HomeArtikelDownloadsForum
PCFreunde.deArtikelAllgemeinH4ckb3rts BlogH4ckb3rts Blog: Jetzt ist Schluss mit lustig!
Besucher online: 46
Hinweis
Diese Seite steht zum Verkauf.
Mehr Infos

Schnellsuche

Kategorien
Montag, 30. Mai 2011 Seite 8/22
KW 15: Des Admins feuerheißer Stuhl
H4ckb3rts Blog (Quelle: PCFreunde.de)
Ich hatte in der letzten Woche die Arbeit eines Kollegen zu übernehmen, der aus seinem bisherigen Arbeitsverhältnis ausgeschieden ist. Er wurde gefeuert. Soweit ich das einschätzen kann, ist das auch durchaus zurecht geschehen, denn der gute Mann war weder hinsichtlich seiner Kompetenz noch hinsichtlich seiner Zuverlässigkeit eine strahlende Leuchte. Eher ein dunkler, muffiger Abgrund.

Nun ist mein armer Vorgänger zu seinem Job aber auch gekommen wie die Jungfrau zum Kinde. Er wollte nie Admin werden, er war nur schlecht im Neinsagen. Nachdem er in seiner ersten kleinen Firma als der "Computermensch" geoutet war, konnte er sich vor IT-Anfragen bald nicht mehr retten. Mangels anderer Computermenschen machte sein Name die Runde und so stolperte er von Auftrag zu Auftrag, bis er irgendwann Vollzeitadmin war.

0tt0 kommentiert diese Entwicklung scharfsichtig wie immer: "Für Computermenschen ist es heute wie zu Zeiten der Inquisition. Damals zeigte man mit dem Finger auf eine Frau, die fünf Kräuter auseinanderhalten konnte und sagte: 'Das ist eine Hexe!' und dann war sie auch eine. Heute zeigt man auf jemanden, der nicht zu doof ist, ein iPhone zu bedienen und sagt: 'Das ist ein Computermensch.' Und schon geht es ab auf den Admin-Scheiterhaufen!"
Dropbox: Unsicher von Hause aus
Dropbox (Quelle: dropbox.com)
Dropbox ist das iPhone unter den Datenhalden: So einfach zu bedienen, dass ein Schimpanse damit umgehen könnte. Jeder Computer-Analphabet kann die Software beherrschen und seine Dateien sichern, synchronisieren und verteilen. Nun dürfte – zumindest den Lesern des hiesigen Blogs – bekannt sein, dass das iPhone immer wieder mit gravierenden Sicherheitsproblemen zu kämpfen hat. Ob sich also die eingangs gezogene Parallele auch auf die Sicherheit von Dropbox bezieht? Selbstverständlich!

Wie Sicherheitsexperte Derek Newton einigermaßen zurückhaltend bekannt macht, ist Dropbox in so unsicherer Weise konzipiert, dass eigentlich allen Usern kollektiv der Mund offen stehen bleiben müsste. Bei den von Newton aufgedeckten Sicherheitslücken handelt es sich noch nicht mal um Hacks im eigentlichen Sinne. Die planmäßige Funktionsweise des Dropbox-Clients scheint keinerlei Schutz der lokalen, zu Authentifizierung verwendeten Nutzerdaten vorzusehen.

Der Dropbox-Ordner unter Mac OS X (Quelle: PCFreunde.de)
Konkret gesprochen verwendet Dropbox eine Datei "config.db", in der die Anmeldeinformationen des Nutzers gespeichert sind. Die Datei liegt unter Windows im Ordner %APPDATA%\Dropbox. Dieser Ordner wird vom Betriebssystem nicht geschützt, anders als beispielsweise der "Programme"-Ordner. Darum kann der Nutzer selbst, aber auch jeder, der in seinen Kontext einbrechen kann, die Konfigurationsdatei kopieren. Und wer im Besitz dieser Datei ist, kann ohne Passwort auf die zugehörigen Dropbox-Daten zugreifen.

Ein Beispiel: Wird ein nichtsahnender Dropbox-Nutzer durch eine Trojanerinfektion, einen Freund oder Kollegen, der kurzfristig Zugriff auf seinen Rechner hat oder vielleicht auch durch einen böswilligen Admin um seine config.db-Datei gebracht, hat der Angreifer mühelos Zugriff auf die bei Dropbox gesicherten Daten des Attackierten. Er muss mittels eines SQLite-Tools die config.db-Datei dahingehend verändern, dass in ihr der Pfad zu seinem eigenen Dropbox-Ordner angegeben wird. Das ist aber auch schon alles. Anschließend kopiert die Dropbox-Installation des Angreifers alle Daten des Angegriffenen, ohne dass letzterer eine Chance hätte, den Diebstahl zu bemerken. Selbst eine spätere Änderung des Dropbox-Passwortes sperrt den Angreifer nicht mehr aus. Die Attacke funktioniert unter Windows XP, Windows 7, Mac OS X und Linux.

Dropbox' SQLite-Datenbank config.db (Quelle: PCFreunde.de)
Hält man sich jetzt vor Augen, dass viele Dropbox-Nutzer Passworte, persönliche Dateien und sogar Unternehmensdaten bei dem FileHoster speichern, wird das Ausmaß des Sicherheitsproblems deutlich. Von der Nutzung von Dropbox muss im Zusammenhang mit vertraulichen oder persönlichen Daten dringend abgeraten werden. Aber nicht nur das aktuelle Problem ist besorgniserregend: Viel schwerer wiegt die zutage getretene Arglosigkeit bei der Programmierung. Wenn die Authentifizierung eines Clients nur von einer winzigen Datenbankdatei abhängt, liegt die Vermutung nahe, dass weitere, noch gravierendere Sicherheitsprobleme tiefer im Dropbox-Code verborgen sind.

Nun könnte man argumentieren, dass die Sicherheitslücke gar nicht so dramatisch sei, weil der Angreifer schon Zugriff auf die persönlichen Dateien eines Dropbox-Nutzers haben muss, um dessen config.db-Datenbank zu entwenden. Wozu noch der Umweg über Dropbox, wenn man sowieso schon alle Files hat? Aus einem einfachen Grund: Die Dropbox-Lücke liefert eine dauerhafte Hintertür ins System des Opfers, ganz ohne komplizierte Windows-Exploits. Hat der Angreifer sich einmal an den Dropbox-Account drangehängt, kann er alle Aktivitäten des Opfers verfolgen. Er kann auch Dateien verändern und beispielsweise Trojaner oder Rootkits unterschieben, die dann automatisch auf alle Dropbox-verbundenen Rechner des Opfers hinübersynchronisiert werden.

Allen Nutzern von Dropbox sei also hiermit eine deutliche Warnung ausgesprochen: Euer Tool ist löchrig, eure Daten sind in Gefahr! Solange die Dropbox-Clients nicht aktualisiert wurden, ist von einer Verwendung des Programms nur abzuraten.
Gartenspielzeug: Ferngesteuerter Rasenmäher und Paintball-Geschütz
Ein ferngesteuerter Rasenmäher. So muss das. (Quelle: YouTube)
Der Sommer naht und mit ihm die Rasenmäh-Saison. Zahllose Gartenfreunde, Laubenpieper und Dorfbewohner werden ihre Wiesenfrisiermaschinen übers Grün schieben und das mehr oder weniger unterhaltsam finden. Für diejenigen unter uns, die der Technik mehr und der Natur weniger zugetan sind, gibt es da inzwischen Spaßbeschleuniger: Rasenmäher mit Fernsteuerung und Live-Kamera. Mit diesen drohnenartigen Schmuckstücken kann man den Rasen vom komfortablen Wohnzimmer aus kürzen. Konsolenfeeling!

Vollautomatisches Paintball-Geschütz (Quelle: YouTube)
Der U.S.-Bastler, dem wir einen dieser Terminator-Rasenmäher verdanken, liefert aber noch ein zweites Spielzeug: Ein vollautomatisches Paintball-Geschütz! Es wird nicht ferngesteuert, sondern verfügt über eine autonome Zielauffassung und malt alles, was ihm vor die Kamera kommt, in Hochdruck-Pointilliertechnik bunt an. Aus langweilig-praktischer Sicht ist so etwas natürlich kompletter Unsinn, aber wer die Videos angesehen hat, weiß: Manchmal ist Unsinn sehr cool und macht viel Spaß.
Pieps: Ein Lebenszeichen von den Happy Ninjas
Kurze Richtigstellung der Happy Ninjas (Quelle: Happy Ninjas)
Ein vorab veröffentlichter SHA1-Hash in der letzten Nachricht von den Happy Ninjas stellte sicher, dass die nächste Wortmeldung von den glücklichen Schattenkämpfern ihnen eindeutig zuzuordnen sein würde. Diese nächste Meldung wurde jetzt gemacht, allerdings leider nicht in Form eines ausgewachsenen E-Zines, sondern nur als Ohrfeige für ein weiteres deutschsprachiges Untergrund-Forum und deren noch unbekannte Hacker. In die Seite HBA-Crew.to wurde nämlich eingebrochen und die Angreifer meinten, für die erbeutete Forumsdatenbank Geld fordern zu können.

