In der heutigen Folge versuchen Sven und Stefan mal Scrum zu erklären und ein wenig den Nebel zu lüften, welcher sich um dieses Thema oftmals legt.
Die Datenverluste sind aufgrund der langen Zeit seit der letzten Folge ein wenig mehr als sonst, was dem Spaß jedoch keinen Abbruch tut.
Datenverluste
- 17.11.2019: Leak von Hunderttausenden Spielerkonten bei „Magic: The Gathering“
- 17.11.2019: Disney+: Tausende gehackte Accounts ab 3 Dollar im Untergrund
- 19.11.2019: Unbekannte dringen in Server von Conrad Electronic ein
- 20.11.2019: Datenleck: Kundendaten von Hotelbuchungsplattform ungeschützt im Internet
- 22.11.2019: Warum eine komplette Arztpraxis offen im Netz stand
- 27.11.2019: Nach Datenleck in Arztpraxis: Weitere Router betroffen, jetzt patchen!
- 22.11.2019: T-Mobile Suffers Data Breach Affecting Prepaid Wireless Customers
- 25.11.2019: Hacker sind in Onlineshop des Smartphone-Herstellers OnePlus eingestiegen
- 25.11.2019: 1.2 Billion Records Found Exposed Online in a Single Server
- 28.11.2019: Magento Marketplace Suffers Data Breach Exposing Users‘ Account Info
- 02.12.2019: TrueDialog: Millionen Amerikaner von SMS- und Datenleak betroffen
- 12.12.2019: Datenpanne: Kunden von Lufthansa Miles & More sahen fremde Nutzerdaten
- 02.12.2019: Streaminganbieter Mixcloud verliert Daten von 20 Millionen Nutzern
News
- 18.11.2019: Ransomware „NextCry“ greift Nextcloud-Server an
- 23.11.2019: Dozens of Severe Flaws Found in 4 Popular Open Source VNC Software
- 04.12.2019: Kritische Sicherheitslücke in GoAhead-Web-Server gefährdet Millionen IoT-Geräte
- 17.12.2019: Credit Card Data Exposed Online Is Tested Within 2 Hours
- 03.12.2019: Forscher legen schwerwiegende Sicherheitslücken in Software von Trend Micro und Kaspersky offen
- 05.12.2019: HackerOne verliert vertrauliche Fehlerberichte seiner Kunden
- 09.12.2019: Apple rechtfertigt heimliche Standortdatensammlung des iPhone 11
- 12.12.2019: Twitter will offenes Protokoll für soziale Netze
- 12.12.2019: Bundesfinanzministerium plant papierlosen Bon
- 13.12.2019: Dating per DNA: Digid8 will rezessive Erbkrankheiten auslöschen
- 13.12.2019: iPhone: Überwachungsfirmen integrieren Boot-ROM-Exploit
- 13.12.2019: Digitalpakt Schule: Neuer Streit über Abhängigkeit von Microsoft
- 17.12.2019: Passwort-Herausgabe: Scharfe Kritik am „großen Lauschangriff im Netz“
Thema: Scum with Scrum
Wikipedia: Scrum, Podcast von Toby Baier: Agiles Produktmanagement, a funny Scrum Master movie with Jeff Sutherland
Aufgenommen am: 17.12.2019
Veröffentlicht am: 18.12.10.2019
Intro & Outro Chiptune CC BY SA 4.0: Pumped by ROCCOW
Logo CC BY 2.0 Richard Patterson
Disclaimer
In diesem Podcast werden Techniken oder Hardware vorgestellt, die geeignet sind, externe Geräte anzugreifen. Dies geschieht ausschließlich zu Bildungszwecken, denn nur, wenn man die Angriffstechniken kennt, kann man sich effektiv davor schützen. Denkt immer daran, diese Techniken oder Hardware nur bei Geräten anzuwenden, deren Eigner oder Nutzer das erlaubt haben.Der unerlaubte Zugriff auf fremde Infrastruktur ist strafbar (In Deutschland §202a, §202b, §202c StGB).
Ihr habt nicht nur einen Hörer in Stuttgart 🙂 wart Ihr schonmal beim Stammtisch des CCCS? Das könnte sich lohnen, zumindest der im Lichtblick
Gruß, Rince
Kennt ihr Evil User Stories?
Finde den Ansatz sehr interessant ?
https://www.owasp.org/index.php/Agile_Software_Development:_Don%27t_Forget_EVIL_User_Stories
Haha, ich nähere mich der aktuellen Episode,
bzw. „Salt direkt neben das Passwort speichern“ sei Quatsch (bei ca. 0:43):
Ich denke das stimmt nicht. Vielleicht besteht hier ein Missverständnis über den Zweck des Salzes: Es geht darum Regenbogentabellen nutzlos zu machen. Ich vermute ihr wisst was Regenbogentabellen sind, aber für alle anderen: Das sind Tabellen/Datenbanken, die vorab die geläufigsten Passwörter (password123, admin, password, qwerty …) ihren hashes zuordnen
7576f3a00f6de47b0c72c5baf2d505b0 = password123
456b7016a916a4b178dd72b947c152b7 = admin
286755fad04869ca523320acce0dc6a4 = password
a86850deb2742ec3cb41518e26aa2d89 = querty
Wenn man nun so eine Datenbank erbeutet und findet dort gehashte Passwörter OHNE SALZ, kann man einfach gucken ob man identische Hashes in seiner Regenbogentabelle hat und zack weiß man der User hat „passwort123“ und der User hat „querty“ und der User da, den hash kenne ich nicht, der wohl nicht eines der 1.000.000 häufigsten Passwörter.
