Tag-Archive for » Passwort «

Filezilla jetzt mit Master-Passwort

Die Nutzer des für diverse Betriebssysteme verfügbaren FTP-Clients Filezilla sollen die Passwörter für ihre FTP-Sites jetzt endlich mit einem Master-Passwort verschlüsselt auf der Festplatte speichern können.

Bisher sind diese Daten in einer Textdatei ohne Verschlüsselung abgelegt, und wer sich Zugang zu dieser Datei verschafft, hat auch alle Passwörter für die von Filezilla gespeicherten FTP-Zugänge. Das neue Master-Passwort steht schon im Release Candidate der Betaversion 3.26.00 zur Verfügung. Das Master-Passwort muss der User in den Optionen erst aktivieren.

Wie beispielsweise Bleepingcomputer.com und andere berichten, haben die Nutzer von Filezilla schon seit zehn Jahren immer wieder erfolglos gebeten, dass die FTP-Passwörter bei Filezilla durch ein Master-Passwort geschützt und nur noch verschlüsselt gespeichert werden.

Ende 2016 hat nach dem Bericht dann ein frustierter Benutzer einen Fork des Filezilla-Programms mit einem solchen Master-Passwort erstellt, weil ihm durch Malware alle seine Passwörter kopiert und damit gestohlen wurden. Man vermutet, dass dieser Fork den Druck auf den Entwickler von Filezilla erhöht hat, jetzt endlich selbst tätig zu werden.

Sicherheitslücken im PHP File Manager

Das Programm PHP File Manager kann man für nur 5 Dollar kaufen. Man installiert es dann auf seinem Internetserver und kann danach beliebige Dateien zwischen seinem PC und dem Server einfach mit dem Browser austauschen.

Dummerweise können das alle anderen auch – vom Programmierer bis zum Hacker!

Weil es so bequem ist, nutzen offensichtlich auch viele große Unternehmen das Tool zum Dateitransfer. Dazu gehören beispielsweise Eneco, Nintendo, Danone, Nestle, Loreal, EON, Siemens, Vattenfall, Oracle, Oxford, Hilton, T-Mobile, CBS, UPC und 3M (und vermutlich noch viele andere), von deren Internetservern seitdem jedermann vertrauliche Dateien ohne Probleme herunterladen kann.

Denn in dem PHP-Skript PHP File Manager schlummern seit mindestens fünf Jahren mehrere kritische Sicherheitslücken, die der Hersteller kennt, aber einfach nicht schließt.

Darauf macht Security-Berater Sijmen Ruwhof in seinem Blog jetzt aufmerksam. So soll es zum Beispiel durch zwei Lücken möglich sein, über das Skript ohne Authentifizierung Code auf den Server zu laden und auch auszuführen.

RevivedwirePHPFileManagerLoginDas Schärfste daran ist aber ein speziell versteckter Superuser mit dem Namen  ****__DO_NOT_REMOVE_THIS_ENTRY__****,  der in allen Installationen des File Managers dasselbe Passwort nutzt. Um es Hackern einfach zu machen, ist dies Passwort auch gleich als MD5-Hash im Script.

Hersteller Revivedwire hat den PHP File Manager inzwischen auf verschämte Art und Weise auf seinem Vertriebsserver gesperrt. Man liest dort ein unverfängliches „Wir konnten die aufgerufene Seite leider nicht finden, bitte überprüfen Sie die URL (ACTUALLY, WE COULDN’T FIND THE PAGE YOU REQUESTED. PLEASE CHECK THE URL.)“.

Ein Hinweis auf die Sicherheitslücken wäre nicht nur ehrlicher, sondern auch hilfreicher für die Kunden, die schließlich Geld für dies Programm bezahlt haben – auch wenn es nur 5 Dollar gekostet hat!

Ein Zufallspasswort mit PHP

phpmarginEin Zufallspasswort, das Wörterbuchangriffe verhindert, lässt sich leicht mit einem Codeschnipsel in PHP erzeugen. Man schreibt alle Zeichen, die Teil des Passworts sein dürfen, in eine Zeichenkette und ruft dann so oft die PHP-Zufallsfunktion rand() auf, bis man die gewünschte Länge des Passwortes erreicht hat.

Mit jedem der Aufrufe wird eines der Zeichen aus dem String in die zu Beginn leere Passwort-Variable eingetragen, deshalb können auch Zeichen mehrfach vorkommen.

Hier der PHP-Code dazu:
<?php
function erzeugeZufallsPasswort() {
$chars = „abcdefghijkmnopqrstuvwxyz023456789″;
srand((double)microtime()*1000000);
$i = 0;
$passwort = “;

while ($i <= 8) {
$num = rand() % 33;
$tmp = substr($chars, $num, 1);
$passwort = $passwort . $tmp;
$i++;
}
return $passwort;
}

// Benutzung:
// $NeuesPasswort = erzeugeZufallsPasswort();
?>

Dieses Codebeispiel soll nur ein Muster sein und kann deutlich verbessert werden. Es sollten zum Beispiel Großbuchstaben und Sonderzeichen in den Quellstring aufgenommen werden und dann die Obergrenze des Ergebnisses des Aufrufs der Zufallsfunktion dann von 33 auf die neue Länge des Strings angepasst werden – sonst werden die hinzugefügten Zeichen nie „gezogen“.

Wer es noch besser machen will, sorgt dafür, dass von jeder Zeichensorte (Klein- und Großbuchstaben, Ziffern und Sonderzeichen mindestens eins vorkommen muss…

Fehler in Joomla-Updater per Update beseitigt

joomla-developmentEs waren die Updates Joomla 3.3.5 und 2.5.26, die einen Bug in das beliebte CMS einschleusten, über den der eingebaute Update-Mechanismus ausgehebelt wird.

Deshalb haben die Entwickler ein neues Update (3.3.6 und 2.5.27) herausgebracht, das aber auf einem anderen Weg als mit dem üblichen Klick eingespielt werden muss…

Die Aktualisierung ist aber trotzdem nicht besonders kompliziert. Administratoren können dafür den Erweiterungsmanager von Joomla nutzen, mit dem sich ZIP-Dateien hochladen und entpacken lassen.

Das neue Release Joomla 3.3.6 fügt dem CMS einen Fallback-Mechanismus für die Update-Komponente hinzu und korrigiert einen Fehler in der Passwort-Rücksetz-Routine sowie ein Tag-Problem. Weitere Details finden Sie in der Release-Ankündigung. Joomla 3.3.6 und 2.5.27 können Sie als Komplettpaket beziehungsweise Update-Paket über die Joomla-Website downloaden.

Die gefährliche Methode preventDefault()

Die DOM-Methode preventDefault() erlaubt es, den Aufruf einer aufgrund eines Ereignisses jetzt aufzurufende Methode nicht durchzuführen und stattdessen eigenen Code ablaufen zu lassen. Auch die Reaktion auf eine vom Benutzer eingegebene Tastenkombination kann damit geändert werden. Das sieht zum Beispiel so aus:

$(window).keydown(function(evt){  
        if((evt.which == "70" && ( evt.metaKey || evt.ctrlKey ))){  
               evt.preventDefault(); 
                /* Fake-Suche anzeigen */
           }  
        });  

 

Der Blogger h43z hat gezeigt, wie man die lokale Browsersuche, die mit „Strg+F“ aufgerufen wird, für das Ausspionieren eine Passwortes benutzen kann. Dazu wird dem Benutzer eine Passwortliste gezeigt, die angeblich durch einen Hack erbeutet wurde, und wenn dieser dann mal mit „Strg+F“ nachsehen möchte, ob sein Passwort auch dabei ist, kommt statt der Standard-Browsersuche ein täuschen ähnliches Fenster, über das ein Angreifer verfügen kann, wie er will.

MySQL Root-Passwort festlegen

Nach Abschluss einer LAMP-Installation fehlt in der Regel das Passwort für den Datenbank-Admin root von MySQL. Mit dem Aufruf

MySQL –u root MySQL

kann man das überprüfen. Kommt als Prompt MySQL>, dann hat MySQL noch kein root-Passwort.

Um ein neues Passwort für den Benutzer root festzulegen, gibt man

UPDATE user SET Password=PASSWORD(‚geheim‘) WHERE user=’root‘;

ein.  Die Benutzereinstellungen speichert MySQL aus Geschwindigkeitsgründen im Arbeitsspeicher zwischen, also muss die Datenbank danach an diesen Cache angeglichen werden. Das erreicht man mit dem Befehl

MySQL –u root MySQL.

Man kann alternativ das Passwort auch mit MySQLAdmin eingeben, das Verwaltungsprogramm wird direkt von der Shell aus gestartet. Diese Methode ist aber unter Umständen unsicher, denn ein anderer Benutzer des Systems könnte das Passwort im Klartext mitlesen, wenn er sich alle aktuell laufenden Prozesse ansieht. Wenn das Passwort einmal gesetzt wurde, muss sich der User root vor jedem Zugriff mit diesem Passwort identifizieren.

Category: Allgemein  Tags: , ,  Comments off

WLAN-Urteil des BGH vom 12.5.2010

Vor wenigen Tagen fällte der Bundesgerichtshof (Urteil d. 1. Zivilsenats v. 12.5.2010 – 1 ZR 121/08) eine Entscheidung zum Zugangsschutz von privaten WLANs. Entschieden wurde damit höchstrichterlich ein Fall, bei dem der Anschluss eines Privatmannes von Dritten missbraucht wurde, um darüber ein geschütztes Musikstück herunterzuladen, während der Inhaber des Anschlusses im Urlaub war. Der Internetzugang war nur mit dem vom Provider voreingestellten Standard-Passwort geschützt.

Zunächst die gute Nachricht für private Betreiber eines WLAN: Auch wenn kein individuelles Passwort den Zugang abgesichert hat, haftet der Anschlussbetreiber nicht für die meist sehr hohen Schadenersatzansprüche der Rechteinhaber (im bezogenen Fall der Plattenfirma).

Allerdings gibt es auch eine schlechte Nachricht: Nicht nur derjenige, der überhaupt keine Zugangssicherung zu seinem WLAN hat, sondern auch jemand, der das Standardpasswort seines Providers benutzt, muss mit einer Abmahnung über 100 € rechnen.

Da privaten Betreibern nicht zugemutet werden kann, laufend ihre Sicherheitstechnik auf den aktuellen Stand zu bringen, ist es ausreichend, wenn Sie die zum Zeitpunkt der Einrichtung üblichen Standards einhalten. Dazu reicht das vom Werk eingestellte Passwort nicht aus, da es zu einfach zu erraten ist.

Sollten Sie also noch keine Verschlüsselung in Ihrem WLAN haben oder nur eine mit einem vom Hersteller des Routers vorgegebenen Passwort, wird es Zeit, zu handeln und den Zugang entsprechend abzusichern.

Im Grunde liegt das in Ihrem eigenen Interesse, denn es geht ja nicht nur darum, die Benutzung Ihres WLANs durch Dritte für gesetzwidrige Zwecke zu verhindern, sondern auch um den Schutz Ihrer eigenen Daten, die ansonsten auch für einen Angreifer frei verfügbar wären.

Category: Allgemein  Tags: , , ,  Comments off