Datenschutz an der TU Dresden

[Guru]

Wie oft sollte man sein Kennwort ändern? Jeder Woche oder einmal im Monat?

Das hängt ganz von Deinem persönlichen Schutzbedürfnis ab. Es gibt Firmen, bei denen die Angestellten ihre Kennwörter (unter Windows) einmal im Monat erneuern müssen.

Nach Bekanntwerden des Sicherheitsvorfalls sollte jedoch jeder Nutzer möglichst sofort ein neues Kennwort verwenden. Insofern kann ich das Verhalten im ZIH nicht ganz nachvollziehen. Muss denn erst das Kind in den Brunnen fallen?

Warum sind die Kennwörter auf 8 Zeichen begrenzt?

Weil wahrscheinlich das Verfahren für die Hashwerte nicht geändert werden kann.

Das NIS an sich ist nicht daran schuld. Das Problem liegt vielmehr daran, dass zum einen ein Sicherheitsvorfall eingetreten ist (begünstigender Umstand, lässt sich nicht vollständig verhindern) und dass zum anderen der Wertevorrat für die verwendeten Hashwerte und damit auch für die Kennwörter (max. 8 Zeichen) zu gering ist. SHA-2 wäre eine sinnvolle Alternative, weil es je nach Sicherheitsanforderung skalierbar ist.

SHA-2 bildet eine Familie von Algorithmen, die sich durch die Länge des Hashwerts unterscheiden. Damit kann eine Abwägung zwischen Rechenaufwand und Sicherheit getroffen werden.

[xanthos]

vielen Dank an Pittiplatsch, Kosten: ca. 400 EUR

Das ist ja ein sehr teures Dankeschön.  

[Piktogramm]

Nunja da das berechnen von Hashes auf GPUs (Grafikkarten) ebenfalls ganz gut skalliert kann man solche Aufgaben mittlerweile gut auch auf Computern mit neueren GPUs durchführen. Als Vergleich sei nureinmal die (wenn auch sehr theoretische Rechenleistung" genannt:
PS3: 204,8 GFLOPS
Nvidea 285GT: 1062GFlops
Nvidea 295GTX: 2*894Gflops

In der Theorie kann man auch ATI basierte Grafikkarten nehmen, die reine Rechenleistung ist da noch etwas höher (+15%) jedoch fehlt hier eine Schnittstelle (sie fehlt nicht wirklich sie ist einfach weniger verbreitet...)


Kurzum, braucht eine PS3 im Mittel 43Tage kann eine Computer der fleißig HighEndgrafikkarten nutzt (das Stück ~320€, 1-4 sind innerhalb eines Computers parallel betreibbar) diesen Wert recht schnell einschrumpfen. Ich gehe jetzt mal davon aus, dass eine Grafikkarte (285 GT) etwa die 2,5fache Menge an Hashes schafft als eine PS3. Nach Milchmädchen macht das dann noch 17,2 Tage und mit 4GPUs die fein Rechenmarathon spielen sind es 4,3Tage...

Ok ein solcher 4GPU Computer kostet 1500-2000€ ist aber noch etwa doppelt so flott wie die damit kaufbare Anzahl PS3... Abgesehen davon kann man die Hardware danach auf Ebay wieder versetzen ohne all zu viel Miesen zu machen.


Erschwerend kommt hinzu, dass eine Verschlüsselung von 64bit heutzutage schon ein Witz ist. 128bitige Schlüssel werden mit Lookuptabellen innerhalb weniger Tage geknackt. Wobei mit längerer werdenem Schlüssel nicht nur der Rechenaufwand steigt sondern auch die größe der Tabellen (die irgendwann groß genug sind um die Speicherkapazität des Unirechenzentrums zu überfordern...). Geht man davon aus, dass es wirklich weniger als 64bit sind, dann bekommt man eine ausreichend große Lookuptabelle bereits im Arbeitsspeicher eines Modernen Computers unter (8GB Ram sind bei gewissen Computeraffinen Menschen Standard...)

Heidewitzka, ich kann son Zeuch zwar nur per Milchmädchen berechnen aber so oder so isses recht kritisch -.-

[xanthos]

Wie wär's mit den Hochleistungsrechnern im ZIH?
Für diese Maschinen dürfte es ein Klacks sein.

[merlin3]

eine frage wäre wie lang es dauert bis der rechner die antwort bekommt ob das passwort stimmt oder nicht - wenn das nur 0,1 sekunden dauert gehen wir bei 82 billionen möglichkeiten doch wieder in die tausenden jahre ^^

[xanthos]

eine frage wäre wie lang es dauert bis der rechner die antwort bekommt ob das passwort stimmt oder nicht - wenn das nur 0,1 sekunden dauert gehen wir bei 82 billionen möglichkeiten doch wieder in die tausenden jahre ^^

Eben nicht. Pittiplatsch schreibt im Post #9, dass man auf einer PS3 pro Sekunde über 11 Millionen Kennwörter testen kann. Auf Seite 14 der PDF-Datei findet man die Ergebnisse (siehe Bild). Also dauert der Test nur ca. 90 ns. Das muss ein wahnsinnig optimierter Algoritmus sein...

