Diskussion zu Benutzerdaten auf phpBB.de ausspioniert

[Christophe]

Ich selbst verwende 4 PHPBB2 Boards, welche alle über eine gemeinsamme Usertabelle verfügen.
(...)
zumal ich mir ein bisschen sorgen jetzt mache, um meine foren.

Wenn dir die Sicherheit der Passwörter am Herzen liegt, d.h. der Aufwand, den man betreiben muss um an ein Passwort zu gelangen, nachdem der Server kompromittiert wurde, dann würde ich auf phpBB3 umsteigen. Die Passwortsicherheit hat sich dort um einiges erhöht.

Ich habe mir die Funktion mal angeschaut. Derzeit verstehe ich nicht den Sinn darin den Salt bzw. die MD5 Funktion x mal zu generieren und zurückrechnen zu können etc.

Faktisch geht es doch nur darum einen zufälligen String dem Passwort hinzuzufügen, damit der md5-String in der Datenbank alleine nicht nützlich ist.

Kann mir mal jemand die Mehrsicherheit dahinter erklären?

Der Salt dient lediglich dazu das Nutzen von Rainbow-Tables zu erschweren. Das eigentliche Problem ist: MD5 ist zu schnell. Deshalb wendet man es mehrmals an, das ist dann langsamer. (: Das verlängert Brute-Force-Angriffe und macht sie ineffizient.

Zum Weiterlesen: http://www.securityfocus.com/blogs/262

[ThoRr]

Das blöde ist, das ist ein Passwort, das ich ganz neu und fast überall habe. Und das möchte ich eigentlich nicht wechseln - und das E-Mail-Konto schon gar nicht

[nehcregit]

Vielleicht passiert damit auch gar nichts weiter, außer, dass die Mailadressen mit Spam vollaufen. Aber das sind jetzt alles wilde Spekulationen.

Warten wir doch einfach ab. Wäre nur schön, wenn man mich nicht vergessen würde.

[gsxfan]

Und nochmal für alle: Die Lücke die ausgenutzt wurde existiert nicht im vanilla phpBB 2.x. Es wurde durch eine Drittsoftware und einem anderen besonderen Umstand "aufgerissen". Wir könnten Euch exakte Angaben bieten, jedoch, wie schon sehr oft gesagt, behalten wir diese Infos wegen laufender Ermittlungen zurück und nicht weil wir "unsere Fehler nicht zugeben wollen". Wäre letzteres der Fall gewesen, hätte keiner von Euch von der Attacke erfahren und wir die Lücke klammheimlich geschlossen.

Ich bin jedenfalls froh, dass dieser Angriff nicht einfach unter den Teppich gekehrt wurde und dass das Team mit offenen Karten spielt. Hut ab, soviel Ar*** hat nicht jeder in der Hose.
Allerdings sind (aus verständlichen Gründen) die Karten nicht ganz offen. Ihr könnt euch aber ganz sicher denken, dass sich nun sehr viele der hier Versammelten selbst Gedanken um die Sicherheit des eigenen Boards machen. Denn vieles von dem, was hier an Mods eingebaut wurde, läuft auch bei anderen und ich habe hier bislang noch keine Erweiterung gesehen, die nicht auch woanders laufen würde. Manches von den hier laufenden Mods habe ich selbst am Start.
Daher wäre es wirklich wichtig für die Sicherheit vieler Boards, zu wissen, was genau die Lücke war, damit auch andere diese schliessen können. Denn diese dürfte nicht nur hier existent sein.
Wäre echt nett, wenn dies bald geschehen würde.

Uwe

[Michael_17]

Danke für Eure Mitteilung!

Ich werde meinen Acount auf keinen fall löschen
Ihr habt, so schnell ihr konntet, jeden User eine Mail
gesendet, und eun nicht klamheimlich aus der Affäre
gezogen!
Das verdient meine Hochachtung!

Gruß
Michael

[mgutt]

Nicht? Klaro. Autologin-ID heißt der String und User-ID ist noch drin.

Autologin-ID == md5(pw) aus der Db oder irre ich mich da jetzt?

Auszug aus der sessions.php (Generierung der Autologin-ID):

Code: Alles auswählen

$auto_login_key = dss_rand() . dss_rand();

Danke! Bleibt also nur zu klären, ob die Session-Tabelle ausgelesen wurde

Also ist das Cookie nur dann unsicher, wenn der Hacker die DB hat oder das Cookie des Nutzers klauen konnte. Wobei die DB nützt ihm nicht allzu viel, da er dann wieder zurückrechnen müsste.

phpBB2 ist doch sicherer als ich dache, fein fein

[Dolly]

Würde mich schon mal interessieren wie Ihr das Problem bemerkt habt.

Denn ständig sehe ich die Log-Dateien auch nicht durch.

[mgutt]

Generell kann man jedes Passwort herrausbekommen, man muss es nur oft genug probieren. Bei Buchstaben Zahlen-Kombis hat man 26 +26+ 10 = 64 Möglichkeiten pro Stelle also 64hoch8 Möglichkeiten, das entspricht 281.474.976.710.656 Möglichkeiten die du alle ausprobieren müsstest um das Passwort Garantiert zu haben.

Das ist aber Bruteforcing. Das funktioniert bei phpBB bzw. auf kaum einer Internetseite. Nach 3-5 Versuchen ist meist schluss.

Gruß

[Gairigo]

Moin Läude,

ich habe mir nun ca. 220 Beiträge zu diesem Thema in diesem Thread durchgelesen.

Sorry, aber wenn nur ca. 50% der hier teilweise "depperten" Beiträge repräsentativ für deutschsprachige phpBB Forenbetreiber steht, dann wundert mich ehrlich gesagt gar nichts mehr.

Etlichen hier von sachlichen Poster geschriebenen Beiträgen kann ich jedenfalls nur wohlwollend zustimmen.

-----------------

Ich wünsche dem phpbb.de Team eine erfolgreiche Aufklärung und vor allem einen, wenn überhaupt möglich, zukünftigen Schutz vor solchen Attacken.

Auch unser Board könnte jetzt gleich und/oder morgen davon betroffen sein.

Ich danke dem phpbb.de Team für die zeitnahe Information des Vorfalles per Email.

[Andreas Döbeling]

Hey, ich bin ja hier angemeldet *g* Gut zu wissen, wusste ich schon lange nicht mehr . Geht doch nix über eine beruhigende Infomail .

Ich denke wir sollten die Admins jetzt alle steinigen . Ne, als vorsichtiger Mensch, ist mein PWD hier so sicher, dass ich mir erstmal ein neues habe generieren lassen, weil ich es nicht mehr wusste ^^. So gesehen, packt mich jetzt grade nicht so richtig die Panik. Und wenn ich noch wo anders dieses Passwort verwerdet haben sollte... ka *g*.

Mhh ne, der Vorfall hier macht mir ehrlich gesagt Gedanken. Vll. sollte man nur, sagen wir mal nur 100 Zugriffe auf die Passwort-/Emailspalte pro Minute erlauben. Angesichts der Userzahl hier, hätte das vermutlich schon einiges verhindert, oder zumindest sehr in die Länge gestreckt. Auf die Sessions hätte man ja weiterhin freien Zugriff legen können...

Naja, ich überlege mir auf jd. Fall für meine privaten Systeme mal sowas... Sicher ist sicher ^^.

Grüße
Andreas