Datenschutz an der TU Dresden

[xanthos]

Wenn keine Firewall die Sache verbietet, kommt man an die heiß begehrten "Telefonnummern" ran.

Der Admin schien etwas im Stress zu sein. Auf die Frage, wann man wieder arbeiten könne, sagte er nur, dass der Zentrale Fileserver nicht erreichbar sei, an der Feuerwand im ZIH gebastelt wird und zur Zeit niemand sagen kann, wann es wieder funktioniert.

Hat da jemand die Haustür offen gelassen?

[Guru]

Hat da jemand die Haustür offen gelassen?

Das ist etwas spekulativ. Ob es einen kausalen Zusammenhang zwischen den beiden Ereignissen gibt, wissen wahrscheinlich nur die Admins im innersten Kreis der Hölle :-)

Hey, das klingt nach einem großen Selbstbedienungsladen...
... Da muss doch eine Grundeinstellung vermurxt sein. Ich kann mir nicht vorstellen, dass 80% der Studenten freiwillig die Haustür offen lassen...

Ich muss hier mal (ausnahmsweise) dem Hausmeister2001 recht geben, die meisten Nutzer lassen ihr Home Directory offen (siehe Bildchen). Die Vermutung, dass da die Grundeinstellung nicht so genial ist, liegt ziemlich nahe. Was kann man tun?

Per SSH (Secure SHell) unter Unix anmelden und wenigstens dafür sorgen, dass andere Benutzer das Home Directory nicht mehr auslesen können:

Code: [Select]

chmod 711 $HOME
Die sensibelsten Dateien befinden sich unter "Eigene Dateien". Also:

Code: [Select]

chmod 700 "$HOME/Eigene Dateien"
Falls mann eine eigene Webseite im Ordner "public_html" betreibt:

Code: [Select]

chmod 755 $HOME/public_html
Für die Freaks: chmod setzt die Zugriffsrechte für Verzeichnisse und Dateien. Aber Achtung! Der 3-stellige Ziffernkode muss mindestens mit einer 6 (Dateien: rw-) oder einer 7 (Verzeichnisse: rwx) beginnen, damit ihr euch nicht selbst aussperrt.

[Hausmeister2001]

Ich kann trotzdem beruhigen, das nirgendwo im System die Passwörter im Klartext stehen, vermutlich stehen nicht mal die verschlüsselten Passwörter in irgend einer Datei, sondern eben "nur" die Hash-Werte, das heisst statt "Passwo1!" steht da irgendwo eine 128-Bit-Zeichenfolge (falls das ZIH wie ich annehme MD5 benutzt).

Und wen man jetzt ein sinnlos Passwort wählt, wie abcdef1! oder so, was jeder schnell raten kann, kann auch jeder schnell ide hash-summe dafür bilden, und nachschauen ob die irgendeiner bei sich im Telefonbuch stehen hat! Es geht aber NICHT, einfach im Telefonbuch zu blättern, und sich einen rauszusuchen und dann genau sein Passwort zu lesen. Und sobald man ein einigermaßen gutes Passwort (okay, hier ist es natürlich wahr das die 8 zeichen Begrenzung grüze ist), kann auch kein noch so toller Hacker "schnell" an das Passwort kommen...

Außerdem müsst ihr hier auch mal nutzen und Aufwand sehen. Die ZIH nutzen nur wenige der Studenten wirklich für sensible Daten, ein urster Aufwand zum Verschlüsseln macht also quasi keinen Sinn.

Da wo nämlich wieder jeder selber für die Sicherheit verantwortlich ist, da sind die Lücken ungefähr 1000 mal größer. Jeder der das VPN/WEB-Wlan nutzt sollte schon mal ganz ruhig sein, weil da ist es mit der Sicherheit eh vorbei. (obwohl das Hoch-sichere EDUROAM genauso überall zu empfangen ist). Oder wenn ihr wüsstet wieviele Leute bei Ebay/Gmx oder zum Teil sogar bei Onlinebanking das Passwort ihrem Benutzernamen angleichen, da ist eh alles vorbei.

Jeder Student sollte froh sein, dass das ZIH uns überhaupt die Möglichkeit gibt, standardmäßig 200MB an der Uni freigehalten zu bekommen. Wenn man mal nett bei denen vorbeischaut haben die auch überhaupt kein Problem einem da mehrere GB freizuschalten. Das die Server nicht wirklich sicher sind wussten wir doch schon immer, sensible Daten gehören eh nicht auf Server die einem selber nicht gehören.

[Guru]

Zuerst die guten Nachrichten:

Und wen man jetzt ein sinnlos Passwort wählt, wie abcdef1! oder so, was jeder schnell raten kann, kann auch jeder schnell ide hash-summe dafür bilden, und nachschauen ob die irgendeiner bei sich im Telefonbuch stehen hat!

1. Das Gute an einem kryptologisch starken Hash ist, dass man "auf den ersten Blick" nicht erkennen kann, ob sich dahinter - ich nenn's mal - ein Trivalkennwort versteckt oder ob es schon komplizierter ist. Beispiel für einen klassischen Unix-Hash (DES 56 bit):

Code: [Select]

crypt("abcdef1!") => "5x62etk8wXfiQ"Der Hashwert eines Trivialkennworts hat schon die Qualitäten eines sehr guten Kennworts. Aber diesen Buchstaben- und Ziffernsalat kann sich kein Mensch mehr merken.

2. Das Gute an der Implementierung ist, dass in die Berechnung des Hashwertes noch eine "Zufallskomponente" (Salt, z.B. Systemzeit) einfließt. Dadurch liefert ein nochmaliger Aufruf der crypt()-Funktion mit dem gleichen Kennwort einen anderen Hash:

Code: [Select]

crypt("abcdef1!") => "GjVaG6aNWXic6"3. Hashfunktionen sind Einwegfunktionen, d.h. es gibt im mathematischen Sinn keine Umkehrfunktion.

Trotzdem ist das noch kein Grund, sich sicher zu fühlen. Jetzt das Schlechte:

Hashfunktionen sind verwundbar gegenüber Kollisionsangriffen (Geburtstagsangriff). Kollision bedeutet, dass zwei unterschiedliche Kennwörter auf den gleichen Hashwert abgebildet werden. Falls Kollisionen "oft" genug passieren, kann man sie ausnutzen und erreicht dadurch, dass ...

... die nötige Zahl an Variationen nur noch etwas größer als die Quadratwurzel der benötigten Anzahl beim naiven Angriff (Brute force) ist.

Durch die gestiegende Rechenleistung und neue, verbesserte Algorithmen kann man einen Angriff auf Basis gesammelter Hashwerte in immer kürzeren Zeiten realisieren. Etwa aller 18 Monate verdoppelt sich die Rechenleitung bei annähernd gleichen Kosten. Insbesondere kommt durch leistungsfähigere Grafikkarten (nVidia CUDA-Technologie) ein enormer Leistungsschub im PC-Bereich dazu.

Systemlösungen, die noch vor 10 Jahren als (absolut) sicher galten, können schnell zu einem Risiko für die gesamte IT-Landschaft werden (Identitätsdiebstahl). Es besteht also ein akuter Handlungsbedarf. Ob man einen neuen Verzeichnisdienst einführt oder das bestehende System modifizieren kann, wird sich zeigen. Es bleibt also mit Sicherheit spannend!

[mArKuZZZ]

puh, das artet ja relativ schnell aus hier :pinch: habe die letzten 50% der posts nicht verstanden, und demnach übersprungen

ABER: kurze zwischenfrage eines menschen, der von oben genannten termini / techniken keine ahnung hat und einfach nur seinen uni-account schützen möchte:
soweit ich das verstanden habe liegt die haupt-schwachstelle auf seinen des ZIH. die müssten ihr system sicherer machen um virtuelle langfinger draußen zu halten. --> ist das beste was wir studenten jetzt im moment tun können in der nächsten zeit verstärkt unsere PWs zu ändern bis die ihre server umgestellt haben? oder haben wir noch eine andere möglichkeit? die studenten sind ja recht demonstrierfreudig, wie wärs mal mit einer dicken demo zur datensicherheit an der TU Dresden? :cool::cool:

[Hausmeister2001]

Es macht keinerlei Sinn da gegen irgendetwas zu demonstrieren.
Das ZIH stellt uns die Email und den Serveplatz freiwillig und quasi frei Haus zur Verfügung.

Das Einzige was man den ZIH-Admins vorwerfen kann ist, dass sie vermutlich seit Jahren über ihre Lecks bescheid wissen. Aber als Konsequenz sollte man einfach keine sensiblen Daten auf den ZIH-Servern haben, wie allgemein auf keinem Server über den man nicht handhaben kann.

Eigentlich sind die Home-laufwerke ja auch "nur" für Übungssunterlagen oder Vorlesungsmaterialien gedacht, wenn sich da einer reinhacked, ist er selber schuld. Da stehen wie ich schon sagte, Nutzen und Aufwand nicht im Verhältniss.

Wenn man jetzt anfängt, ne Demo loszutreten, kann es auch ganz schnell passieren das die Unileitung sagt, dass der Server halt nur noch für die Uni-Mitarbeiter/Studenten-gruppen zu nutzen ist, und die komplette Studentenschaft nurmehr das Internet nutzen darf. (was ich im Übrigen auch schon für einen sehr noblen Dienst der Uni halte, ich will nicht wissen wieviele Kosten die sparen könnten, wenn die einfach nur noch Mitarbeitern das LAN/WLAN zugänglich machen) Dann sind nämlich alle probleme gelöst.

Ich weiss das diese Aussage recht provokativ ist, aber dafür das wir keinerlei Studiengebühren bezahlen bekommen wir schon verdammt Viel geliefert. Ich kenne  Leute an ungefähr 10 UNI's persönlich, und viele sind neidisch auf unsere Medien-Versorgung.

Nochmal zum Mitschreiben: Die einzigen sinnvollen Konsequenzen sind, alle wichtigen Daten woanders zu lagern (am besten auf einem einfach verschlüselten USB-Stick am Schlüsselbund) und das Passwort wirklich nur fürs ZIH zu nutzen.

[Pittiplatsch]

puh, das artet ja relativ schnell aus hier :pinch: habe die letzten 50% der posts nicht verstanden, und demnach übersprungen

geht mir oft nicht besser... Und da willst Du streiken gehen? :no:

Das Einzige was man den ZIH-Admins vorwerfen kann ist, dass sie vermutlich seit Jahren über ihre Lecks bescheid wissen. Aber als Konsequenz sollte man einfach keine sensiblen Daten auf den ZIH-Servern haben ...

Wie wärs mit einem Datenstreik? Nix mehr im ZIH speichern. Und die Hacker werden schnell begreifen, Straftaten lohnen sich nicht.

[Guru]

wie wärs mal mit einer dicken demo zur datensicherheit an der TU Dresden? :cool::cool:

Keine so gute Idee. Der Medienrummel würde nur noch mehr Hacker auf den Plan rufen. Eventuell würden die Entscheidungsträger im ZIH in Aktionismus verfallen und die Server abschalten. Vom ZIH sollte man erwarten können, dass sie das Risiko objektiv einschätzen und geeignete Maßnahmen ergreifen, um die Sicherheit zu erhöhen. Dazu gehören auch solche Maßnahmen, wie z.B. dass man die Nutzer besser über Sicherheitsthemen informiert. Dass die meisten Studenten ihr Home-Directory offen lassen, sei ein Beispiel.

Einen schönen Abend noch...

[xanthos]

Insbesondere kommt durch leistungsfähigere Grafikkarten (nVidia CUDA-Technologie) ein enormer Leistungsschub im PC-Bereich dazu.

Nur mal so am Rande:
Sicherheitsdistribution BackTrack 4 mit CUDA-Unterstützung (soeben auf heise.de gefunden)

[Piktogramm]

Wie kommt man gleich an die Daten? Das Tool zum knacken habe ich gerade gefunden (danke^^) und ne neue Grafikkarte wollte ich mir eh die Woche zulegen... -.-

[merlin3]

es muss sich hier ja nicht jeder auf die passwörter stürzen...
also hier mal keine links zu sensiblen daten rausgeben...