[Piktogramm]

Klar sind solche Späße optimiert, alles was irgendwie geschützt wird ist wertvoll und Alles was wertvoll ist wird begehrt. Insofern ist das Bestreben passendes Werkzeug zu haben das natürlichste auf der Welt (naja so in etwa). Abgesehen davon geht man bei solchen Überlegungen davon aus die Daten die verschlüsselt sind zur Verfügung zu haben (haste einma Zugang zum System wirds Kopieren idR kein Hinderniss mehr darstellen). Also liegt den Block den man gerade entschlüsseln wil im Ram oder gar noch im CPU/GPU Cache und spätestens da sind 90ns genug Zeit um zwischendurch nochmal Kaffee holen zu können.

[xanthos]

Wir wollen hier mal keine weitere Panik verbreiten. Schließlich muss man

1. an das zentrale Passwd-File und die Hashwerte herankommen und
2. über das nötige Know-How und die entsprechenden Hacker-Tools verfügen,

um einen effektiven Angriff starten zu können. Ich will es auf keinen Fall schön reden, dass jemand unautorisiert an diese sensiblen Daten herangekommen ist. Das ZIH wird sicher die nötigen Konsequenzen gezogen haben, jetzt wo der Fall in der Presse publiziert wurde. Unter der Annahme, dass das Sicherheitsloch inzwischen geschlossen ist, sollte man den Hinweisen nachkommen und sein Kennwort erneuern. Mehr gibt's für Otto-Normal-User vorerst nicht zu tun.

[Piktogramm]

1. Eben das scheint erfolgt zu sein wobei keiner weiß, ob denn nun eine Kopie existiert, wenn ein unerlaubter Zugriff stattgefunden hat ist ein kopieren wahrscheinlich (nur drauf zugreifen bringt wenig)
2. Du kannst davon ausgehen, dass wenn Artikel zu solchen Themen in der Fachbresse erscheinen (zB in der c't des Heise Verlages, entsprechender Artikel ist oben von mir verlingt es werden Programm und quasi auch Bezugsquellen genannt), sowohl die Guten (Hacker des CCCs zB) als auch die Bösen (such dir was aus) entsprechende Tools haben. Die Hardware gibt es in Dresden bei folgenden Läden (zufällige Reihenfolge, Selbstabholung möglich):
PlayIT
Cyberport
Winner-Computer
MM-Computer
Saturn
Expert
Media Markt
etc.

Das Problem scheint auch nicht sonderlich ernst genommen zu werden. Der Zeitungsartikel ist vom 08.Juni, das PDF samt Warnseite trägt ein Zeitstempel vom 11.06.2009 11:39Uhr, der Dateinahme deutet darauf hin, dass die Datei am 10.Juni erstellt wurde.
Da frage ich mich, ersteinmal wieso die SZ eher bescheid wusste und wieso kein mir bekannter Student bis jetzt einen kleinen Hinweis bekommen hat, dass man das Passwort mal ändern sollte. Irgendwie bleiben solche Meldungen hängen obwohl ich in der Woche sicher eine unerwünschte Mail ausm Mailverteiler der TU bekomme (Umfrage für die Meinungsmacher ähhh -forscher von Morgen...).

[Pittiplatsch]

vielen Dank an Pittiplatsch, Kosten: ca. 400 EUR

Hey, der Guru will mir wohl eine PS3 besorgen?

Wie wär's mit den Hochleistungsrechnern im ZIH?
Für diese Maschinen dürfte es ein Klacks sein.

Fantastische Idee! Xanthos, Du machst mir richtig Angst. :ermm:

[Guru]

Da frage ich mich, ersteinmal wieso die SZ eher bescheid wusste ...

Also, im SZ-Artikel vom 08.06.2009 steht nur, dass es eine Sicherheitslücke im TU-Netz gibt und dass darüber die Zugangsdaten leicht ausspionierbar sind. Über einen aktuellen Sicherheitsvorfall steht da nichts drin. Ich denke mal, dass der genannte Doktorand das Know-How für sich behalten hat; er würde sonst seinen Arbeitsplatz riskieren. Bestimmte Kreise könnten diesen Artikel aber als Auftrag verstanden haben. Wann der Sicherheitsvorfall wirklich eingetreten ist, lässt sich nicht eindeutig definieren. Man könnte annehmen, dass er am 10.06.2009 war.

Warum das ZIH nicht schon früher die Nutzer informierte, ist nicht zu verstehen. Immerhin bestand das Sicherheitsloch seit 2007.

P.S. Pittiplatsch hat den Kommentar zum Artikel vom 08.06.2009 im SZ-Archiv gefunden. Der war auf der gleichen Seite, nur ganz rechts versteckt.

@Pittiplatsch: Woher wusstest Du überhaupt, dass etwas im SZ-Archiv zu finden ist? Im Warnhinweis zur Kennwortsicherheit vom Herrn Syckor steht darüber nichts. Der Kobold muss noch eine andere Quelle gehabt haben...

[Pittiplatsch]

Woher wusstest Du überhaupt, dass etwas im SZ-Archiv zu finden ist? Im Warnhinweis zur Kennwortsicherheit vom Herrn Syckor steht darüber nichts. Der Kobold muss noch eine andere Quelle gehabt haben...

Gelle, da staunste Bauklötzer. :w00t:

Na ja, ich war am Donnerstag nach der 1. DS ca. gegen 9:30 Uhr im CAD-Labor. Da ging überhaupt nichts mehr. Nach der 2. Kennwort-Eingabe blieb der PC mit der Meldung "ZIH-Fileserver wird kontaktiert..." hängen. Der Admin schien etwas im Stress zu sein. Auf die Frage, wann man wieder arbeiten könne, sagte er nur, dass der Zentrale Fileserver nicht erreichbar sei, an der Feuerwand im ZIH gebastelt wird und zur Zeit niemand sagen kann, wann es wieder funktioniert. Auf die Frage, warum gerade am Donnerstag diese Bastelei nötig sei, meinte er nur, dass es am Montag in der SZ einen brisanten Artikel gegeben habe. Und dann war er auch schon entschwunden... Ich bin dann auch verschwunden und am Nachmittag fand ich den Hinweis auf der Aktuell-Seite des CAD-Labors, die sich automatisch nach der Anmeldung öffnet.

[Hausmeister2001]

Schon lustig wie sich einige hier aufregen

Viel interesanter ist doch das jeder im ZIH ne Liste findet, wo Studenten-Login und Name im Klartext drauf stehen und was noch vieeeel lustiger ist: mindestens 80% der Studenten haben ihrern eigene Acount (also für den auch nur sie selber zuständig sind) auf den ftp Servern auf vollen Zugriff für alle anderen stehen... Leute, da seid ihr selber schuld wenn andere eure Diplomarbeiten angucken.

Kleiner Tipp für die teeschnich versierten, einfach mal ordentliche Berechtigungen für eure Dateien einstellen, den Brutforcen lässt sich der Server nicht, da er wie oben schon erwähnt, min 0,1 sec zum antworten braucht, mal 82Bil kommt da einiges zusammen.

Ganz anders sieht das ganze aus wenn man unsichere Passwörter benutzt, weil dann schafft es jeder einigermaßen brauchbare infostudent, über den shadow-file  quasi rückwärts über die hash-codes die Passwörter zu raten (die file ist übrigens sehr wohl geschützt und kann nur aus dem innersten Kreis (admins) "geklaut" werden).

Als Fazit... halbe Hektik und lieber mal dafür Sorgen das ihr euren Beitrag zur Sicherheit eurer Dateien leistet...

[Pittiplatsch]

... und was noch vieeeel lustiger ist: mindestens 80% der Studenten haben ihrern eigene Acount (also für den auch nur sie selber zuständig sind) auf den ftp Servern auf vollen Zugriff für alle anderen stehen...

Hey, das klingt nach einem großen Selbstbedienungsladen... :unsure:

Kannst Du mal erzählen, wie man den Account richtig einstellt? Da muss doch eine Grundeinstellung vermurxt sein. Ich kann mir nicht vorstellen, dass 80% der Studenten freiwillig die Haustür offen lassen...

[Guru]

Brutforcen lässt sich der Server nicht, da er wie oben schon erwähnt, min 0,1 sec zum antworten braucht, mal 82Bil kommt da einiges zusammen.

Ich glaube nicht, dass sich ein Hacker beim Finden der richtigen Kennwörter gleich mit einem lebenden System anlegen würde.

Ganz anders sieht das ganze aus wenn man unsichere Passwörter benutzt, weil dann schafft es jeder einigermaßen brauchbare infostudent, über den shadow-file  quasi rückwärts über die hash-codes die Passwörter zu raten (die file ist übrigens sehr wohl geschützt und kann nur aus dem innersten Kreis (admins) "geklaut" werden).

NIS ist ein Verzeichnisdienst. Stell Dir das am besten wie ein Telefonbuch vor, in dem jeder Benutzer nach Herzenslust :-) blättern kann. Einer der wohl größten Schwachstellen ist, dass in diesem Telefonbuch auch die Hashwerte der Kennwörter zu finden sind. Zum Blättern und Lesen braucht man kein Admin zu sein. Man muss nur den richtigen Server anzapfen. Wenn keine Firewall die Sache verbietet, kommt man an die heiß begehrten "Telefonnummern" ran.