Brute-Force Angriff und Passwortsicherheit

Besonders beliebte Angriffsziele der Hacker u. Spammer sind wie üblich die am meist verbreitesten Systeme.

Wobei hier sicherlich die CMS Systeme die 1. Plätze belegen, dicht gefolgt von den beliebtesten Foren u. Boards.

Platz 1 für diverse Angriffe ist wohl das beliebte WordPress dicht gefolgt von Joomla.

Einer der häufigsten Gründe ist hier wohl der SPAM-Mail Versand.

Wie ist ein SPAM-Mail Versand über mein WEB oder über mein Postfach überhaupt möglich ?

Hierzu gibt es prinzipiell 2 Möglichkeiten.

1. Direkt über das Postfach

Z. B. über WEB-Mail oder einen externen MailClient meist jedoch ein „NewsletterClient“. Hierzu benötigt der „Spammer/Hacker“ jedoch die Zugangsdaten.

Stellt sich die nächste Frage woher bekommt der „Hacker“ die Zugangsdaten.

Auch hier gibt es prinzipiell wieder 2 Möglichkeiten:

a. Die Zugangsdaten wurde ausgespäht durch Viren, Trojaner etc. direkt vom PC des Webmasters oder vom Handy, Tablet, Blackberry, Spielconsole, Smart TV was auch immer oder wo auch immer die Zugangsdaten hinterlegt sind oder ein Mailclient mit den entsprechenden Zugangsdaten eingerichtet wurde …

b. Der Hacker hat das Passwort durch einen BRUTE Force Angriff erthalten (siehe unten)

2. Direkt über eine Webanwendung

Als Beispiel sei hier einmal Joomla, Word Press, Typo … genannt. Der Webmaster hat also Jommla (oder was auch immer) so konfiguriert das der Mailversand über sein Postfach läuft.

Jetzt installiert oder aktiviert der Webmaster ein Formular, Gästebuch, Forum … (was auch immer oder womit auch immer ein Mailversand möglich ist).

Wenn der Webmaster jetzt nicht seiner Sorgpfallspflicht nachkommt und dies nicht entsprechend absichert (Capcha), regelmäßig updatet und/oder bereits bekannte Sicherheitslücken NICHT mit den entsprechenden Patches schließt, ist dies jetzt ein leichtes Spiel für jeden Hacker/Spammer …

Der SPAM-Versand erfolgt dann direkt über die unsichere WEB-Anwendung. Diese wiederum versendet die SPAM-Mails dann direkt über das vom Webmaster hinterlegte Postfach … oder noch schlimmer direkt über die entsprechenden serverseitigen Befehle (sendmail, mail und/oder PHP-Befehle).

Verwenden Sie keinesfalls die serverseitigen Mailbefehle ? hierüber würden Sie einen eventuellen SPAM-Versand über Ihre Webseite ja nicht Mals bemerken!!!

Praktisch alle bekannten CMS Systeme, eShops, Foren u. Boards verwenden den PHP-Mailer. Hier können bzw. müssen Sie den SMTP-Versand verwenden ? nur so erhalten Sie überhaupt die Möglichkeit einer Überwachung aller über Ihre Website versendeten Mails.

Beim SMTP-Versand müssen Sie die Zugangsdaten zu Ihrem Postfach angeben.

Nur hierbei erfolgt der Mailversand über ein Postfach das Sie entsprechend kontrollieren u. überwachen können.

Hier haben Sie 2. Möglichkeiten

2a. Geben Sie hier eins Ihrer externen Postfächer an (gmx, T-Online, outlook.de) was auch immer. Hierbei überlassen Sie dann die SPAM-Behandlung direkt dem jeweiligem Anbieter!

Stellen Sie Ihr Postfach so ein das Sie über jede versendetet Mail automatisch eine Kopie erhalten ? nur so sind Sie immer auf dem Laufenden.

2b. Über Ihr Postfach auf Ihrem eigenen Server.

Hier müssen Sie jetzt selbst Ihre SPAM-Filter etc. konfigurieren. WICHTIG auch hier müssen Sie Ihr Postfach so einstellen das Sie automatisch über jede versendetet Mail eine Kopie erhalten.

Dies sind die minimalsten Ansätze, so das Sie zu überhaupt erst einmal mitbekommen was Ihre Website überhaupt an Mails versendet.

Keinesfalls sollten Sie die serverseitigen Mailfunktionen verwenden – hierbei haben Sie keinerlei Kontrolle über die von Ihrer Website versendeten Mails – das wäre dann die dümmste Lösung.

3. Beispiel WordPress

Speziell zu WordPress sind Templates im Umlauf deren einziges Ziel es ist eine hohe Verbreitung und die damit verbundene Infektion möglichst vieler WordPress Installationen.

Teilweise werden diese erst ein halbes Jahr nach der Installation (Infektion) aktiv.

Hier werden z.B. ausführbare PHP-Dateien als Template Dateien getarnt (falsche Dateikennung).

Zusätzlich werden hier weitere Administrator-Accounts eingerichtet so das selbst nach einer Beseitigung der infizierten Dateien das Problem NICHT behoben ist !

Für detaillierte und aktuelle Infos bitte einmal Googeln -> z. B.:

www.heise.de/security/meldung/Schadcode-nutzt-Monate-alte-WordPress-Luecke-aus-2498327.html

www.heise.de/security/meldung/Sicherheitsluecke-in-vielen-WordPress-Themes-2390055.html

4. Beispiel Joomla

Bei den Joomla Version < 2.0 wurde der Support bereits im April 2012 eingestellt.

Bis September wurden dann noch als BESONDERS Kritisch eingestufte Sicherheitslücken behoben !!!

Man beachte bitte das original Zitat „besonders Kritisch“. Was dies bedeutet muss wohl nicht näher erläutert werden.

Google’n Sie doch bitte einmal nach „Joomla Sicherheitslücken Kritisch“

Die „großen“ Hosting-Provider (z.B. Hosteurope, United Internet (1und1, Strato …) haben bereits begonnen Joomla Installationen < 2.0 wegen gravierender Sicherheitslücken zu sperren.

Beachten Sie bitte – ein Webmaster der Joomla Versionen < 2.0 einsetzt (auch wenn er bis dato alle Sicherheitspatches und Updates installiert hat) handelt GROB fahrlässig und dürfte somit rechtlich für alle hierdurch entstandenen Schäden Schadensersatzpflichtig sein.

Bedenken Sie bitte das diese Schäden, insbesondere bei Fishing-Seiten, erheblich sein können.

Dies gilt natürlich nicht nur für das beliebte Joomla sondern grundsätzlich für alle älteren nicht mehr supporteten Version wie z.B. Typo, Magento, WordPress. OSCommerce usw. usw. …

Wie kann ich mich hiervor schützen

a. keinesfalls die serverseitige Mailfunktion verwenden – hierüber haben Sie keine Kontrolle über die von Ihrer Website versendeten Mails

b. Deaktivieren Sie keine serverseitigen Sicherheitsfeatures

c. Prüfen Sie ob es für Ihre Webanwendungen bereits bekannte Schwachstellen gibt.

d. Höchste Vorsicht ist bei allen Anwendungen nötig, die Mails versenden oder Datenbankeinträge vornehmen – wie z.B. Gästebücher, Formulare, Blocks, Foren usw.

Diese müssen entsprechend abgesichert sein – ansonsten handelt der Webmaster grob fahrlässig und ist rechtlich mitverantwortlich für entstehende Schäden.

Und diese Schäden können gewaltig sein (hier sind nicht die Abmahnungen dubioser Anwaltskanzleien gemeint – sondern die Schäden die z.B. durch diverse Fishingmails entstehen können).

Passwortsicherheit

Sicherlich wird heute niemand mehr ein Passwort nach dem Chema „petra1986“ oder „1011thomas1988“ usw. einsetzen, dennoch sollten Sie zunächst alls allererstes prüfen, ob das von Ihnen verwendete Passwort überhaupt den minimalsten Sicherheitsstandard entspricht.

Oder besser noch den mittleren Sicherheitsstandard also mindestens 10 Stellig inkl. Groß- u. Kleinbuchstaben, Ziffern und Sonderzeichen und keinesfalls dürfen Begriffe die in Wörterbüchern enthalten sind vorkommen und auf gar keinen Fall dürfen Namen in Kombination mit einen beliebigen Datum verwendet werden.

WICHTIG: bitte google’n Sie einmal nach: „sichere Passwörter“

Was bedeutet eigentlich Brute-Force Angriff?

Hierzu einmal ein Wiki-Auszug mit den wichtigsten Infos:

Als Brute-Force Attacke bezeichnet man das Berechnen oder umgangssprachlich ?Knacken? von Passwörtern.

Oft sind Passwörter mit Hilfe von kryptographischen Hashfunktionen verschlüsselt. Eine direkte Berechnung des Passworts aus dem Hashwert ist praktisch nicht möglich. Ein Cracker kann jedoch die Hashwerte vieler Passwörter berechnen. Stimmt ein Wert mit dem Wert des hinterlegten Passwortes überein, hat er das (oder ein passendes) Passwort gefunden. Brute Force bedeutet hier also simples Ausprobieren von möglichen Passwörtern.

Vordefinierte Hashlisten häufig verwendeter Passwörter nennt man Rainbow Table.

Aus dem oben genannten Zusammenhang zwischen Umfang des Problems und benötigten Rechenoperationen lässt sich für das Beispiel des ?Passwortknackens? der Schluss ziehen, dass mit steigender Passwortlänge oder steigender Anzahl an möglicherweise im Passwort vorhandenen Zeichen (Alphabet ohne Zahlen, mit Zahlen, mit Sonderzeichen) der Aufwand der Brute-Force-Methode schnell ansteigt. Die Methode ist in der Praxis häufig erfolgreich, da die meisten Benutzer kurze und einfache, damit unsichere, Passwörter verwenden. Schon auf einem handelsüblichen Mittelklasse-Computer können etwa 50 bis 100 Millionen Passwörter pro Sekunde ausprobiert werden.

Wird die Anzahl der auszuprobierenden Passwörter durch Reduktion der Möglichkeiten auf Einträge aus einem ?Wörterbuch? (bzw. Zusammensetzungen derer) eingeschränkt, spricht man auch von einem Wörterbuchangriff (engl. dictionary attack).

Das bedeute also das der gesamte Duden in verschiedenen Kombinationen und Wortzusammenstellungen somit bereits nach wenigen Sekunden abgearbeitet wäre …

Der Duden in Kombination mit diversen Datumsangaben braucht dann auch nicht sehr viel länger.

Alle Vornamen, Kosenamen und Tiernamen brauchen nicht viel mehr als 1 Sekunde. Etwas länger dann in Verbindung mit Datumsangaben …

Ein sicheres Passwort nicht hoch genug einzustufen.

Wie also kann ich die Sicherheit meines Passwortes stark erhöhen.

Die einfachste Lösung wäre:

Möglichst lang und in Kombination von Groß- u. Kleinbuchstaben, Ziffern und Sonderzeichen und keinesfalls Begriffe die in Wörterbüchern enthalten sind und auf gar keinen Fall Namen (auch nicht in diversen Kombination).

Weiterhin sollten auch keinesfalls sogenannte „Tastaturkombinationen“ verwendet werden.

Tippen Sie bitte einmal: 1qayxsw2 ein – dann wissen Sie was gemeint ist.

Hier der Link zu ein interessantes Video (wie einfach es doch ist ein E-Mail Account zu hacken …)

www.youtube.com/watch

Bei selbst programmierter Software sollte folgendes beachtet werden:

Aufgrund der schnell steigenden Rechenleistung heutiger Rechner können bei der Brute Force Attacke zunehmend mehr Möglichkeiten pro Zeiteinheit durchprobiert werden. Somit sind immer längere Passwörter oder solche aus einer größeren Vielzahl an verwendeten Zeichen für einen ausreichenden Schutz gegen die Brute-Force-Methode erforderlich.

Gegenmaßnahmen beinhalten unter anderem die Verwendung von Key-Stretching oder Salts. Beim Key-Stretching wird durch wiederholte Iteration eines Hashes (PBKDF2) oder durch komplizierte Vorbereitungsmaßnahmen für die Ausführung eines Algorithmus (bcrypt) die Rechenzeit zur Berechnung des finalen Hashwertes vergrößert oder durch intensiven Speichergebrauch die Ausführung auf schnellen ASICs oder FPGAs, die beide nur über vernachlässigbaren Speicher verfügen, verhindert (scrypt[1]). Der Salt, der mit dem Passwort konkateniert wird dient dazu, die Erstellung von Rainbow-Tables durch Vergrößerung des Urbildbereichs zu verhindern. Der Schlüssel wird also durch gewisse Methoden ?gestreckt?, sodass ein Passwort mit Key-Stretching mit geringerer Komplexität dennoch rechenäquivalent zu einem komplexeren Passwort ohne Key-Stretching ist.

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen