Wine AppDB gehackt

Oktober 11, 2011 um 8:22 pm | Veröffentlicht in Free Software/Open Source, Internet, Ubuntuusers | 18 Kommentare

Gerade eben habe ich eine eMail bekommen, dass sowohl die AppDB von Wine als auch Bugzilla gehackt wurden. (Mehr zu diesem Hack.)

Es scheint als ob die Hacker nur die Login-Daten hätten auslesen können. Manipulationen der Datenbank wurden von den Verantwortlichen nicht festgestellt. Die Lücke durch die die Hacker eindringen konnten scheint sich in phpmyadmin zu befinden, welches deswegen nun keinen Zugriff mehr von außen zulässt. Damit reiht sich Wine in die unglückseligen Opfer der Free Software Szene in der letzten Zeit ein. Nach mysql.com (im März diesen Jahres), kernel.org und linux.com scheint es fast so, als ob selbst Seiten welche man als Nutzer sicher glaubt nicht vor solchen Angriffen gefeit sind. Codeweavers, die Firma welche die AppDB und Bugzilla hostet will die Lücke bereits geschlossen haben.

Jedem, der bei einem dieser Services ein Konto hat wird eine eMail zugesandt in welcher ein neues Passwort zum Login steht. Zwar seien die Passwörter verschlüsselt gewesen, mit genügend Zeit und Rechenkraft lassen sich jedoch vor allem einfache Passwörter schnell herausfinden.

Zum aktuellen Thema deswegen die Frage: wie schützt ihr euch vor potentiellen Hacks der Seiten bei denen ihr euch anmeldet? Wie wählt ihr eure Passwörter aus? Kennt ihr gute und einfache Tools um relativ sichere Passwörter zu erzeugen?

=-=-=-=-=
Powered by Blogilo

18 Kommentare »

RSS feed for comments on this post. TrackBack URI

  1. Als erstes natürlich dadurch, dass man für verschiedene Seiten, verschiedene Passwörter nutzt. Dann sind die Konsequenzen ja schonmal stark begrenzt.

    Möglichkeiten das praktisch umzusetzen gibt es mehrere. Eine der einfachsten ist wirklich für jede Seite einfach ein zufälliges Passwort zu generieren z.B. mit pwgen, da war die Tage auch ein Beitrag im uu-Planeten zu) und dies in einem Passwortsafe (kwallet, keyring, keepass…) zu hinterlegen. Das Password zu diesem muss man sich natürlich merken und sollte wirklich schwer zu knacken sein und auch auf andere Weise nicht von anderen zu bekommen sein. Durch den häufigen Gebrauch, brauch man sich auch erstmal keine Sorgen machen, dass man das vergisst.

    Eine andere ist es Programme zu nutzen, die aus Webseite/whatever und Password einen Hash generieren. So merkt man sich ein Passwort und hat dennoch für verschiedene Logins verschiedene Passwörter.

    Beides hat gerade unterwegs auch seine Nachteile die man mit gewissem Aufwand wieder kompensieren kann. Man braucht zu seinem Passwort zusätzlich den Safe/das Programm, um an das gerade benötigte Passwort zu kommen. Das kann bedeuten ich schleppe überall mein Gerät auf dem das läuft mit, oder hab auf einem mobilen Datenträger eine portable Anwendungen oder ein komplettes System installiert, oder was auch immer.

    Einfach eine Zahl, einen Teil der Adresse oder etwas ähnliches an immer das gleiche Passwort anhängen würde ich nicht als ausreichenden Schutz ansehen. Wenn man selber darauf kommt, kommt ein Angreifer da auch drauf.

    Was ich definitiv nicht machen würde, ist meine Passwörter irgendeinem fremdgehosteten Service in der Cloud anzuvertrauen, auch die können geknackt werden. Da gab es übrigens vor einigen Monaten mal ein Beispiel auf fefes Blog zu. Natürlich kann auch das eigenen System kompromitiert werden, allerdings ist ein zentraler Service, bei dem viele ihre Geheimnisse hinterlegen natürlich ein lohnenswerteres Ziel.

    Es gibt also keine rundum sorglos Lösung, aber ich glaube man kann sich mit etwas nachdenken und bilden schon relativ gut absichern und so unbequem ist das im Alltag dann auch gar nicht.