Wenn man die Passwörter jetzt salzt und das Salz direkt neben das Passwort in die gleiche Tabelle schreibt, aber natürlich für jedes Passwort ein eigenes Salz generiert, dann erhöht das die Kosten für den Angreifer ungemein, denn theoretisch bräuchte er jetzt für jeden User seine eigene Regenbogentabelle nämlich mit allen Standardpasswörtern+Salz.
Also Salz was in der Datenbank mit drin steht ist absolut sinnvoll und erhöht die Kosten für den Angreifer ERHEBLICH, er muss nämlich dann jedes Passwort einzeln bruteforcen.
In der Regel ist es aber gar nicht notwendig das Salz neben das Passwort zu speichern, weil im Grunde jeder String der für die Datenbank einigermaßen unique ist taugt, z.B. die Email-Adresse oder der Hash der Emailadresse oder der Benutzername und das Registrierungsdatum oder oder oder.
Man kann jetzt freilich noch zusätzlich ein Geheimnis hinzufügen, welches man nicht verliert wenn man die Datenbank verliert, aber das ist dann oft nicht einzigartig jeh Passwort.
Moin Sven und Stefan!
Zunächst einmal möchte ich sagen, dass ich euren Podcast sehr unterhaltsam finde und ihr beide einen sehr sympathischen Eindruck macht. Ich bin jetzt schon seit einiger Zeit dabei mir alle Folgen anzuhören und bin aktuell bei dieser Folge angelangt, liege also nur noch 21 Monate zurück. 🙂
Was mir aber aufgefallen ist: Es wurde jetzt schon in mehreren Episoden über den Salt-Wert gesprochen und jedes Mal hatte ich den Eindruck, dass ihr das Prinzip immer noch nicht vollständig erfasst habt, obwohl in den User-Kommentaren, wie auch hier wieder, der Sinn des Salt-Wertes genau erklärt wird.
Es ist vollkommen „lege artis“, den Salt-Wert unverschlüsselt zusammen mit dem gehashten Passwort zu speichern, so z. B. auch im Shadow-File!
Also bitte, bitte, bitte schaut euch das nochmal genauer an, bevor ihr wieder in einer Folge moniert, dass beides zusammen gespeichert wurde!
Ich werde das natürlich genau überprüfen, indem ich auch noch die restlichen Folgen anhören werde! 😉
Grüße
Blubster
Bitte, bitte, bitte
Hallo Blubster,
ersteinmal Respekt, dass du dir vorgenommen hast alle Episoden zu hören.
Nun zu dem Ding mit den SALT und wie man sie korrekt speichert.
Ich gebe dir recht, dass es legitim ist, die SALTS unverschlüsselt zu speichern.
Aber ich muss wiedersprechen, wenn es um die furchtbare Unart geht, diese unverschlüsselten SALTs in der Datenbank direkt neben die Passwörter zu legen.
Im Idealfall habe ich meine 1-N SALTs, welche in einer extra Tabele abgelegt sind, die rein vom Namen her nichts mit den SALTs oder mit Passwörtern zu tun hat.
Zusätzlich können/sollten die SALTs verschlüsselt sein (HASH ist keine Verschlüsselung).
Eine Beziehung für die Passwörter mit den SALTS muss ich nicht herstellen, da die heutige Hardware (Serverseitig) performant genug ist, dass man komplett zu prüfen und über jeden SALT zu Iterieren, bis ich den richtigen habe.
Der nicht so Ideale Fall, den ich letze Woche erst wieder gesehen habe war, das der HASH des Passwortes mit einem SALT erweitert wurde, welcher in keiner weise nachträglich bearbeitet wurde.
Resultat war, dass ich den wirklichen HASH in unter 10 Minuten hatte und dann meine Liste draufwerfen konnte um zu sehen, welches meiner Passwörter ich verwendet hatte.
Das Resultat war unter 45 Minuten vorhanden. Da kann man sicher dran Arbeiten. =)
Aber ich gebe dir Recht, dass wir vielleicht einmal uns die ganzen Konzepte, welche es zum Salzen gibt mal genauer anschauen sollten und dann einmal das in aller Ruhe aufdröseln sollten. Wir vertun uns da meiner Meinung nach immer zu oft. =)
In diesem Sinne, verspreche ich zumindest besserung.
Aber was SALTs sind und wie man sie am besten verwendet ist uns bewusst. Nur das ganze drum herum ist halt wirklich viel. Da kann man schoneinmal durcheinander kommen. Aber das sage ich jetzt mit über 20 Folgen mehr Erfahrung.
Lieben Gruß
Stefan
Hallo Stefan,
danke für deine Antwort. Bitte erkläre mir nochmal den dritten Absatz.
Also das gehashte Passwort wurde zusammen mit dem unveränderten Salt-Wert gespeichert. Was hast du dann genau gemacht (bitte präzise), um innerhalb von 10 Minuten den „wirklichen Hash-Wert“ zu erhalten und was ist genau mit „wirklicher Hash-Wert“ gemeint?
Grüße
Blubster