Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Webhoster gehackt: Hetzner empfiehlt…

So ein erfahrener Rechenzentrenbetreiber...

  1. Thema

Neues Thema Ansicht wechseln


  1. So ein erfahrener Rechenzentrenbetreiber...

    Autor: satriani 06.10.11 - 18:50

    ... und so ein Patzer!
    Naja, hoffentlich kriegen die es schnellst möglich in den Griff.

    ╔═══════════════════════════════════════════╗
      Was hat FreeBSD mit einem massiven Sonnensturm gemeinsam?
      Das Aus für Hacker !
    ╚═══════════════════════════════════════════╝

  2. Re: So ein erfahrener Rechenzentrenbetreiber...

    Autor: meandmeme 06.10.11 - 19:51

    Kein System ist absolut sicher. Jedes System kann gehackt werden.

    Hetzner verhält sich hier aber absolut tadellos und informiert seine Kunden umfassend.

  3. Re: So ein erfahrener Rechenzentrenbetreiber...

    Autor: c3rl 06.10.11 - 20:00

    Es ist in diesem Fall technisch nicht möglich, das Passwort in Hashes abzuspeichern, da es automatisch für verschiedene Dinge wieder ausgelesen werden muss.
    Unglücklich, aber man hätte hier nichts dagegen tun können.

  4. Re: So ein erfahrener Rechenzentrenbetreiber...

    Autor: bruzzelman 06.10.11 - 20:10

    falsch und so schon im anderen thread widerlegt

    https://forum.golem.de/kommentare/security/webhoster-gehackt-hetzner-empfiehlt-passwortwechsel/klartext/56177,2816445,2816445,read.html#msg-2816445

  5. Re: So ein erfahrener Rechenzentrenbetreiber...

    Autor: Gigadoc 2 07.10.11 - 00:29

    Das Verhalten von Hetzner ist in diesem Fall wirklich vorbildlich.
    Mein Vertrauen in die Menscheit steigt endlich mal wieder :D

  6. Re: So ein erfahrener Rechenzentrenbetreiber...

    Autor: Anonymer Nutzer 07.10.11 - 03:00

    Da pflichte ich dir absolut bei. Die Hetzner Online AG hat wirklich sehr professionell reagiert.

    Nichts ist schlimmer als Unwissenheit.



    1 mal bearbeitet, zuletzt am 07.10.11 03:00 durch OkayLetsTalk.

  7. Re: So ein erfahrener Rechenzentrenbetreiber...

    Autor: GodsBoss 07.10.11 - 09:45

    > Kein System ist absolut sicher. Jedes System kann gehackt werden.

    Nein, aber im Allgemeinen ist es schwierig bis unmöglich, zu beweisen, dass es nicht geht*. ;-)

    * Ich rede von der Software, bei der Hardware geht es sowieso nicht.

    Reden ist Silber, Schweigen ist Gold, meine Ausführungen sind Platin.

  8. Re: So ein erfahrener Rechenzentrenbetreiber...

    Autor: slashwalker 07.10.11 - 10:11

    c3rl schrieb:
    --------------------------------------------------------------------------------
    > Es ist in diesem Fall technisch nicht möglich, das Passwort in Hashes
    > abzuspeichern, da es automatisch für verschiedene Dinge wieder ausgelesen
    > werden muss.
    > Unglücklich, aber man hätte hier nichts dagegen tun können.

    Glaub ich nicht, ich speicher auch Passwörter codiert in der Datenbank und kann sie trotzdem wieder als Klartext auslesen lassen. Eine einfache Methode wäre z.B:

    function setPass(pass){
    var str=rot13(pass);
    return tobase64(str);
    }
    function getPass(pass){
    var str= tostring(tobinary(pass));
    return rot13(str);
    }
    Nicht unknackbar, aber es macht es schon bissel schwerer.

  9. Re: So ein erfahrener Rechenzentrenbetreiber...

    Autor: GodsBoss 07.10.11 - 10:14

    > > Es ist in diesem Fall technisch nicht möglich, das Passwort in Hashes
    > > abzuspeichern, da es automatisch für verschiedene Dinge wieder
    > ausgelesen
    > > werden muss.
    > > Unglücklich, aber man hätte hier nichts dagegen tun können.
    >
    > Glaub ich nicht, ich speicher auch Passwörter codiert in der Datenbank und
    > kann sie trotzdem wieder als Klartext auslesen lassen. Eine einfache
    > Methode wäre z.B:
    >
    > function setPass(pass){
    > var str=rot13(pass);
    > return tobase64(str);
    > }
    > function getPass(pass){
    > var str= tostring(tobinary(pass));
    > return rot13(str);
    > }
    > Nicht unknackbar, aber es macht es schon bissel schwerer.