    Wo man vielleicht noch besonders aufpassen sollte, ist bei Anwendungen, die Zugangsdaten im Klartext oder zumindest unverschlüsselt in Konfigurationsdateien o.ä. speichern. D.h. es ist kein Geheimnis/kein Schlüssel erforderlich, um an den Klarschlüssel zu kommen). Beispiele wären Amarok für bestimmte Dienste, Networkmanager wenn man nicht die Systempasswortverwaltung nutzt.

    • Ja, den Eintrag zu pwgen habe ich auch gelesen. Bevor ich es kannte habe ich vor ein paar Monaten selbst ein kleines Programm geschrieben welche Groß-/Kleinbuchstaben, Ziffern und ausgewählte Sonderzeichen zu einer 64-stelligen Kette verschmilzt. Damit habe ich dann zum Beispiel mein Heimnetzwerk gesichert.

      Wenn wir beim Thema bleiben: das hinterlegen in der systeminternen Passwortverwaltung macht die ganze Sache, unabhängig von der Komplexität des eigentlichen Passwortes um einiges einfacher. Allerdings frage ich mich, wie es mit im Browser verwendeten Passwörtern (eben z.B. AppDB u.a.) steht, welche ja in der Browserinternen Passwortverwaltung gespeichert werden (was ich persönlich eher vermeide).

      Gibt es ein Plugin für z.B. Firefox oder Chrome um die Passwörter gleich an die systeminterne Verwaltung weiterzugeben? Sonst habe ich meine Passwörter wieder an verschiedenen Stellen geparkt die mit unterschiedlicher Sicherheit darauf aufpassen.

      • Für Firefox wurde eine Erweiterung geschrieben, die mit kwallet spricht. Rekonq und Konqueror funktionieren eh damit, mit Chrome soll es auch gehen. Opera keine Ahnung, IE wohl kaum.😉

  2. Ich empfehle Browser-Erweiterungen, wie zum Beispiel password hasher:

    https://addons.mozilla.org/en-US/firefox/addon/password-hasher/
    https://chrome.google.com/webstore/detail/glopbmohkffbnplcjbbbfmmimfhfnhgd

    Die Erweiterung errechnet aus einem Master-Passwort, einem „Site Tag“ (meistens der Hostname) und den eigenen Vorgaben zur Passwortsicherheit für jede Seite ein eigenes Passwort.

    Jede Webseite hat ein individuelles Passwort und es werden keine Passwörter auf dem Rechner gespeichert.

    Nachteil ist, dass solche Erweiterungen nicht überall verfügbar sind. Auf das Master-Passwort muss man natürlich achten und es steht jedem frei mehrere solcher Master-Passwörter zu verwenden.

    ~jug

    • Was Browsererweiterungen angeht: für Firefox gäbe es da noch PwdHash. Man schreibt das gewählte Passwort in das Eingabefeld, setzt zwei ‚@‘ davor und das tatsächliche Passwort wird von der Erweiterung errechnet und an das Formular übergeben. Damit wird das wirkliche Passwort nirgends gespeichert und nicht einmal der Nutzer selbst kennt es.

      • Ja, und wenn man unterwegs ist und die Erweiterung gerade nicht zur Verfügung steht, kann man immer noch auf https://www.pwdhash.com/ nachschauen.

    • Äh aber: Wenn, wie bei der Wine-AppDB, jemand mein Passwort zusammen mit meinem Benutzernamen findet, kann er es erst einmal benutzen. Ich muss, um das Passwort zu ändern dann doch mein Masterpasswort ändern, was die Passwörter zu _allen_ seiten ändert, oder wir soll ich mir das vorstellen?
      Sonst kann ich dann Für die Wine-AppDB ein eigenes Masterpasswort setzen, was den Vorteil, sich nur ein Passwort merken zu müssen wieder zunichtemacht.

      Abgesehen davon klingt die Technik aber ziemlich cool!

      • Ja, deswegen sollte man auf das Masterpasswort auch sehr gut aufpassen. Problematisch ist natürlich, wenn ein Unbefugter Zugriff auf die Datenbank bekommt. Dann ist der Schaden umso größer,

      • Die AppDB-Passwörter waren glücklicherweise verschlüsselt, und das hoffentlich gut!

