Passwörter zum Aktionspreis von und für jedermann

Die Passwort-Leaks überschwemmen das Internet. Twitter, Linked, TeamViewer immer mehr Seiten werden bezichtigt einem Hack zum Opfer gefallen zu sein. Bei manchen sind die Passwort-Listen Jahre alt, dennoch nicht weniger gefährlich. Andere Seiten gehen mit ganz aktuellen Listen ins Rennen und diese Listen sind mehr oder weniger gesalzen 😉 Wieder andere werden angehalten Information zu einem Passwort-Leak offen zu legen obwohl die Accounts über das wiederverwenden von Passwörtern für “jedermann” zugänglich wurden. Preislich bewegt man sich hier bei weniger als einem Cent pro Passwort.

Alle Leaks sind ernst zu nehmen, der persönlich erschreckendste Leak war MySpace. Wer kennt die Seite nicht, das Facebook meiner Jugend 😉 Damals habe ich mir noch keine Gedanken über Sicherheit, Passwort-Policies oder das Sperren von nicht genutzten Accounts gemacht. Damit wird auch mein Passwort in der Liste der MySpace Passwörter zu finden sein. Was jetzt jedoch interessant ist, auf wie vielen Seiten wird dieses Passwort noch immer genutzt?

Continue reading “Passwörter zum Aktionspreis von und für jedermann”

Acht Zeichen sind nicht genug

Am 5ten Mai war World Password Day und an diesem Tag hat jeder der etwas auf Sicherheit hält, seine Tipps zum Thema sichere Passwörter zum Guten gegeben.

Auch wenn nicht mehr der 5te Mai ist, sollte man sich über seine Passwörter Gedanken machen. Einerseits über die Art des Passworts und seine Länge.
Wo früher noch 6 Zeichen ausreichten, raten Experten mindestens 12 (Sonder)Zeichen Passwörter einzusetzen. Wenn das nicht der Fall ist, dann sollte eine 3 Wöchige bis 3 Monatig Passwort-Änderung erfolgen.

Auch waren vor wenigen Jahren noch 3 Sicherheitsstufen der Passwörter ausreichend, ein einfaches für unwichtige Seiten, ein etwas komplexeres für wichtiger und ein hoch-komplexes für wahrlich Wichtiges.

  • Das alles hat seine Vor- und Nachteile, sind Passwörter zu kurz dann werden sie schnell per Brute-Force oder anderen Attacken geknackt.
  • Ist das Passwort zu komplex, weil zuviel Sonderzeichen und/oder muss zu oft geändert werden – landet es auf einem Zettel. Damit ist die Sicherheit auch zu nichte gemacht.
  • Verwendet man nur 3 verschieden Passwörter, reicht eine gehackte Website um Zugriff auf viele andere Konten zu bekommen.

Also was tun? So genau weiß es anscheinend niemand, da auch keiner wirklich vorhersagen kann wie schnell es möglich ist noch längere Passwörter in noch kürzere Zeit zu knacken . Wie oft ändert man schon seine Passwörter für die Online Konten? Es wird gerätselt ob Fingerabdruck oder Iris Scans besser sind, aber was ist wenn diese in andere Hände geraten, das ändern könnte schwer werden. Bilder, Pattern, Puls usw sind Möglichkeiten, aber bis jetzt hat sich keine wirklich durchgesetzt.

Darum einige Tipps die sich immer wieder finden lassen

  • Verwendet für sichere Seiten mit vertraulichen Informationen keine Passwörter. Verwendet ganze Sätze mit mehr als 15 Zeichen.
    Sätze die ihr euch leicht merkt, gerne auch mit Leerzeichen oder Groß- und Kleinschreibung. Vielleicht der Refrain des Lieblingsliedes oder ein Zitat?
    “We can’t blame the technology when we make mistakes.”
  • Verwendet Two-Factor-Authentication wo es nur möglich ist.
  • Nutzt einen Passwort-Manager wie KeePass oder LastPass. Diese erlauben euch für jede Webseite ein eigenes Passwort zu verwenden, schließlich müsst ihr es euch nicht merken, und ein Hack einer Seite würde niemals eine andere Seite kompromittieren.