    Das ist natürlich dann besonders effektiv, wenn auch der Server, der diese Verschlüsselung einsetzt, gehackt wird, und somit der Verschlüsselungsmechanismus komplett offen liegt. ;-)

    Reden ist Silber, Schweigen ist Gold, meine Ausführungen sind Platin.

  10. Re: So ein erfahrener Rechenzentrenbetreiber...

    Autor: slashwalker 07.10.11 - 10:51

    GodsBoss schrieb:
    --------------------------------------------------------------------------------
    > > > Es ist in diesem Fall technisch nicht möglich, das Passwort in Hashes
    > > > abzuspeichern, da es automatisch für verschiedene Dinge wieder
    > > ausgelesen
    > > > werden muss.
    > > > Unglücklich, aber man hätte hier nichts dagegen tun können.
    > >
    > > Glaub ich nicht, ich speicher auch Passwörter codiert in der Datenbank
    > und
    > > kann sie trotzdem wieder als Klartext auslesen lassen. Eine einfache
    > > Methode wäre z.B:
    > >
    > > function setPass(pass){
    > > var str=rot13(pass);
    > > return tobase64(str);
    > > }
    > > function getPass(pass){
    > > var str= tostring(tobinary(pass));
    > > return rot13(str);
    > > }
    > > Nicht unknackbar, aber es macht es schon bissel schwerer.
    >
    > Das ist natürlich dann besonders effektiv, wenn auch der Server, der diese
    > Verschlüsselung einsetzt, gehackt wird, und somit der
    > Verschlüsselungsmechanismus komplett offen liegt. ;-)


    Ja klar, 100% geht nicht. Aber wenn nur der DB Server geknackt wird und die sich einen Dump ziehen kommen sie erst mal nicht weit. Zudem liegt das obige Script codiert auf dem Server, ähnlich wie PHP mit Zend oder wie das dort läuft. Jedenfalls kannst du den Quellcode nicht lesen, weißt also weder was die Funktion macht, noch wie sie heißt. Und im echten Script lässt sich die Funktion auch nicht direkt aufrufen.

  11. Re: So ein erfahrener Rechenzentrenbetreiber...

    Autor: GodsBoss 07.10.11 - 11:06

    > Ja klar, 100% geht nicht. Aber wenn nur der DB Server geknackt wird und die
    > sich einen Dump ziehen kommen sie erst mal nicht weit.

    DB-Server sind normalerweise nicht über das Netz direkt ansprechbar, wenn ein Mindestmaß an Sicherheit vorhanden sein soll. Damit ist der übliche Weg, an die DB-Daten zu gelangen, eindrücklich belegt durch die Meldungen vergangener Monate, die SQL-Injection. Da würde ich doch die Entwickler lieber daran arbeiten lassen, diese zu verunmöglichen (das ist möglich!).

    > Zudem liegt das
    > obige Script codiert auf dem Server, ähnlich wie PHP mit Zend oder wie das
    > dort läuft. Jedenfalls kannst du den Quellcode nicht lesen, weißt also
    > weder was die Funktion macht, noch wie sie heißt. Und im echten Script
    > lässt sich die Funktion auch nicht direkt aufrufen.

    Obfuscation (und Bytecode statt des PHP-Quelltextes) geht tatsächlich, aber was meinst du damit, dass sich die Funktion nicht aufrufen ließe?

    Prinzipiell kann ich aber das Skript auch als Blackbox betreiben und schauen, was es macht. Der einzige Grund für das Vorliegen der Passwörter selbst (egal ob verschlüsselt oder nicht) statt Hashes ist, dass ich die für irgendwas brauche.

    Reden ist Silber, Schweigen ist Gold, meine Ausführungen sind Platin.

  12. Re: So ein erfahrener Rechenzentrenbetreiber...

    Autor: slashwalker 07.10.11 - 11:30

    GodsBoss schrieb:
    --------------------------------------------------------------------------------
    > > Ja klar, 100% geht nicht. Aber wenn nur der DB Server geknackt wird und
    > die
    > > sich einen Dump ziehen kommen sie erst mal nicht weit.
    >
    > DB-Server sind normalerweise nicht über das Netz direkt ansprechbar, wenn
    > ein Mindestmaß an Sicherheit vorhanden sein soll. Damit ist der übliche
    > Weg, an die DB-Daten zu gelangen, eindrücklich belegt durch die Meldungen
    > vergangener Monate, die SQL-Injection. Da würde ich doch die Entwickler
    > lieber daran arbeiten lassen, diese zu verunmöglichen (das ist möglich!).
    >
    Weiß ich, in ColdFusion (bitte keine Kommentare von Leuten die CF nur vom Hörensagen kennen) würgst du das entweder durch queryparam ab oder verwendest gleich ORM.

    > > Zudem liegt das
    > > obige Script codiert auf dem Server, ähnlich wie PHP mit Zend oder wie
    > das
    > > dort läuft. Jedenfalls kannst du den Quellcode nicht lesen, weißt also
    > > weder was die Funktion macht, noch wie sie heißt. Und im echten Script
    > > lässt sich die Funktion auch nicht direkt aufrufen.
    >
    > Obfuscation (und Bytecode statt des PHP-Quelltextes) geht tatsächlich, aber
    > was meinst du damit, dass sich die Funktion nicht aufrufen ließe?
    >
    Die Funktion ist private und lässt sich nur von anderen Funktionen innerhalb der Klasse aufrufen, aber nicht direkt als getPass(pass);

    > Prinzipiell kann ich aber das Skript auch als Blackbox betreiben und
    > schauen, was es macht. Der einzige Grund für das Vorliegen der Passwörter
    > selbst (egal ob verschlüsselt oder nicht) statt Hashes ist, dass ich die
    > für irgendwas brauche.
    Ich nehm das nur, wenn ich die Passwörter unbedingt an anderer Stelle wieder als Klartext ausgeben muss, z.B. Passwort-Vergessen E-Mail etc.

    Wenn ich die PW nur speichern muss und nicht mehr als KT benötige dann mach ich was in der Art:
    salt=hash("application.name","SHA-512");
    temp=hash(pass & salt,"SHA-512");
    for (i=0;i<1024;i++){
    temp=hash(temp & salt,"SHA-512");
    }
    return temp;

    Ich behaupte mal, DAS knackt keiner.

  13. Re: So ein erfahrener Rechenzentrenbetreiber...

    Autor: Eve666 07.10.11 - 12:32

    Ich kann mir gerade kein Szenario Vorstellen in dem man wirklich den Klartext des Passwort benötigt...

    Normal speichert man doch das Passwort als Hash(MD5 oder sowas) + den Salt.

    Wenn der Nutzer sich nun authentifizieren will vergleicht man die Hashes -> kein Klartext nötig

    Wenn der Nutzer das Passwort vergessen hat bekommt er ein neues -> kein Klartext nötig

    andere Szenarien fallen mir nicht ein. Wer Passwörter im Klartext speichert hat irgendwo geschlampt.

    ps. Rot13 ist ja wohl nen Witz da braucht ein Analysetool wenige Sekunden, um das zu erkennen und zu entschlüsseln.

  14. Re: So ein erfahrener Rechenzentrenbetreiber...

    Autor: slashwalker 07.10.11 - 12:55

    Eve666 schrieb:
    --------------------------------------------------------------------------------
    > Ich kann mir gerade kein Szenario Vorstellen in dem man wirklich den
    > Klartext des Passwort benötigt...
    >
    > Normal speichert man doch das Passwort als Hash(MD5 oder sowas) + den
    > Salt.
    >
    > Wenn der Nutzer sich nun authentifizieren will vergleicht man die Hashes ->
    > kein Klartext nötig
    >
    > Wenn der Nutzer das Passwort vergessen hat bekommt er ein neues -> kein
    > Klartext nötig
    >
    > andere Szenarien fallen mir nicht ein. Wer Passwörter im Klartext speichert
    > hat irgendwo geschlampt.
    >
    Wenn der Kunde sagt ich will in meinem Admin Panel die Funktion "Passwort anzeigen" dann ist das so.

    > ps. Rot13 ist ja wohl nen Witz da braucht ein Analysetool wenige Sekunden,
    > um das zu erkennen und zu entschlüsseln.

    Natürlich ist Rot13 ein Witz wenn man es weiß. Aber wie du oben siehst wird das mit Rot13 veränderte PW auch noch in base64 umgewandelt:

    15BD1EA6567244C598E8DA60FC437C04C60B9471DA214FA4ADA6351673E3841FDA568F778225ED7529FAC027460C68AE5C3DA8955CA6B59EB4484013BCBBEFBF

    So und das entschlüsselst du, ohne das Hintergrundwissen das ich obige Funktion angewendet habe, ja? Is klar.

    Angenommen du kommst dahinter dass das PW base64 ist und encodest es.
    Dann erhälst du: iraveh32
    So und jetzt? Wie kommst du jetzt darauf das es auch noch Rot13 ist, obiges könnte doch tatsächlich ein PW sein.

    Und wie gesagt nutze ich das nur in den seltenen Fällen, in denen das PW an anderer Stelle als KT verfügbar sein muss.