  3. Ich habe mehr als eine E-mailadresse und zwei davon sind nur für Logins. Einmal wichtige Seiten wie ebay, amazon, PayPal – alles was mich teuer kommt. Und einmal für Seiten denen ich nicht so ganz vertraue.

    Meine Passwörter bastel ich mir aus sinnlosen Sätzen zusammen die ich mit der Seite verbinde und mir merken kann. z.B. „Kenne ich vielleicht 8 Tage taach.wordpress.com“

    Dann wird daraus ein Kiv8t.w.c Evtl. streue ich noch mal ein Sonderzeichen ein, je nach Laune.

    • „Kenne ich vielleicht 8 Tage taach.wordpress.com“ als Passwort wäre sicherer als „Kiv8t.w.c“ denn vor allen Dingen steigt die Anzahl der benötigten Schritte einer Brute-Force-Attacke (hintereinander Ausprobieren aller Möglichkeiten) exponentiell bei der Länge [vgl. http://www.explainxkcd.com/2011/08/10/password-strength/🙂 ]. Gut an beiden deiner Passwörter ist die Mischung von Groß-, Kleinbuchstaben, Ziffern und Sonderzeichen(im kurzen Passwort jedoch weniger als im Satz, wegen den Leerstellen!).

      Gruß

      Patrick

      • Jein, wenn man ein Wörterbuch (cat /usr/share/dict/german) nutzt kann dieses Passwort relativ schnell geknackt sein, da viel weniger Kombinationen durchprobiert werden müssen als bei einer Brute-Force-Attacke. Und jein deshalb, weil taach.wordpress.com innerhalb des Passworts ist, ich denke nicht, dass das in einem Wörterbuch zu finden ist.

        • Ich sage beherzt „Doch“ zum „Nein in Jein“!😉
          „K“ hat einen Zeichenraum von 96 Möglichkeiten bei Groß- & Kleinbuchstaben, Ziffern [=62 Zeichen] und 34 angenommenen Sonderzeichen (aus http://de.wikipedia.org/wiki/Passwort übernommen). „Kenne“ hat einen größeren Möglichkeitenraum im Wörterbuch – beim Beispiel /usr/share/dict/ngerman z.B. 327.314. Wenn also „Kenne“ durch „K“ ersetzt wird habe ich einen immensen Sicherheitsverlust!
          Wenn ich allerdings anstatt „Kiv8t.w.c“ ein 9-stelliges Wort aus dem Wörterbuch benutze (z.B. „Kennlinie“) habe ich für das gesamte Passwort bei einem Deutsch-Wörterbuch-Angriff nach spätestens 327.314 Schritten das Passwort geknackt (- im Durchschnitt sogar bei der Hälfte der Schritte)! Im Gegensatz dazu bräuchte ich bei „Kiv8t.w.c“ höchstens 636.954.190.679.126.495 Schritte. Ich denke hier lag dein Denkfehler.

          Gruß

          Patrick

  4. 3 Passwörter für Überall:
    Ein 0815 Passwort, für alle Foren, etc. wo es kein Beinbruch ist, wenn jemand es kennen würde. Ev. mit kleinen Varianten (z.B. erstes oder letztes Zeichen ändern).
    Ein Passwort für google-mail.
    Ein Passwort für E-Banking (nur vom Desktop zu Hause!!)
    Vorteil: Überall dabei, 3 kann ich mir merken.
    Nachteil: sollte allen klar sein. Siehe Artikel.

  5. Lies dir die Mail nochmal genau durch. Das lag nicht an phpMyAdmin, sondern diese Idioten haben alles Entwicklern Zugriff darauf gegeben, und dann versucht, etwaige Zugriffe, die ein Sicherheitsproblem darstellen, durch eigenmächtiges Patchen von phpMyAdmin zu blockieren. Das ist dann in die Hose gegangen, und als Konsequenz daraus haben sie den Zugriff jetzt wieder komplett unterbunden. Tja, aus Schaden wird man Klug. Die Verantwortlichen haben leichtsinnig gehandelt. Ich habe sofort meine Accounts da gelöscht, mich sehen die nicht wieder.


Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

Bloggen auf WordPress.com.
Entries und Kommentare feeds.

%d Bloggern gefällt das: