IT-Blogger

Mit Sicherheit hat schon jeder mitbekommen, was beim sozialen Netzwerk von Haefft passiert ist. Deswegen nur kurz zusammengefasst:

Der  CCC hat im Sozialen Netzwerk von Haefft schwerwiegende Sicherheitslücken gefunden, die kaum zu übertreffen sind. Die Daten aller dort angemeldeten Schüler waren für jeden, der die Sicherheitslücke entdeckt hat, frei zugänglich.

Konkret hat es sich um folgende Schwachstellen gehandelt:

• Passwörter wurden im Klartext in der Datenbank gespeichert. Nicht als Hash und somit natürlich auch ohne Salt.
• Keine verschlüsselte Anmeldung. D.h. Username und Passwort wurden unverschlüsselt über das Internet übertragen
• Eingabedaten wurden ungefiltert an die Datenbank übertragen.

Doch das waren noch nicht genug Anfängerfehler. Jetzt kommt, wie ich finde, der eigentliche Hammer:

• Passwörter wurden mit dem ILIKE-Operator überprüft.

Zudem wurden sie [die Passwörter] mit dem ILIKE-Operator nur auf Ähnlichkeit verglichen, so daß sich die Paßwort-Abfrage mit einfachsten Mitteln umgehen ließ.

CCC-Blogpost

Wie die Überprüfung genau stattgefunden hat, weiß ich natürlich nicht. Ich kenne deren Quelltext nicht. Aber man möge sich nur mal vorstellen, was die Programmierer sich bei der Passwort-Abfrage gedacht haben:

“Wenn der Nutzer ein Passwort eingibt, was so oder so ähnlich aussieht, wie das was wir unverschlüsselt in der Datenbank gespeichert haben, dann ist er erfolgreich authentifiziert.”

Ja, wie kommt man denn darauf? Authentifizierung mit Hilfe von Wahrscheinlichkeiten?

“Authentifiziere dich mit dem User aus der unverschlüsselten Datenbank, der dem eingegebenen Datensatz am ehesten entspricht.” Oder was?

Ernsthaft, wie kommt man auf die Idee ein Passwort mit einem ILIKE zu überprüfen? Gibt es da evtl. sinnvolle Einsatzzwecke, die ich nicht kenne? Ich bezweifle es.

Der CCC frägt sich, angesichts der immer wiederkehrenden Datenskandale, zurecht inwiefern und ob man überhaupt sozialen Netzwerken sein Vertrauen schenken darf. Haefft verliert jetzt hoffentlich all seine Nutzer.

So etwas darf definitiv nicht passieren.

• Verbesserte Anwendungskompatibilität
• Überarbeiteter Code für weniger Abstürze

Hrhr. Das sind einige Neuerungen des aktuellen Vista SP2.

Voller Vorfreude, ausgelöst nicht nur durch gelegentliche Vista-Abstürze sondern auch durch die Erinnerung “nach SP2 wurde auch XP gut”,  hab ich mir hoffnungsvoll Vistas SP2 heruntergeladen und installiert.

Phase 1 …… Alles klar!

Phase 2 …… Alles klar!

Reboot

Phase 3 …… 0% ….. Bluescreen of Death, eamon.sys spielt verrückt, Speicherabbild, Teufelskreis.

Damn. Und nu? Google sagt, dass die Datei eamon.sys zu NOD32 gehört. Zusammen mit den Suchbegriffen “Vista SP2″, liefert Google auch einige Ergebnisse. Allerdings steht da auch nicht arg viel mehr, als was ich inzwischen auch schon weiß. Nämlich: “NOD32 und Vista SP2? Geht nicht!”

Scheinbar sind nur einige Versionen betroffen und Eset arbeitet schon, natürlich mit Hochdruck, an einer Lösung.

Viel wichtiger: Wie kriegen wir nun unseren Vista-Rechner wieder hin? Am besten ohne Downgrade und Neuinstallation?

• Als erstes starten wir den Rechner im Abgesicherten Modus (F8 beim Start, bzw. Vista zeigt die Auswahl automatisch an, wenn das System nicht korrekt heruntergefahren wurde).
• Danach warten wir erstmal. Bei mir hats ewig gedauert bis Phase 3 abgeschlossen war.
• Dann erkennt Vista, dass die SP2-Installation nicht erfolgreich war und deinstalliert das Service-Pack.  Damit der BSOD-Teufelskreis durchbrochen.
• Vista wieder normal starten. NOD32 löschen.
• Danach funktioniert auch die Installation von SP2.

Eigentlich schade. NOD32 ist ein klasse Scanner, ich hatte ja schonmal darüber geschrieben. Jetzt mach ich ihn nicht nur für diesen, sondern auch für einige andere Abstürze in letzter Zeit verantwortlich.

Bleibt die Frage, ob man vor jedem Systemupdate Google bemühen muss/solle? Scheinbar schon…

Thread bei wildersecurity zum Thema:

http://www.wilderssecurity.com/showthread.php?t=241025