0d053 – Scum with Scrum

In der heutigen Folge versuchen Sven und Stefan mal Scrum zu erklären und ein wenig den Nebel zu lüften, welcher sich um dieses Thema oftmals legt.
Die Datenverluste sind aufgrund der langen Zeit seit der letzten Folge ein wenig mehr als sonst, was dem Spaß jedoch keinen Abbruch tut.

Datenverluste 

News

Thema:  Scum with Scrum

Wikipedia: Scrum, Podcast von Toby Baier: Agiles Produktmanagement, a funny Scrum Master movie with Jeff Sutherland

Aufgenommen am: 17.12.2019
Veröffentlicht am: 18.12.10.2019
Intro & Outro Chiptune  CC BY SA 4.0: Pumped by ROCCOW
Logo CC BY 2.0 Richard Patterson

Disclaimer

In diesem Podcast werden Techniken oder Hardware vorgestellt, die geeignet sind, externe Geräte anzugreifen. Dies geschieht ausschließlich zu Bildungszwecken, denn nur, wenn man die Angriffstechniken kennt, kann man sich effektiv davor schützen. Denkt immer daran, diese Techniken oder Hardware nur bei Geräten anzuwenden, deren Eigner oder Nutzer das erlaubt haben.Der unerlaubte Zugriff auf fremde Infrastruktur ist strafbar (In Deutschland §202a, §202b, §202c StGB).

6 Gedanken zu „0d053 – Scum with Scrum

  1. rince

    Ihr habt nicht nur einen Hörer in Stuttgart 🙂 wart Ihr schonmal beim Stammtisch des CCCS? Das könnte sich lohnen, zumindest der im Lichtblick

    Gruß, Rince

    Antworten
  2. Deus Figendi

    Haha, ich nähere mich der aktuellen Episode,

    bzw. „Salt direkt neben das Passwort speichern“ sei Quatsch (bei ca. 0:43):
    Ich denke das stimmt nicht. Vielleicht besteht hier ein Missverständnis über den Zweck des Salzes: Es geht darum Regenbogentabellen nutzlos zu machen. Ich vermute ihr wisst was Regenbogentabellen sind, aber für alle anderen: Das sind Tabellen/Datenbanken, die vorab die geläufigsten Passwörter (password123, admin, password, qwerty …) ihren hashes zuordnen

    7576f3a00f6de47b0c72c5baf2d505b0 = password123
    456b7016a916a4b178dd72b947c152b7 = admin
    286755fad04869ca523320acce0dc6a4 = password
    a86850deb2742ec3cb41518e26aa2d89 = querty

    Wenn man nun so eine Datenbank erbeutet und findet dort gehashte Passwörter OHNE SALZ, kann man einfach gucken ob man identische Hashes in seiner Regenbogentabelle hat und zack weiß man der User hat „passwort123“ und der User hat „querty“ und der User da, den hash kenne ich nicht, der wohl nicht eines der 1.000.000 häufigsten Passwörter.

    Wenn man die Passwörter jetzt salzt und das Salz direkt neben das Passwort in die gleiche Tabelle schreibt, aber natürlich für jedes Passwort ein eigenes Salz generiert, dann erhöht das die Kosten für den Angreifer ungemein, denn theoretisch bräuchte er jetzt für jeden User seine eigene Regenbogentabelle nämlich mit allen Standardpasswörtern+Salz.

    Also Salz was in der Datenbank mit drin steht ist absolut sinnvoll und erhöht die Kosten für den Angreifer ERHEBLICH, er muss nämlich dann jedes Passwort einzeln bruteforcen.

    In der Regel ist es aber gar nicht notwendig das Salz neben das Passwort zu speichern, weil im Grunde jeder String der für die Datenbank einigermaßen unique ist taugt, z.B. die Email-Adresse oder der Hash der Emailadresse oder der Benutzername und das Registrierungsdatum oder oder oder.

    Man kann jetzt freilich noch zusätzlich ein Geheimnis hinzufügen, welches man nicht verliert wenn man die Datenbank verliert, aber das ist dann oft nicht einzigartig jeh Passwort.

    Antworten
  3. Blubster

    Moin Sven und Stefan!

    Zunächst einmal möchte ich sagen, dass ich euren Podcast sehr unterhaltsam finde und ihr beide einen sehr sympathischen Eindruck macht. Ich bin jetzt schon seit einiger Zeit dabei mir alle Folgen anzuhören und bin aktuell bei dieser Folge angelangt, liege also nur noch 21 Monate zurück. 🙂

    Was mir aber aufgefallen ist: Es wurde jetzt schon in mehreren Episoden über den Salt-Wert gesprochen und jedes Mal hatte ich den Eindruck, dass ihr das Prinzip immer noch nicht vollständig erfasst habt, obwohl in den User-Kommentaren, wie auch hier wieder, der Sinn des Salt-Wertes genau erklärt wird.

    Es ist vollkommen „lege artis“, den Salt-Wert unverschlüsselt zusammen mit dem gehashten Passwort zu speichern, so z. B. auch im Shadow-File!

    Also bitte, bitte, bitte schaut euch das nochmal genauer an, bevor ihr wieder in einer Folge moniert, dass beides zusammen gespeichert wurde!

    Ich werde das natürlich genau überprüfen, indem ich auch noch die restlichen Folgen anhören werde! 😉

    Grüße
    Blubster

    Bitte, bitte, bitte

    Antworten
    1. Stefan

      Hallo Blubster,
      ersteinmal Respekt, dass du dir vorgenommen hast alle Episoden zu hören.
      Nun zu dem Ding mit den SALT und wie man sie korrekt speichert.
      Ich gebe dir recht, dass es legitim ist, die SALTS unverschlüsselt zu speichern.
      Aber ich muss wiedersprechen, wenn es um die furchtbare Unart geht, diese unverschlüsselten SALTs in der Datenbank direkt neben die Passwörter zu legen.

      Im Idealfall habe ich meine 1-N SALTs, welche in einer extra Tabele abgelegt sind, die rein vom Namen her nichts mit den SALTs oder mit Passwörtern zu tun hat.
      Zusätzlich können/sollten die SALTs verschlüsselt sein (HASH ist keine Verschlüsselung).
      Eine Beziehung für die Passwörter mit den SALTS muss ich nicht herstellen, da die heutige Hardware (Serverseitig) performant genug ist, dass man komplett zu prüfen und über jeden SALT zu Iterieren, bis ich den richtigen habe.

      Der nicht so Ideale Fall, den ich letze Woche erst wieder gesehen habe war, das der HASH des Passwortes mit einem SALT erweitert wurde, welcher in keiner weise nachträglich bearbeitet wurde.
      Resultat war, dass ich den wirklichen HASH in unter 10 Minuten hatte und dann meine Liste draufwerfen konnte um zu sehen, welches meiner Passwörter ich verwendet hatte.
      Das Resultat war unter 45 Minuten vorhanden. Da kann man sicher dran Arbeiten. =)

      Aber ich gebe dir Recht, dass wir vielleicht einmal uns die ganzen Konzepte, welche es zum Salzen gibt mal genauer anschauen sollten und dann einmal das in aller Ruhe aufdröseln sollten. Wir vertun uns da meiner Meinung nach immer zu oft. =)

      In diesem Sinne, verspreche ich zumindest besserung.
      Aber was SALTs sind und wie man sie am besten verwendet ist uns bewusst. Nur das ganze drum herum ist halt wirklich viel. Da kann man schoneinmal durcheinander kommen. Aber das sage ich jetzt mit über 20 Folgen mehr Erfahrung.

      Lieben Gruß
      Stefan

      Antworten
  4. Blubster

    Hallo Stefan,
    danke für deine Antwort. Bitte erkläre mir nochmal den dritten Absatz.
    Also das gehashte Passwort wurde zusammen mit dem unveränderten Salt-Wert gespeichert. Was hast du dann genau gemacht (bitte präzise), um innerhalb von 10 Minuten den „wirklichen Hash-Wert“ zu erhalten und was ist genau mit „wirklicher Hash-Wert“ gemeint?
    Grüße
    Blubster

    Antworten

Schreibe einen Kommentar zu rince Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.