  15. Re: So ein erfahrener Rechenzentrenbetreiber...

    Autor: Eve666 08.10.11 - 19:27

    Wenn ich wirklich Zugriff auf den Server habe ist auch der Algorithmus für die Passwörter verfügbar...
    Falls ich den Algorithmus nicht habe und du erzwingst, dass besonders häufig genutzte trivial Passwörter wie 12345 usw, und keine natürlichen Wörter enthalten sind, gebe ich dir Recht. Ansonsten lohnt sich eine heuristischer Untersuchung Rot13 + Base64 sind eine Ersetzung der Zeichen sollte sich also umkehren lassen jedoch nicht so gut wie ein Text aus natürlicher Sprache... es wäre schwierig und sehr von der Datenmenge abhängig.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Haufe Group, Sankt Gallen (Schweiz) / Deutschland (Home-Office)
  2. UDG United Digital Group, Herrenberg
  3. ista International GmbH, Essen
  4. awinia gmbh, Freiburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Lenovo Legion Y530-15ICH für 699€ + Versand - Bestpreis!)
  2. ab 99,00€
  3. (u. a. GTA 5 für 12,99€, Landwirtschafts-Simulator 19 für 27,99€, Battlefield V für 32,99€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Zulassung autonomer Autos: Der Mensch fährt besser als gedacht
Zulassung autonomer Autos
Der Mensch fährt besser als gedacht

Mehrere Jahre haben Wissenschaftler und Autokonzerne an Testverfahren für einen Autobahnpiloten geforscht. Die Ergebnisse sprechen für den umfangreichen Einsatz von Simulation. Und gegen den schnellen Einsatz der Technik.
Von Friedhelm Greis

  1. Autonomes Fahren US-Post testet Überlandfahrten ohne Fahrer
  2. Mercedes-Sicherheitsstudie Wenn das Warndreieck autonom aus dem Auto fährt
  3. Einride T-Pod Autonomer Lkw fährt in Schweden Waren aus

Homeoffice: Wenn der Arbeitsplatz so anonym ist wie das Internet selbst
Homeoffice
Wenn der Arbeitsplatz so anonym ist wie das Internet selbst

Homeoffice verspricht Freiheit und Flexibilität für die Mitarbeiter und Effizienzsteigerung fürs Unternehmen - und die IT-Branche ist dafür bestens geeignet. Doch der reine Online-Kontakt bringt auch Probleme mit sich.
Ein Erfahrungsbericht von Marvin Engel

  1. Bundesagentur für Arbeit Informatikjobs bleiben 132 Tage unbesetzt
  2. IT-Headhunter ReactJS- und PHP-Experten verzweifelt gesucht
  3. IT-Berufe Bin ich Freiberufler oder Gewerbetreibender?

Motorola One Vision im Hands on: Smartphone mit 48-Megapixel-Kamera für 300 Euro
Motorola One Vision im Hands on
Smartphone mit 48-Megapixel-Kamera für 300 Euro

Motorola bringt ein weiteres Android-One-Smartphone auf den Markt. Die Neuvorstellung verwendet viel Samsung-Technik und hat ein sehr schmales Display. Die technischen Daten sind für diese Preisklasse vielversprechend.
Ein Hands on von Ingo Pakalski

  1. Moto G7 Power Lenovos neues Motorola-Smartphone hat einen großen Akku
  2. Smartphones Lenovo leakt neue Moto-G7-Serie

  1. Briefe und Pakete: Bundesregierung will Rechte von Postkunden stärken
    Briefe und Pakete
    Bundesregierung will Rechte von Postkunden stärken

    Aufgrund gestiegener Beschwerden über Mängel bei der Post- und Paketzustellung will das Bundeswirtschaftsministerium die Rechte von Postkunden stärken. Dabei geht es auch um die Frage von Sanktionsmöglichkeiten.

  2. Vodafone: Red-Tarife erhalten mehr Datenvolumen und werden teurer
    Vodafone
    Red-Tarife erhalten mehr Datenvolumen und werden teurer

    Vodafone bietet veränderte Red-Tarife. Bei vier der fünf verfügbaren Tarife erhöht sich das ungedrosselte Datenvolumen. Dafür steigen auch die Preise.

  3. Amazons Patentanmeldung: Alexa-Aktivierungswort kann auch am Ende gesagt werden
    Amazons Patentanmeldung
    Alexa-Aktivierungswort kann auch am Ende gesagt werden

    Amazon will die Nutzung von Sprachassistenten natürlicher machen. Amazons digitaler Assistent Alexa würde dann auch reagieren, wenn das Aktivierungswort etwa am Ende eines Befehls gesagt wird. Ein entsprechender Patentantrag liegt vor.


  1. 11:31

  2. 11:17

  3. 10:57

  4. 13:20

  5. 12:11

  6. 11:40

  7. 11:11

  8. 17:50