Mit dieser Erpressung waren die Happy Ninjas – wohl auch nicht zuletzt angesichts der erbärmlichen Geldforderung von 250 € – nicht einverstanden. Sie haben einfach die Datenbank von hba-crew.to, die sie sich offensichtlich selbst zuvor schon erhackt hatten, veröffentlicht und somit den Erpressern den Boden unter den Füßen weggezogen. Mehr als eine Randnotiz war ihnen das aber nicht wert und dementsprechend peinlich berührt sind hoffentlich die zurechtgewiesenen Amateurhacker. Die Happy Ninjas beschließen ihr Statement mit dem Unterschrifts-SHA-Hash für ihre nächste Verlautbarung und so dürfen wir auf ihr nächstes E-Zine gespannt sein.
ZurückWeiter
© Copyright PCFreunde.de
Inhaltsverzeichnis
Kommentare
Schreib uns deine Meinung zu diesem Artikel - einfach registrieren und los!
Kommentar schreiben
 
Hollywood
05.01.2011 17:29
Rückblick 2010: Noch mehr Totalversagen das Video die Ak ist das geilste :mrgreen:
Wie der zweite sich schrottlacht !
 
geilo
11.01.2011 18:51
Nei das mit dem Golf 2oder das wo der Fussball Spieler ausrutscht uund die Treppe runterrustscht
 
BgF
18.01.2011 16:16
Ich hatte ja meine bedenken was Kinect angeht.
Dachte wieder an irgendwelches rumgehampel, wie bei dem Wii Hype und eigentlich ist es auch nix anderes.
Doch wenn ich mich an den Film Minority Report erinnere :mrgreen:

Bin gespannt auf die Zukunft der Bewegungssteuerung.
 
geilo
30.01.2011 15:16
Wenn ich mich an den Film (T)Raumschiff Enterprise denke dann wird es auch nicht gerade der Renner in der Raumfahrt
 
nikasio14
15.02.2011 01:13
Sony = Fail ;-) Ich hab mich selten so schlapp gelacht, danke Hackbert!
Geohot Hat seine Sache aber fast noch besser gemacht :twisted:

Was die Folgen von BigBangTheory angeht, ich hoffe die deutschen Folgen gibt es bald im kino. Total mein Fall und absolut zum "auf-dem-Boden-umherrollen" =)
Fast schon besser als two-and-a-half-men ...

 
nikasio14
07.03.2011 22:53
hallo jungs!
betreffend der plug-computer: Wie kann man die programmieren/einstellen? Über RemoteAccess oder habe ich den Bildschirm-Eingang irgendwie übersehen!? :oops:

Ich denke gerade ernsthaft über solch eine Lösung nach weil ich non-stop unterwegs bin und sicher nicht mein laptop und 3 Festplatten mitschleppe...

Wie funktioniert das genau oder hab ich da einen Thread schon übersehen?

thx nikasio14
 
nikasio14
14.03.2011 22:53
:lol: Grüßli Müsli zurück 8)

Wuha ich glaub ich lern mal was Neues über SSH =)
Danke für die Hilfe!

Ich bin schon auf die nächsten Grundlagen-Infos gespannt! Wie wärs mit einem kleinen Einstieg ins erste dezentrale (kabel-)Netzwerk mit TCP-Protokoll und der Grundidee des internets, die ja mehr oder weniger auf TCP/IP basiert!? (Ich hoffe ich hab das jetzt richtig formuliert...)


Lg nikasio14
 
Piperjoe
18.04.2011 21:56
Sehr Schade das Geohot aufgegeben hat. Aber auch verständlich. Nach monatelangen Gerichtsverhandlungen gegen so einen Riesenkonzern wie Sony ist das ganze sicher ermüdent.

Grüße
Piperjoe

P.s.: Also habe ich an die EFF gespendet :>
 
geilo
23.04.2011 20:12
Vor 2 Wochen hatte ich die Entscheidung PS3 mit Move scheiß und XBox 360 Slim mit Kinect scheiß hab mich für die XBox entschieden!
Aber das ist vollkommen verständlich warum er aufgegeben hat er weiß das Sony Macht hat die er nicht hat!
Sony steckt viel viel viel viel Kohle in der Entwicklung von Sicherhei Microsoft entwickelt paar Spiele mehr schon haben sie mehr Kohle beide kommen zum Ziel. Aber ich werde mich eh von Sony Produkten fernhalten meine PSP ist nach 2 Jahren genau kaputt gegangen sie hat sich nicht mehr aufgeladen Reparatur sinnlos kostet mehr als ein neues Gerät
 
Nvidia Freak
18.05.2011 13:40
Also mit dem Artikel über Windows und Linux kann ich mich nicht mit anfreunden. In meiner Schule haben wir vor einem Jahr auf von Windows auf Linux gewechselt. Das hat bisher wunderbar geklappt und auch sämtlicher Aufwand das Netztwerk zu betreiben ist im Gegansatz zu dem Betrieb mit Windows merklich geschrumpft. Es ist auch kein "tippintensiver Alptraum". Auch sind bisher Probleme wie Viren oder ähnliches weggefallen und sollte ein PC mal nicht mehr funktionieren, ist er innerhalb einer Viertelstunde neu aufgesetzt. Mit Windows habe ich sowas bisher noch nicht hinbekommen.
Die meisten Probleme die noch auftauchen, haben wir mit unseren verbliebenen Windows-Rechnern.

Nachtrag eines anderen Admins
Die Organisation des Auswärtigen Amts mit Linux wurde katastrophal geleitet - Stichwort "Eigene Distribution"
 
geilo
18.05.2011 22:37
Nun ja aber wer will nun extra Tage lang Treiber und Software für Linux suchen? Für eine Schule ist das nicht schwierig die brauchen nur Office aber bei CNC wird das schon schwieriger.
Vielleicht ist Linux besser aber wozu sollte ich wechseln wenn Windows so toll funktioniert?
 
Nvidia Freak
19.05.2011 20:50
Naja, auch eine Schule braucht mehr als nur Office. Und mit Windows hat es nicht sehr toll funktioniert
 
Venson
20.05.2011 16:15
Gott: Menschen Doof!


Hahah...


Definitiv einer der besten blog eintragungen von H4ckv3rts Ever^^...

ich sag euch wir menschen haben vieleicht probleme...
 
freches Frettchen
28.05.2011 16:29
Hackbarts Block ist für mich an jedem Wochenende immer das Highlight.
Köstliche Kommentare mit einer schönen Portion Ironie :lol: .
Weiter so...
l.G. vom Uwe :wink:
 
tho.moore
30.05.2011 21:33
Schade, das du aufhörst.

Dann ist das vlt die letzte Möglichkeit, dir (nochmal) für die vielen schönen, lustigen, verrückten aber immer lehrreichen Artikel zu danken.

Vielen Dank für Alles!

Viel Glück für deinen weiteren Weg :wink:
 
-luke-
30.05.2011 21:43
Kein Witz hem? Heut ist nicht der 1. April. Ok. Sollst wissen ich hab es genossen, die ganzen 1,5 Jahre die ich den Blog kenne. Echt schade aber. . . Viel Erfolg und bye!
 
Lasergraph
30.05.2011 22:26
Kann mich da nur anschliessen.

Finde es ebenfalls sehr Schade das du nun aufhörst. Aber wie du schon geschrieben hast. Alles hat ein Ende,(nur die Wurst hat zwei).

Vielen Dank für die vielen wirklich tollen Blogeinträge. Und viel Erfolg.
 
ATI Gott
30.05.2011 23:29
Schade, dass eines der Highlights von PCF ausgeht :(

Dein Blog war jede Woche wieder sehr gut geschrieben und unterhaltsam! Schönes Video als Abschied :D Wir werden dich alle vermissen :cry:
 
DezarPunk
31.05.2011 03:53
Auch ich kann mich nur aschließen, der Blog war über die Jahre immer mein Montags-Höhepunkt!

Good bye H4ckb3rt! :( *schnief!*

Und alles Gute für Deine Zukunft! :wink:
 
freches Frettchen
31.05.2011 07:03
Tja Hackbart,
da kann und will ich mich
Deinem Freund 0tt0 nur anschliessen.Ich stehe auch auf und gebe Dir stillschweigend die Hand.
Danke für die wunderschönen Beiträge.Ich habe sie immer sehr gerne gelesen und mich köstlich amüsiert darüber.
Dankeschön nochmals für Deine Beiträge und alles Gute für Deine Zukunft.

//Vieleicht juckt es Dich doch nochmals in den Fingern,und Du meldest Dich mal wieder hier.Würde mich sehr darüber freuen.

liebe Grüsse mit einer Träne im Knopfloch und einer Rose im Auge vom ollen Uwe :cry: :cry:
 
Alle BeiträgeKommentar schreiben
Community Login
eMail:
Passwort:
Auto-Login