Das alles bedeutet etwas mehr Aufwand, jedoch könnte dieses bisschen Mehraufwand eure persönlichsten Daten vor anderen Schützen und das sollte es Wert sein.

Man Down

Es ist immer traurig zu sehen, wenn eine Idee nicht den nötigen Nährboden findet und daher das Projekt eingestampft werden muss. So geschah es vor einem Monat auch mit der Open Sourced Vulnerability Database.

Schlussendlich eine sehr gute Entscheidung, alle Beteiligten haben nun mehr Zeit ihr enormes Engagement und Wissen anderswo einzubringen und damit die Welt trotzdem ein Stück sicherer zu machen.

OSVDB:FIN

As of today, a decision has been made to shut down the Open Sourced Vulnerability Database (OSVDB), and will not return. We are not looking for anyone to offer assistance at this point, and it will not be resurrected in its previous form.This was not an easy decision, and several of us struggled for well over ten years trying to make it work at great personal expense. The industry simply did not want to contribute and support such an effort. The OSVDB blog will continue to be a place for providing commentary on all things related to the vulnerability world.

mascot-bug-icon-transparent

Links zum Thema Computer-Netzwerke und Sicherheit [Englisch]

Vor einigen Jahren hatte ich hier eine Sammlung von wichtigen Information und Links zum Computer-Netzwerke und Netzwerksicherheit online gestellt. Diese Sammlung sollte Cisco CCNA und CCNP Kandidaten das Lernen erleichtern. Im Zuge meiner Aufräum-Aktion habe ich die Links überprüft und stelle sie hiermit wieder online.

Continue reading “Links zum Thema Computer-Netzwerke und Sicherheit [Englisch]”

Project Loki: ICMP Tunneling

Going through some notes from the past I stumbled upon LOKI a project I heard about but never found the time to get the information sorted out. But some things do need time 🙂 for all of you interested about Project Loki read the following pages:

Project Loki: ICMP Tunneling

        –[ Introduction ]–

Ping traffic is ubiquitous to almost every TCP/IP based network and
subnetwork.  It has a standard packet format recognized by every IP-speaking
router and is used universally for network management, testing, and
measurement.  As such, many firewalls and networks consider ping traffic
to be benign and will allow it to pass through, unmolested.  This project
explores why that practice can be insecure.  Ignoring the obvious threat of
the done-to-death denial of service attack, use of ping traffic can open up
covert channels through the networks in which it is allowed.

Loki, Norse God of deceit and trickery, the ‘Lord of Misrule’ was
well known for his subversive behavior.  Inversion and reversal of all sorts
was typical for him.  Due to it’s clandestine nature, we chose to name this
project after him.

The Loki Project consists of a whitepaper covering this covert channel
in detail.  The sourcecode is not for distribution at this time.

Using ICMP tunneling to steal Internet

To set up the tunnel you need:

One up system with Internet connectivity that can receive ICMP traffic and make outbound TCP connections. This system we will call the proxy.example.com.
You (preferably) hold root or administrator level access on the proxy system.
You (preferably) hold root or administrator level access on your local system
A copy of PingTunnel by By Daniel Daniel Stødle

The first step is simply to install PingTunnel. This is a extremely easy installation.

Also attached are the original articles as PDFs and TXT files because those information seems always to disappear without any reason 🙂

Using ICMP tunneling to steal Internet

Project Loki ICMP Tunneling

CCNP Security Page added

I created a new static page on my site to help myself remembering things for my CCNP Security track. I do share those information with you by providing links and short explanations. The page gets extended during my courses at Fast Lane and after digging deeper into the world of Security with Cisco solutions.

A never ending story – I would say!

CCNP Security @ feutl.com