[Pittiplatsch]

Hey Jungs! Mit sensiblen Daten spielt man nicht. :nudelholz:

Mal was anderes zur Abwechslung:
Forscher arbeiten an "Hacker-Alarm"

... Diese Muster kennt das auf künstlicher Intelligenz basierende Frühwarnsystem und kann sie deshalb enttarnen. "Es lernt mit jedem Angriff dazu und wird besser", ergänzte Herzog.

[Guru]

Inzwischen hat das ZIH eine sinnvolle Maßnahme ergriffen (Zitat aus der ZIH-Info vom Oktober 2009):

Veränderung Zugriffsrechte für Home-Verzeichnisse
Infolge der Durchsetzung verbesserter Sicherheits-Strategien werden die Zugriffsrechte der Home-Verzeichnisse auf UNIX-File-Servern so verändert, dass nur der Eigentümer und Mitglieder der Eigentümergruppe Leserechte behalten (chmod o-r). Home-Verzeichnisse, die vom Eigentümer schon weiter eingeschränkt wurden, sowie Unterverzeichnisse werden von dieser Maßnahme nicht berührt. Der Standard-Zugriff auf die persönlichen WWW-Seiten des Nutzers wird dadurch nicht beeinflusst.
(Ansprechpartner: Benutzerberatung, Tel.: -31666)

[Pittiplatsch]

Systemlösungen, die noch vor 10 Jahren als (absolut) sicher galten, können schnell zu einem Risiko für die gesamte IT-Landschaft werden. Es besteht also ein akuter Handlungsbedarf.

Hab das hier in meiner Mailbox gefunden:

Sehr geehrte Damen und Herren,

das ZIH verwaltet entsprechend der IuK-Rahmenordnung der TU Dresden für die Nutzung seiner Dienste die notwendigen Benutzerkennungen (bestehend aus Login-Kennzeichen und Passwort). Aus technischen Gründen konnten bisher Passwörter nur mit acht Zeichen verwendet werden.

Am 9. August 2010 führt das ZIH eine neue Password Policy ein, die eine minimale Passwort-Länge von neun Zeichen fordert.

Mit der Verwendung von Passwörtern mit mehr als acht Zeichen wird ein weiterer Schritt in Richtung Verbesserung der Password Policy und Erhöhung der Sicherheit für den einzelnen Nutzer erreicht. Damit dies auch nachhaltig prüfbar wird, kann es nur im Rahmen einer generellen Änderung aller Passwörter durchgeführt werden.

Bitte ändern Sie deshalb Ihr Passwort bis zum 31. Oktober 2010.

Die Passwort-Änderung erfolgt über folgende Webseite:
https://formulare.zih.tu-dresden.de/password/

Wenn Sie Ihr Passwort bis zum 1. November 2010 nicht geändert haben, können Sie danach keine Dienste des ZIH (z.B. E-Mail, WLAN, VPN, HRSK) und Dienste, die über das ZIH authentifizieren (z.B. LSKOnline, OPAL), mehr nutzen, da Ihre Benutzerkennung gesperrt werden muss. Sie können Ihre Benutzerkennung jedoch wieder entsperren, indem Sie die Benutzerberatung des ZIH aufsuchen.

...

Autor:        Jens Syckor
Institution:  Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH)

Soll das bedeuten, dass das System jetzt umgestrickt wurde und erst sicher ist, wenn man sein Kennwort erneuert hat?

Habt ihr schon Erfahrungen mit dem langen Kennwort gesammelt? Bin etwas skeptisch, ob alle Systeme schon umgestellt sind. Hatte früher in meinem Kennwort undankbare Sonderzeichen und konnte lange Zeit über die o.a. Webseite gar keine Kennwörter ändern.

[suona242]

Also ich hab meins schon geändert und hab auch schon festgestellt das ich zum Beispiel im HIS oder im Opal nun mit dem neuen Passwort ohne Probleme rein komme. Das ging zwar nich sofort, aber so nach 30-60 Minuten war das dann schon alles so weit umgestellt.