
    Programmierfehler die verursachen, dass Passwörter gespeichert werden? Entweder er ist zu blöd um Diagnosen wiederzugeben, oder er will alle verarschen.

  5. Re: WTF? Programmierfehler?

    Autor: SteveMueller 13.07.11 - 12:37

    elgooG schrieb:
    --------------------------------------------------------------------------------

    > Wenn es noch nicht fertig ist, dann hängt das ganz sicher nicht an den
    > Passwörtern sondern ist generell noch nicht nutzbar. Außerdem müssen
    > Sicherheitskonzepte bereits im Design verankert werden. Das betrifft ja
    > nicht nur die Verschlüsselung der Kennwörter sondern auch Schutz vor
    > SQL-Injectsions, unsichere Schnittstellen,....

    Da gehe ich auch mit dir mit. Ich denke jetzt mal an ein paar Linux-Projekte
    an denen ich mitgearbeitet habe. Die Pakete waren schnell installiert,
    dann nur noch ein paar PlugIns installieren, bissl testen, etc. Das man
    aber die Authentifizierung auf dem Auslieferungsstandard gelassen hat
    fällt dann teils nicht mehr auf. Leider kommt die meiste Software aus
    diesen Bereichen eben standardmäßig ohne Verschlüsselung/Hashes,
    auch wenn diese Features angeboten werden.

    Es besteht oft aber auch noch ein strukturelles Problem. Das Design
    sollte idealer weise von einem Architekten vorgegeben werden. In vielen Software-Schmieden sitzen aber "nur" Entwickler, was bedingt durch eine Vielzahl von
    (internen) Projekten demnach niemals zu einem einheitlichen Standard führen wird.

    > Aber lass dir einfach nochmal das Zitat auf der Zunge zergehen:
    > >Jens Heider vom Fraunhofer-Institut für Sichere Informationstechnologie
    > vermutete, dass durch einen Programmierfehler beim Zollkriminalamt,
    > Passwörter in der Datenbank gespeichert wurden. Die Panne hätte durch
    > Sicherheitstests leicht entdeckt werden können.
    > Programmierfehler die verursachen, dass Passwörter gespeichert werden?
    > Entweder er ist zu blöd um Diagnosen wiederzugeben, oder er will alle
    > verarschen.

    ACK. Wüsste jetzt ehrlich gesagt auch nicht, auf welche der zwei Versionen
    ich tippen würde. Jeder der aus der IT kommt, sollte wissen, dass so eine
    Aussage Schwachsinn ist. Ich erinnere mich hier an die Aussage von Apple,
    dass die Bewegungsdaten von iPhones ja auch nur durch einen "Programmfehler"
    gespeichert und auf den PC übertragen wurden. Vorher hatten Sie aber ein
    Patent beantragt, was die Bewegungsdaten speichern sollte. Weiß nicht,
    obs genau dieses hier war, ging aber in die Richtung:
    http://www.appleinsider.com/articles/09/07/20/apple_looking_to_improve_gps_route_planning_estimates.html

  6. Re: WTF? Programmierfehler?

    Autor: elgooG 13.07.11 - 13:32

    SteveMueller schrieb:
    --------------------------------------------------------------------------------
    > Da gehe ich auch mit dir mit. Ich denke jetzt mal an ein paar
    > Linux-Projekte
    > an denen ich mitgearbeitet habe. Die Pakete waren schnell installiert,
    > dann nur noch ein paar PlugIns installieren, bissl testen, etc. Das man
    > aber die Authentifizierung auf dem Auslieferungsstandard gelassen hat
    > fällt dann teils nicht mehr auf. Leider kommt die meiste Software aus
    > diesen Bereichen eben standardmäßig ohne Verschlüsselung/Hashes,
    > auch wenn diese Features angeboten werden.

    Das solche Funktionen standardmäßig ausgeschaltet sind ist auch gut so. Das System soll ja erst eingerichtet und dann gesichert werden. Ansonsten handelt man sich unnötige Fehlerquellen ein, falls mal etwas nicht funktioniert. Natürlich müssen die Sicherheitsbestimmungen vorher definiert sein.

    Es gibt eine einfache Regel: Wer Serversoftware nicht sicher einrichten kann, sollte sie auch nicht einrichten. Ein "apt-get install xxxx" reicht nicht aus, man muss auch Hintergrundwissen mitbringen, ansonsten ist man nicht qualifiziert.

    > Es besteht oft aber auch noch ein strukturelles Problem. Das Design
    > sollte idealer weise von einem Architekten vorgegeben werden. In vielen
    > Software-Schmieden sitzen aber "nur" Entwickler, was bedingt durch eine
    > Vielzahl von
    > (internen) Projekten demnach niemals zu einem einheitlichen Standard führen
    > wird.

    Du meinst wohl da sitzen nur "Programmierer" die nur Code runtertippen können. Echte Entwickler können auch Softwarearchitektur spezifizieren. Mir ist bisher nicht untergekommen, dass es reine Architekten gibt, die nichts anderes machen.

    Idealerweise spezifizieren die Entwickler (oder die jeweiligen Teamführer) zusammen die Architektur und arbeiten diese aus. Das sorgt gleichzeitig dafür, dass jeder Entwickler bei der Implementierung die Architektur begreift und Probleme im Voraus erkennt und nicht erst nach der Implementierung.

    Bei internen Projekten ist eben entscheident, ob diese auch extern erreichbar sein sollen. Ansonsten sind interne Projekte nicht besonders gefährdet, es sei den sie sind Unternehmenskritisch bzw. müssen vor Spionage geschützt werden.

    Aber egal wie unwichtig, klein und intern ein Projekt ist. Passwörter werden NICHT im Klartext in einer Datenbank abgelegt. Der Aufwand ist heutzutage sehr gering und es muss einen Mindeststandard geben der einfach nicht unterboten werden darf. Das Selbe gilt für SQL-Injections. Wer richtig implementiert und grundsätzlich keine SQL-Konkationationen gegen die Datenbank feuert hat dieses Problem einfach nicht.

  7. Re: WTF? Programmierfehler?

    Autor: SteveMueller 13.07.11 - 15:16

    elgooG schrieb:
    --------------------------------------------------------------------------------
    > Das solche Funktionen standardmäßig ausgeschaltet sind ist auch gut so. Das
    > System soll ja erst eingerichtet und dann gesichert werden. Ansonsten
    > handelt man sich unnötige Fehlerquellen ein, falls mal etwas nicht
    > funktioniert. Natürlich müssen die Sicherheitsbestimmungen vorher definiert
    > sein.

    Du, das hat alles sein Für und Wider. Klar ist es vom Installationsablauf
    sinnvoller, erstmal das System zum laufen zu bekommen und dann entsprechend
    zu konfigurieren. Auf der Anderen Seite kann man sich aber auch gleich der
    Authentifizierung widmen. So läuft man eben nicht Gefahr das es später unter
    geht. Der Aufwand entsteht so oder so.

    > Es gibt eine einfache Regel: Wer Serversoftware nicht sicher einrichten
    > kann, sollte sie auch nicht einrichten.

    Yup, seh ich genauso. In mittelständischen Betrieben gibt es aber auch oft
    niemanden, der einem auf die Finger schaut. Oft scheiterts schon am
    Fachlichen.

    > Ein "apt-get install xxxx" reicht
    > nicht aus, man muss auch Hintergrundwissen mitbringen, ansonsten ist man
    > nicht qualifiziert.

    Aus meiner damaligen IT-Abschlussklasse waren viele auch nicht qualifiziert.
    Möchte gar nicht wissen, wie die nen Server einrichten =)
    Bei mir wäre es entsprechend "#yum install" gewesen ^^


    > Du meinst wohl da sitzen nur "Programmierer" die nur Code runtertippen
    > können. Echte Entwickler können auch Softwarearchitektur spezifizieren. Mir
    > ist bisher nicht untergekommen, dass es reine Architekten gibt, die nichts
    > anderes machen.

    Doch, gibts schon, auch wenn Sie in Deutschland wohl nicht so genannt
    werden dürfen:
    http://de.wikipedia.org/wiki/Softwarearchitekt

    > Idealerweise spezifizieren die Entwickler (oder die jeweiligen Teamführer)
    > zusammen die Architektur und arbeiten diese aus. Das sorgt gleichzeitig
    > dafür, dass jeder Entwickler bei der Implementierung die Architektur
    > begreift und Probleme im Voraus erkennt und nicht erst nach der
    > Implementierung.

    Ja. Idealerweise eben.

    > Aber egal wie unwichtig, klein und intern ein Projekt ist. Passwörter
    > werden NICHT im Klartext in einer Datenbank abgelegt. Der Aufwand ist
    > heutzutage sehr gering und es muss einen Mindeststandard geben der einfach
    > nicht unterboten werden darf. Das Selbe gilt für SQL-Injections. Wer
    > richtig implementiert und grundsätzlich keine SQL-Konkationationen gegen
    > die Datenbank feuert hat dieses Problem einfach nicht.

