Datenschutz an der TU Dresden

[Pittiplatsch]

War heute im CAD-Labor und musste gleich zur Begrüßung lesen, dass möglicherweise die Kennwörter vieler Studenten und Mitarbeiter in fremde Hände gelangt sind.

CAD-LABOR - Aktuelles

Auf der Aktuell-Seite des ZIH steht der gleiche Text.

Warnhinweis - Passwörter

Im Archiv der Sächsischen Zeitung findet man bei Suche nach "TU Dresden Datenschutz" auch nichts gutes.

Suchen in sz-online...

[tiefenbass]

ich würde ja gerne ein Passwort höherer Sicherheit nutzen, jedoch hat sich ja das ZIH auf genau acht Stellen festgelegt :mad:

LG, Matthias

[Guru]

Hallo Leute,

habe den Post von Pittiplatsch zuerst für einen schlechten Scherz gehalten, musste dann aber doch im Zeitungsstapel nach der entsprechenden Ausgabe suchen und habe den eigentlichen Artikel gefunden. Da stehen auch mehr technische Details drin.

Einen schönen Abend noch...

[Pittiplatsch]

Aus dem Beitrag vom Guru:

Nur wenige Handgriffe, schon erscheint auf dem Bildschirm... Das Problem ist dem ZIH seit 2007 bekannt... Bis heute ist aber nichts passiert.

Der SZ-Artikel haut mich echt vom Hocker.
Das ZIH sieht die Angelegenheit eher locker:

Man kann die Passwörter im NIS mit moderatem Aufwand entschlüsseln und in die Accounts einbrechen. Dabei macht man sich strafbar.

Ein geringer Trost ist besser als nichts :cry:

[ciw07]

Da kümmern die sich lieber um die Speicherung von Netzwerkaktivitäten anstatt um die wichtigen Dinge. :rolleyes:

[pruefi]

Das heißt also im Klartext, es besteht für wissenschaftliche Arbeiten kein ausreichend technischer Schutz mehr innerhalb des UNI-Netzes und die accounts sind kompromittierbar?
Diese Volltrottel! :nudelholz:

[Pittiplatsch]

Das heißt also im Klartext, es besteht für wissenschaftliche Arbeiten kein ausreichend technischer Schutz mehr innerhalb des UNI-Netzes und die accounts sind kompromittierbar?

Ja, die Frage stellt sich nur nach dem dazu nötigen Aufwand. Laut dem Zeitungsartikel soll es nicht sehr schwer sein. Möglicherweise wurde erst durch diesen Artikel der Stein ins Rollen gebracht und übereifrige Hacker fühlten sich motiviert, ins NIS einzusteigen.

Im Wiki findet man dazu:

In modernen Rechnernetzen ersetzen Systeme wie LDAP und Kerberos zunehmend NIS, da sie gegenüber NIS als fortschrittlicher und sicherer angesehen werden.

Also besteht akuter Handlungsbedarf, das System umzustellen.

Der Warnhinweis auf der Aktuell-Seite des ZIH wurde sehr wahrscheinlich erst danach verfasst (letzte Änderung der Webseite: 11.06.09, 18:46 Uhr).

[Piktogramm]

Sind die Herren vom ZIH wirklich der Meinung das ein einfacher Hinweis auf deren Seite reicht (mein Gott das ZIH wird vom typischen Studenten anfangs 2-3mal besucht und dann war es das) und keine Rundmail von Nöten ist um die Studenen auf zu fordern mal eben ihr Passwort zu ändern. Ja nur so, dass quasi unsere gesamte digitale Kommunikation darüber abläuft -.-

Edit, habe ich das richtig verstanden, das mal eben Files mit den Passwörtern abhanden gekommen sind? Sprich das eine Person die sich diese Daten mit voller Absicht und wohl mit Hintergründen entwendet hat nun Zuhause recht gemütlich mit etwas größeren Lookuptabellen und 2 größeren Grafikkarten als Co-Prozessoren die Daten entschlüsseln kann? Wenn man entsprechenden Programmen als Rahmen vorgibt, dass sich der typische Student an existierenden Wörtern orientiert und ansonsten nur die Mindestanforderungen an die Passwörter erfolgt ist ein 8 stelliges Passwort recht schnell geknackt... na Klasse -.-

[Pittiplatsch]

Edit, habe ich das richtig verstanden, das mal eben Files mit den Passwörtern abhanden gekommen sind?

