$xNeTworKx: Über fremde Session .htaccess PWSchutz überlistet ?

Hallo,

da gibts etwas, was mich ein wenig stutzig macht. Eine Freundin von mir arbeitet bei einer Bank, und erzählte mir, daß sie jemand gehackt hätte, weil sie prompt ihre Passwörter ändern musste (auf Anweisung der EDV). In meinem .htaccess geschützten Forum postete die Freundin von mir um 17:07. Dann postete jemand, den ich noch nie vorher gesehen habe, der aber die gleiche ip hatte wie meine Freundin, sogar die gleiche Email Adresse war angegeben (es kann natürlich jeder, der postet irgendeine Email Adresse hinschreiben, aber den Bezug zu all dem find ich etwas komisch). Jetzt frag ich mich, ist es möglich über die Session von meiner Freundin in einen mit .htaccess geschützten Bereich einzudringen?  Und weis dieser Typ jetzt das Passwort ? Wenn man in einem mit .htaccess gschützten Bereich einloggt, kann man ja das Passwort speichern, um es bei nächsten Mal nicht erneut eingeben zu müssen. Wie bzw wo wird das eigentlich gespeichert, und ist dieser Vorfall Grund genug, das Passwort zu ändern ?

  1. Hi,

    In meinem .htaccess geschützten Forum [...]

    das, was Du hier ".htaccess-Schutz" nennst, ist Basic bzw. Digest Authentication und erfordert eine Anmeldung des jeweiligen Client. Über URL-Kopie oder ähnliches kann das nicht geschehen. Entweder hat sich derjenige welcher mit dem selben Benutzernamen und Passwort eingeloggt, oder aber er hat den selben Browser verwendet, nämlich exakt den, den Deine Freundin nach dem Einloggen leichtsinnigerweise nicht beendet hat.

    Entweder kennt der Knilch also ihr Passwort, oder er war an ihrem Rechner.

    Cheatah

    1. Hallo,

      das, was Du hier ".htaccess-Schutz" nennst, ist Basic bzw. Digest Authentication und erfordert eine Anmeldung des jeweiligen Client. Über URL-Kopie oder ähnliches kann das nicht geschehen. Entweder hat sich derjenige welcher mit dem selben Benutzernamen und Passwort eingeloggt, oder aber er hat den selben Browser verwendet, nämlich exakt den, den Deine Freundin nach dem Einloggen leichtsinnigerweise nicht beendet hat.

      Entweder kennt der Knilch also ihr Passwort, oder er war an ihrem Rechner.

      Also würdest du sagen, daß es besser ist, daß Passwort zu ändern ?

      1. Hallo !

        Also würdest du sagen, daß es besser ist, daß Passwort zu ändern ?

        Paßwortändern kann fats nie schaden ... ;)

        Lieber einmal zuoft ändern, als einmal zuwenig.

        MfG
        Götz

        1. Hi,

          Lieber einmal zuoft ändern, als einmal zuwenig.

          richtig. Zudem sollte das Passwort

          a) _keine_ Bedeutung haben, und
          b) natürlich nirgendwo aufgeschrieben sein ;-)

          Cheatah

          1. Hallo Cheatah!

            a) _keine_ Bedeutung haben, und
            b) natürlich nirgendwo aufgeschrieben sein ;-)

            Du hast noch etwas vergessen:
            c) möglichst viele Sonderzeichen usw. enthalten, weil man sichs dann noch weniger merken kann ;)

            MfG
            Götz

            1. Hi,

              c) möglichst viele Sonderzeichen usw. enthalten, weil man sichs dann noch weniger merken kann ;)

              das ist eigentlich nur relevant, wenn man von automatisierten Passwort-Findungen (Brute Force) ausgeht, weil man durch mehr unterschiedliche Zeichen auch die Zahl der Kombinationen erhöht. Ebenso mächtig ist an der Stelle aber eine Verlängerung des Wortes. Einige meiner Kollegen geben beispielsweise einen vollständigen Satz als Passwort ein - mit Umlauten, Groß-/Kleinschreibung, Leer- und Satzzeichen. Der Nachteil ist, dass dem Satz natürlich eine Bedeutung innewohnt, so dass die _nicht_ automatische Erkennung (auch bekannt als "raten") stark vereinfacht wird.

              Darum, dass es schwer merkbar ist, geht es nämlich nicht... :-)

              Cheatah

              1. Moin,

                Einige meiner Kollegen geben beispielsweise einen vollständigen Satz als Passwort ein - mit Umlauten, Groß-/Kleinschreibung, Leer- und Satzzeichen. Der Nachteil ist, dass dem Satz natürlich eine Bedeutung innewohnt, so dass die _nicht_ automatische Erkennung (auch bekannt als "raten") stark vereinfacht wird.

                Ausserdem fällt hier das länger == besser-Argument sofort flach. Das Passwort sollte möglichst zufällig, d.h. auch die einzelnen Zeichen möglichst unabhängig voneinander sein. Von irgendwoher (weiss nicht mehr genau) habe ich die Angabe, dass englische Prosa nur etwa 1 bis 2 Bit Entropie pro Buchstabe hat und bei deutscher dürfte das ähnlich aussehen. Ein Satz der ein achtbuchstabiges Passwort ersetzen soll (ich nehme jetzt für gute Passworte mal 6 Bit pro Zeichen an, das sollte ein realistischer Wert für Groß/Kleinbuchstaben, Zahlen und ein paar Sonderzeichen sein) muss dann also 48 bis 24 Zeichen haben. Viel Spaß beim Tippen.

                --
                Henryk Plötz
                Grüße aus Berlin

    2. Hallo!

      das, was Du hier ".htaccess-Schutz" nennst, ist Basic bzw. Digest Authentication und erfordert eine Anmeldung des jeweiligen Client. Über URL-Kopie oder ähnliches kann das nicht geschehen. Entweder hat sich derjenige welcher mit dem selben Benutzernamen und Passwort eingeloggt, oder aber er hat den selben Browser verwendet, nämlich exakt den, den Deine Freundin nach dem Einloggen leichtsinnigerweise nicht beendet hat.

      Aber wenn man sich jetzt meinetwegen fürs online-Banking irgendwo per Basic Authentication eingeloggt hat und das Browserfenster nicht schließt und auf eine ganz andere Seite surft. Werden die Authorisierungsdaten dann auch immer mitgeschickt, oder nur an den einen Server? Denn das wäre gerade bei Basic eine sehr große Sicherheitslücke, also von wegen Logs...!
      Jedenfalls könnte man ja aus dem Netzwerk seiner Freundin an das Passwort kommen, indem man einfach den Verkehr mithört. Geht das eigentlich grundsätzlich von jedem Computer im LAN, oder nur wenn HUBs verwendet werden, so dass alle Pakete an alle geschickt werden? Denn sonnst wüßte ich nicht wie das funktionieren sollte?!

      Grüße
      Andreas

      1. Hi,

        Aber wenn man sich jetzt meinetwegen fürs online-Banking irgendwo per Basic Authentication eingeloggt hat und das Browserfenster nicht schließt und auf eine ganz andere Seite surft. Werden die Authorisierungsdaten dann auch immer mitgeschickt, oder nur an den einen Server?

        nur für den Bereich, für den die Authentication gilt; in aller Regel also die Kombination aus Protokoll, Host (nicht nur Domain) und Verzeichnis.

        Jedenfalls könnte man ja aus dem Netzwerk seiner Freundin an das Passwort kommen, indem man einfach den Verkehr mithört. Geht das eigentlich grundsätzlich von jedem Computer im LAN, oder nur wenn HUBs verwendet werden, so dass alle Pakete an alle geschickt werden? Denn sonnst wüßte ich nicht wie das funktionieren sollte?!

        Damit habe ich leider keine praktische Erfahrung. Im Zweifel ist es aber sicher nur eine Frage des Aufwandes.

        Cheatah

      2. Moin,

        Jedenfalls könnte man ja aus dem Netzwerk seiner Freundin an das Passwort kommen, indem man einfach den Verkehr mithört. Geht das eigentlich grundsätzlich von jedem Computer im LAN,

        Im Prinzip ja. Und auch von jedem Rechner der zwischen dem Browser und dem Server liegt.

        oder nur wenn HUBs verwendet werden, so dass alle Pakete an alle geschickt werden?

        Das ist nicht zwingend. Es gibt genügend Möglichkeiten auch Switche dazu zu kriegen die Pakete an dich als Angreifer zuzustellen. Das kann zwar durch Konfiguration des Switches verhindert werden, in der Praxis macht das aber fast niemand.

        Außerdem gibt es da noch eine Möglichkeit, wenn der Angreifer nur mal kurz an den Rechner kommt: http://www.odem.org/insert_coin/ <- sehr interessant, viel Spaß beim Lesen.

        --
        Henryk Plötz
        Grüße aus Berlin

        1. Hi!

          oder nur wenn HUBs verwendet werden, so dass alle Pakete an alle geschickt werden?

          Das ist nicht zwingend. Es gibt genügend Möglichkeiten auch Switche dazu zu kriegen die Pakete an dich als Angreifer zuzustellen. Das kann zwar durch Konfiguration des Switches verhindert werden, in der Praxis macht das aber fast niemand.

          Muß man sich den wenigsten richtig auskennen für sowas, odr gibts da auch irgendwelche Tools die das von alleine machen? Denn ersters wäre schonmal ein bedeutendes Hindernis!

          Außerdem gibt es da noch eine Möglichkeit, wenn der Angreifer nur mal kurz an den Rechner kommt: http://www.odem.org/insert_coin/ <- sehr interessant, viel Spaß beim Lesen.

          Ja, das ist es halt, man muß an den Rechner. Wenn man an den Rechner kommt kann man ALLES! Kannst Du auch mit dem Hammer draufhaun, 20 Trojaner installieren, 5 veschiedene proxies einstellen irgendwas löschen...
          Und ich bin immer noch der Meinung, das das Risiko das dazwischen irgendein böser Rechner steht zwar da ist, aber so verschwindend gering, das es sich kaum lohnt darüber nachzudenken. Bestimmt könnten die Amis auch mit irgendwelchen Sateliten durch die Zimmerdecke meine Tastatureingaben filmen...
          Aber mal im Ernst, wenn Du Dir bis zu Deinem provider sicher bist was mit Deinen Daten pasiert, wo soll denn dann noch was passieren? Ich kann doch nicht meinen PC ans Internet hängen und den gesamten Traffic  der Aachener Innenstadt darüberleiten, halt als Router... das kann man doch nicht! Ok, Du hast vielleichtr 10 Stationen, die Deine Daten passieren, bis sie den Server in München erreichen. Davon sind einige Telekom, andere Level3, dann Schlund - fertig. Ok, vielleicht noch die ein oder andere Zwischenstation, aber welche Knoten davon sind denn manipulierbar? Vermutlich läuft das alles bis zum Provider nur über spezialisierte Hardware, und dann nur von Firmen, die einige Anforderungen erfüllen müssen, um überhaupt derartige Mengen an Daten über Ihre Leitungen laufen lassen zu können/dürfen(!!)
          Ich kann mir jedenfalls keine Möglichkeit vorstellen, wo hier ein Angreife einen Ansaztpunkt hätte es sei denn er arbeitet bei solchen Firmen, aber selbst dann wird es Sicherheitsmechanismen geben.
          ich weiß, wir haben da schon öfter drüber diskutiert, aber Ihr sagt immer Ihr kennt die Rechner nicht also vertraut Ihr Ihnen nicht. Nur kann ich mir wie gesagt nicht vorstellen das es irgendwie möglich ist, auf der hohen Ebene irgendwelche hochspezialisierten Router... zu manipulieren. Die Firman die derartige Hardware zur Verfügzung stellen haben ja eine Verantwortung, daher wird das alles schon abgesichert sein, oder meint Ihr nicht?

          Grüße
          Andreas

          1. Moin,

            Muß man sich den wenigsten richtig auskennen für sowas, odr gibts da auch irgendwelche Tools die das von alleine machen? Denn ersters wäre schonmal ein bedeutendes Hindernis!

            Nein, sowas gibt es auch in Skript-Kiddie-tauglich. Dsniff ist das Standardbeispiel und enthält allerlei lustige Tools, Ettercap kann das auch, wenn ich mich richtig erinnere, und dann gibt es bestimmt noch wesentlich mehr.

            Ja, das ist es halt, man muß an den Rechner. Wenn man an den Rechner kommt kann man ALLES! Kannst Du auch mit dem Hammer draufhaun, 20 Trojaner installieren, 5 veschiedene proxies einstellen irgendwas löschen...

            Eben. Und wenn der Rechner nicht bei dir zu Hause steht, stehen die Chancen gut, dass jedermann (fast) jederzeit ran kann. Social engineering heisst das Zauberwort.

            Und ich bin immer noch der Meinung, das das Risiko das dazwischen irgendein böser Rechner steht zwar da ist, aber so verschwindend gering, das es sich kaum lohnt darüber nachzudenken. Bestimmt könnten die Amis auch mit irgendwelchen Sateliten durch die Zimmerdecke meine Tastatureingaben filmen...

            Davon ist nicht auszugehen.

            Aber mal im Ernst, wenn Du Dir bis zu Deinem provider sicher bist was mit Deinen Daten pasiert, wo soll denn dann noch was passieren? Ich kann doch nicht meinen PC ans Internet hängen und den gesamten Traffic  der Aachener Innenstadt darüberleiten, halt als Router... das kann man doch nicht! Ok, Du hast vielleichtr 10 Stationen, die Deine Daten passieren, bis sie den Server in München erreichen. Davon sind einige Telekom, andere Level3, dann Schlund - fertig. Ok, vielleicht noch die ein oder andere Zwischenstation, aber welche Knoten davon sind denn manipulierbar?

            Prinzipiell musst du davon ausgehen, dass jeder Knoten manipulierbar ist. Das fängt bei dir im LAN an: Da wären die Schussel, die mal eben eine Windows-Freigabe offen lassen, dann die anderen die sich um Sicherheit gar nicht kümmern (sie beteuern ja immer wieder, dass sie keine wichtigen Daten auf dem Rechner haben; vergleiche auch die Nachbarthreads zu OE), deren Rechner sich aber prima als Zwischenstationen oder sniffing zombie eignen, und der schlechtgelaunte Ex-Mitarbeiter ist auch immer wieder für eine böse Überrasschung gut.
            Dann ist da die Leitung von dir bis zum Provider: Ein ambitionierter Angreifer könnte sich da theoretisch anklemmen.
            Naja, dann die diversen Provider selbst ja sowieso (vergleiche mit den armen Schweinen in NRW, die von ihrer Regierung zu bösen Sachen gezwungen werden, oder den noch Ärmeren in Amiland oder China).
            Dann ist auch gar nicht mal unbedingt sichergestellt, dass die Pakete alle dahin gehen, wohin sie sollen. Und im Netz des Serverproviders sieht das dann wieder ähnlich aus, wie bei dir im Firmenlan.
            Ein staatlicher Grosser Bruder oder interessierter Geheimdienst hätte evt. noch mehr Möglichkeiten.

            ich weiß, wir haben da schon öfter drüber diskutiert, aber Ihr sagt immer Ihr kennt die Rechner nicht also vertraut Ihr Ihnen nicht.

            Genau, die Kurzfassung ist: Das Internet ist Böse. Was heute noch nicht kompromittiert ist, kann es morgen schon sein.

            Ich weiss, dass alle Vergleiche hinken, aber nimm mal eine Postkarte: Würdest du damit Geheimnisse oder Geld verschicken? Was? Traust du der Post oder dem netten Briefträger etwa nicht?

            Ein Datenpaket hat ungefähr die selbe Geheimhaltung - nicht ganz, das Abhören und Manipulieren von Datenpaketen ist in großen Ausmaßen wesentlich einfacher.

            --
            Henryk Plötz
            Grüße aus Berlin