DVB-Cube BETA <<< Das deutsche PC und DVB-Forum >>>

PC-Ecke => # Security Center => Thema gestartet von: SiLæncer am 11 Februar, 2009, 06:13

Titel: Schäuble gehackt
Beitrag von: SiLæncer am 11 Februar, 2009, 06:13

Sicherheitslücke in Typo3 ausgenutzt

Bundesinnenminister Schäuble wirbt unfreiwillig für den AK Vorratsdatenspeicherung: Angreifer haben seine Website mit einem auffälligen Link auf Vorratsdatenspeicherung.de versehen.

(http://scr3.golem.de/screenshots/0902/Schaeuble-Typo3/schaeuble1.png)

Die Website wolfgang-schaeuble.de nutzt das freie Content-Management-System Typo3, für das am Dienstag ein Sicherheitsupdate veröffentlicht wurde. Angreifer nutzten eine Sicherheitslücke in dem noch nicht aktualisierten Typo3-System, um die Inhalte auf der Website zu verändern.

So heißt es nun auf der Website unübersehbar "VISIT: Vorratsdatenspeicherung", versehen mit einem Link auf vorratsdatenspeicherung.de . Weiter unten gibt es zudem den Hinweis: "Typo3 Please update it ;) And change passwords." An dieser Stelle wird zudem auf den Security Bulletin TYPO3-SA-2009-002 verlinkt.

(http://scr3.golem.de/screenshots/0902/Schaeuble-Typo3/schaeuble2.png)

Die Typo3-Entwickler haben die entsprechende Sicherheitslücke mit dem Update beseitigt und das CMS in den Versionen 4.2.6, 4.1.10 und 4.0.12 veröffentlicht.

Quelle : www.golem.de

Titel: Re: Schäuble gehackt [Update]
Beitrag von: SiLæncer am 11 Februar, 2009, 12:24

Update:
Die Webseite wird derzeit anscheinend überarbeitet und gibt nur noch die Meldung "Die gewünschte Seite ist temporär nicht ereichbar" aus. Das Passwort war übrigens "gewinner".

Quelle : www.heise.de

Titel: Re: Schäuble gehackt
Beitrag von: Warpi am 11 Februar, 2009, 12:33

Wahre Expertinnen und Experten.  ;D

Titel: Re: Schäuble gehackt
Beitrag von: Jürgen am 11 Februar, 2009, 15:46

Da kommt doch grosses Vertrauen auf, dass alle von Schräuble & Co. über uns gesammelten Daten bei denen sicher sind  ::)
Wahltag ist Zahltag  >:(

Titel: Re: Schäuble gehackt
Beitrag von: Gulliver am 12 Februar, 2009, 00:00

Wenn dann mal nicht das nächste Passwort "verlierer" ist. ???

Titel: Nach Typo3-Lücke: Hochkonjunktur beim Hash-Cracking
Beitrag von: SiLæncer am 12 Februar, 2009, 19:40

Der Betreiber der Website hashcrack.com verzeichnet seit gestern einen "Boom" bei der Nutzung des Online-Dienstes zum Knacken von MD5-Hashes. Die Zugriffszahlen hätten sich innerhalb von zwei Tagen rund verzehnfacht. Vermutlich steht der Anstieg im Zusammenhang mit einer kritischen Sicherheitslücke im weit verbreiteten Content-Management-System Typo3. Um sie auszunutzen, muss ein Angreifer das zu einem MD5-Hash gehörige Passwort herausbekommen. Ist ein Angreifer einmal an den Hash des Admin-Passwortes gelangt, kann er die Inhalte der Website beliebig manipulieren. Auf diese Weise veränderten Unbekannte beispielsweise die Internetpräsenz von Innenminister Wolfgang Schäuble und des Fußballvereins FC Schalke 04.

(http://www.heise.de/bilder/132475/0/0)

Da die Typo3-Hashes kein sogenanntes Salz enthalten – einen Zufallsanteil, der gewisse Knackmethoden vereitelt – lassen sich die Passwörter mit Hilfe von Regenbogentabellen und Hashdatenbanken wie hashcrack.com innerhalb weniger Minuten bis Tage berechnen. Regenbogentabellen erreichen je nach Zeichenvorrat und Länge der anvisierten Passwörter sowie der gewünschten Erfolgsquote eine Größe von mehreren hundert Gigabyte. Ihre Berechnung benötigt teils Monate auf spezieller Hardware, doch einmal erstellt lassen sie sich für alle ungesalzenen Hashes verwenden.

Auch andere Webseiten wie die Portale milw0rm und GDataOnline bieten ein solches Hash-Cracking an. Sie können größtenteils mit mehreren Hash-Typen umgehen, etwa auch Microsofts NTLM- und LM-Hashes und SHA1. Auf freerainbowtables.com beispielweise gibt es Regenbogentabellen für diverse Hashes und Passworttypen zum kostenlosen Download. Eines der bekanntesten Knackprogramme ist das Tool ophcrack.

Quelle : www.heise.de