    Wer PWs im Klartext speichert oder sein System nicht gegen SQL-Injections
    abgesichert sollte eine mit dem ausgedruckten Quellcode um die Ohren
    gehauen bekommen ... wortwörtlich ... Aber eben auch nur meine Meinung.
    Bin eh nicht mehr im operativen Bereich, lese aber immer wieder mit
    Tränen in den Augen wie Firmen wie HBGary durch SQL-Injection
    "gehackt" wurden.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. FES Frankfurter Entsorgungs- und Service GmbH, Frankfurt am Main
  2. JOB AG Industrial Service GmbH, Berlin (Home-Office)
  3. Software AG, Darmstadt, Saarbrücken
  4. Dataport, Hamburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 88,00€
  2. 107,00€ (Bestpreis!)
  3. 135,80€
  4. (u. a. Alien 40th Anniversary Steelbook, Ash vs Evil Dead Collector's edition, Predator 1 - 4 Box...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Energie: Wo die Wasserstoffqualität getestet wird
Energie
Wo die Wasserstoffqualität getestet wird

Damit eine Brennstoffzelle einwandfrei arbeitet, braucht sie sauberen Wasserstoff. Wie aber lassen sich Verunreinigungen bis auf ein milliardstel Teil erfassen? Am Testfeld Wasserstoff in Duisburg wird das erprobt - und andere Technik für die Wasserstoffwirtschaft.
Ein Bericht von Werner Pluta

  1. Autos Elektro, Brennstoffzelle oder Diesel?
  2. Energiespeicher Heiße Steine sind effizienter als Brennstoffzellen
  3. Klimaschutz Großbritannien probt für den Kohleausstieg

In eigener Sache: Golem.de bietet Seminar zu TLS an
In eigener Sache
Golem.de bietet Seminar zu TLS an

Der Verschlüsselungsexperte und Golem.de-Redakteur Hanno Böck gibt einen Workshop zum wichtigsten Verschlüsselungsprotokoll im Netz. Am 24. und 25. September klärt er Admins, Pentester und IT-Sicherheitsexperten in Berlin über Funktionsweisen und Gefahren von TLS auf.

  1. In eigener Sache Zweiter Termin für Kubernetes-Seminar
  2. Leserumfrage Wie können wir dich unterstützen?
  3. In eigener Sache Was du schon immer über Kubernetes wissen wolltest

In eigener Sache: Neue Workshops zu agilem Arbeiten und Selbstmanagement
In eigener Sache
Neue Workshops zu agilem Arbeiten und Selbstmanagement

Wir haben in unserer Leserumfrage nach Wünschen für Weiterbildungsangebote gefragt. Hier ist das Ergebnis: Zwei neue Workshops widmen sich der Selbstorganisation und gängigen Fehlern beim agilen Arbeiten - natürlich extra für IT-Profis.

  1. In eigener Sache ITler und Board kommen zusammen
  2. In eigener Sache Herbsttermin für den Kubernetes-Workshop steht
  3. Golem Akademie Golem.de startet Angebote zur beruflichen Weiterbildung

  1. Berliner U-Bahn: Bis Ende 2019 gibt es LTE auch für Vodafone und Telekom
    Berliner U-Bahn
    Bis Ende 2019 gibt es LTE auch für Vodafone und Telekom

    Bisher bietet nur Telefónica LTE- und UMTS-Zugang im Berliner U-Bahn-Netz. Ende 2019 werden auch erste Linien von der Deutschen Telekom und Vodafone versorgt.

  2. Satellitennavigation: Galileo ist wieder online
    Satellitennavigation
    Galileo ist wieder online

    Nach rund einer Woche funktioniert das europäische Satellitennavigationssystem Galileo wieder. Laut der zuständigen EU-Behörde GSA kann es aber noch zu Schwankungen kommen. Grund für den Ausfall waren technische Probleme in den beiden Kontrollzentren.

  3. WeAct: Datenleck bei Petitionsplattform von Campact
    WeAct
    Datenleck bei Petitionsplattform von Campact

    Ein Fehler auf der Petitionsplattform WeAct von Campact ermöglichte den Zugriff auf die Daten der Unterstützer. Rund 1,8 Millionen Unterzeichner sind betroffen. Die Nichtregierungsorganisation hat die Hintergründe des Fehlers veröffentlicht.


  1. 17:09

  2. 16:30

  3. 16:10

  4. 15:45

  5. 15:22

  6. 14:50

  7. 14:25

  8. 13:50