Das ist anzunehmen. Ich denke, dass es nur eine Frage der Zeit ist, bis alle (auch die komplizierteren) Kennwörter entschlüsselt sind. Wie schnell das geht, vermag ich nicht einzuschätzen...

Update: Breaking Unix Passwords with PlayStation-3 !!!
http://www.toorcon.org/tcx/14_Bevand.pdf

Bruteforcing speed = 11.1 million password/sec

:w00t::w00t::w00t:

[Piktogramm]

Nach diesem Artikel:
http://www.heise.de/kiosk/archiv/ct/2009/6/204_kiosk

benötigt man zum knacken von nem 8 stelligem Windows Passwort mit Groß/Kleinschreibung und Sonderzeichen 33Tage (Bei Einsatz eines eher lahmen DualCore Prozessors und zweier mittelpotenten Grafikkarten die GPU-Computing unterstützen). Die Frage ist dann nur, in wie weit die Daten die Mr. X besitzt verschlüsselt sind und wie gut der Algorithmus in entsprechenden Kreisen bekannt ist. Wenn wir Pech haben bestehen zu diesem System schon ganz gut durchgearbeite Lookuptabellen die das Knacken von Verschlüsselungen erheblich beschleunigen und wenn wir Glück haben hat sich Jemand die Daten beschafft und kommt nicht ran, da der Aufwand vorerst doch zu hoch ist (wobei hier die Frage ist wie hoch der mögliche Gewinn ist der erzielbar ist, wenn wirklich Patente ausspähbar wären, findet sich sicher Jemand der ausreichende Beträge zahlt um den Spaß zu knacken...).

Sind alles Spekulationen, es sind aber Spekulationen über reale Möglichkeiten und die "es könnte ja gut gehen"-Einstellung vertrete ich nunmal nicht!

[Litschi]

MD5 Crack GPU (google weiß mehr)

soll jetz keine Anleitung sein, aber es gibt noch wesentlich bessere Tools um die neuen Funktionen von Grafikkarten a la CUDA etc. zu nutzen...z.B 200 Millionen MD5 Hashes pro sekunde auf einer pupsigen 8800 GT  die man für 80 euro kaufen kann.

[Guru]

Um sich ein Bild von der gegenwärtigen Sicherheit zu machen, sollte man zunächst über die Anzahl der möglichen Kennwortkombinationen nachdenken. Das Alphabet (Zeichenvorrat) besteht aus zwei Gruppen. Gruppe a: Klein- und Großbuchstaben (52 Zeichen); Gruppe b: Ziffern und Sonderzeichen (32 Zeichen). Siehe auch: Formular zur Kennwort-Änderung Das Kennwort hat eine Länge von 8 Zeichen, dabei muss mindestens ein Zeichen aus Gruppe a und b vorhanden sein.

[latex]a = 52 \\b = 32 \\n = a \cdot b \cdot (a^6$ + a^5$ \cdot b + a^4$ \cdot b^2$ + a^3$ \cdot b^3$ + a^2$ \cdot b^4$ + a \cdot b^5$ + b^6$) \\n = 82,676,835,418,112 \\n \approx 8.268 \cdot 10^{13}$ [/latex]

Es gibt also gut 82 Billionen verschiedene Kennwortkombinationen. Einige davon sind ungültig, weil sie Bestandteile aus bekannten Wortlisten enthalten. Wieviel das wirklich sind, kann ich nicht sagen. Ich denke, dass es nicht mehr als ein paar Millionen sind.

[Guru]

In Abhängigkeit des verwendeten Verschlüsselungsverfahrens und der Schlüssellänge kann man den Aufwand zum Knacken abschätzen. Dafür gibt es verschiedene Techniken: Brute Force ist die wohl universellste, aber aufwändigste Technik. Ein Kennwort gilt geknackt, wenn man im Mittel 50% aller potentiellen Kombinationen durchprobiert hat (bestimmte Kennwörter sind leicht zu knacken, andere sind dagegen schwieriger zu finden). Intelligente Verfahren nutzen die individuellen Schwächen des verwendeten Verschlüsselungsverfahrens aus. Im NIS werden die Hashwerte der Unix-Kennwörter hinterlegt. Dazu wird traditionell DES mit einem 56 Bit langem Schlüssel verwendet. Andere mögliche Verfahren sind MD5, Blowfish und SHA (mehr Infos im wiki). Im Skript von Prof. Pfitzmann wird G-DES im Abschnitt 3.7.7 erläutert. Für das Jahr 1995 wird der Aufwand abgeschätzt mit:

Für 10^5 US$ kann man also eine Maschine bauen, die in 35 Stunden einen Schlüssel ermittelt, für 10^6 US$ dauert es nur noch 3,5 Stunden, usw. In der Vergangenheit verdoppelte sich die Rechenleistung bei gleichen Kosten etwa alle 18 Monate.

Verwendet man die Brute-Force-Technik (ohne Wortlisten und ohne Ausnutzung der Schwächen des DES-Verfahrens), würde das Knacken eines Unix-Kennworts auf einer PLAYSTATION 3 (vielen Dank an Pittiplatsch, Kosten: ca. 400 EUR) im Mittel (nur) 43,1 Tage  dauern. Einen Wert, den ich so auch nicht erwartet hätte. Hier meine Nebenrechnung:
 
[latex]n = 82,676,835,418,112 \\v = 11,100,000 s^{-1}$ \\ $t_{mittel}$ = 0.5 \cdot \frac{n}{v} \\ $t_{mittel}$ \approx 3,724,181 s \\ $t_{mittel}$ \approx 1,034.5 h \\ $t_{mittel}$ \approx 43.1 d[/latex]

[Guru]

Gelingt es einem Angreifer an die Hashwerte der Kennwörter im NIS heranzukommen (Sicherheitsvorfall), kann er diesen Angriff durchführen. Im Mittel wird er dabei nach 43 Tagen auf einer Playstation 3 mit Brute Force erfolgreich sein und könnte dann in einen Account einbrechen. Werden intelligentere Techniken eingesetzt, wird sich der Erfolg höchst wahrscheinlich früher einstellen.

Ein derartiger Angriff lässt sich nach einem Sicherheitsvorfall verhindern, wenn man noch vor dem Einbruch (!!!) sein Kennwort gewechselt hat. Man sollte also die Kennwörter in regelmäßigen Abständen erneuern.

Da dem Angreifer die geknackten Kennwörter im Klartext vorliegen, hilft es relativ wenig, ein eigenes Schema für die Kennwort-Erneuerung anzuwenden. Der beste Schutz ist daher ein völlig zufällig gewähltes Kennwort.

[Pittiplatsch]

Gelingt es einem Angreifer an die Hashwerte der Kennwörter im NIS heranzukommen (Sicherheitsvorfall), kann er diesen Angriff durchführen.

Mir ist schon klar, dass es eine 100%ige Sicherheit nicht gibt, also könnte sich dieser Vorfall jederzeit wiederholen, wenn das Sicherheitsloch nicht geschlossen wird. Oder?

Man sollte also die Kennwörter in regelmäßigen Abständen erneuern.

Wenn ich ehrlich bin, habe ich mein Kennwort bisher nur einmal gewechselt. :whistling: Aber das werde ich sofort nachholen.

@Guru: Wie oft sollte man sein Kennwort ändern? Jeder Woche oder einmal im Monat?

@ZIH: Warum sind die Kennwörter auf 8 Zeichen begrenzt? 82 Billionen Möglichkeiten sind mir zu wenig. :nudelholz: