Nieuws
image

Typo3 lek zorgt voor toename van hash cracking

vrijdag 13 februari 2009, 14:19 door Redactie, 11 reacties

Een beveiligingslek in het populaire Content Management Systeem Typo3 zorgt voor een enorme toename op websites waar mensen wachtwoord hashes kunnen kraken. Door de kwetsbaarheid is het mogelijk voor een aanvaller om willekeurige bestanden op de server te lezen, waaronder het typo3conf/localconf.php bestand, waarin zowel het installatie wachtwoord als de login van de database staan. De wachtwoorden zijn gehasht, maar via websites als hashcrack.com te achterhalen. De website zag de afgelopen dagen een vertienvoudiging van het aantal aanvragen, vermoedelijk door het lek in Typo3.

Een andere optie is het gebruik van rainbow tables, aangezien Typo3 de wachtwoorden niet "gezouten" heeft. Dit is het toevoegen van een willekeurig aantal karakters aan het wachtwoord om hashing aanvallen te voorkomen. Via rainbow tables is het dan mogelijk om het wachtwoord binnen een aantal minuten of dagen te achterhalen. Ook de persoonlijke website van de Duitse Minister van Binnenlandse Zaken, Wolfgang Schäuble, werd op deze manier gehackt. Gebruikers krijgen het advies om te updaten naar versie 4.0.12, 4.1.10 of 4.2.6.

Reacties (11)
13-02-2009, 15:00 door Eerde
Typo 1.: Typo3 lekt zorgt voor toename van hash cracking
Moet zijn: Typo3 lek zorgt voor toename van hash cracking
13-02-2009, 15:22 door Anoniem
En laat digid.nl nu op typo 4.1 lopen....

Laten we hopen dat men daar wel de updates bijhoud... Anders ff iemand zijn digid hacken......

TheYOSH
13-02-2009, 16:18 door Anoniem
Onbegrijpelijk de auteurs wel zoveel van beveiliging weten dat ze hashen, maar niet zouten... prutsers.
13-02-2009, 17:56 door Anoniem
Redactie is al op de vrimibo ;)
13-02-2009, 17:56 door Anoniem
"... de wachtwoorden niet "gezouten" heeft."

pfffff... Kunnen we es afstappen van het letterlijk vertalen van (computer)technisch-Engelse termen naar het Nederlands?!
Het is al erg genoeg dat ik bij de meeste NL-software een uur moet nadenken voor ik snap wat ze bedoelen.. "Salting", wat nu wordt bedoelt is een term, vertaal het aub. niet letterlijk.

Om nog even duidelijk te zijn, ook zo'n leuk voorbeeld: "Send" (via Bluetooth), word heel fijn door Micro$oft vertaald als: "Uitstralen". Ja, fijn, en dan moet ik weten wat ze bedoelen?!

Het is echt tijd voor language packs, dat je niet meer een nieuwe versie moet kopen omdat in NL alle laptops met een NL versie worden gelevert. En ja, ik weet dat Linux wel language packs gebruikt. En als ik nu toch bezig ben, ik vind ook dat het mogelijk moet zijn om te kiezen voor een kale laptop, zonder OS, als je zo'n ding in de winkel gaat kopen. Met korting natuurlijk omdat je dan niet voor het OS hoeft te betalen.

Ok, kompleet van het onderwerp afgeweken, maarja...
13-02-2009, 19:12 door Anoniem
De wachtwoorden zijn gehasht, maar via websites als hashcrack.com te achterhalen.

Nee.

Wat er gebeurt is dat er in een database wordt opgezocht of er een wachtwoord bekend is dat dezelfde hash oplevert. Als je secret of 1234 als wachtwoord gebruikt is de kans groot dat deze al in de database aanwezig is. Heb je hdp(837$@ak als wachtwoord, dan is de kans op een gelijkende hash (collision) nihil.

Er zijn namelijk 2^128 = 340.282.366.920.938.463.463.374.607.431.768.211.456 verschillende hashes mogelijk. Die passen niet allemaal in een database, dus alleen als iemand anders hetzelfde wachtwoord heeft als jij hoef je je echt zorgen te maken. Bij gebruik van (echt) sterke wachtwoorden heb je dus niet zoveel te vrezen van dergelijke wachtwoord-databases of rainbow tables.

Wat wel gebeurt is dat reeksen mogelijke wachtwoorden worden gehashed, bijvoorbeeld alle wachtwoorden bestaand uit zes uppercase characters. Dat is in niet zoveel tijd te realiseren en neemt niet zoveel database-ruimte in beslag. Het idee daarachter is dat mensen vaak korte wachtwoorden bestaande uit alleen uppercase characters gebruiken.
13-02-2009, 22:34 door Anoniem
gezouten
laten we asjeblief de termen gewoon engels houden?
14-02-2009, 10:48 door Anoniem
Door Anoniem
De wachtwoorden zijn gehasht, maar via websites als hashcrack.com te achterhalen.
Wat er gebeurt is dat er in een database wordt opgezocht of er een wachtwoord bekend is dat dezelfde hash oplevert. Als je secret of 1234 als wachtwoord gebruikt is de kans groot dat deze al in de database aanwezig is. Heb je hdp(837$@ak als wachtwoord, dan is de kans op een gelijkende hash (collision) nihil.

hdp(837$@ak kom ik gewoon tegen op hashcrack.com, hoor!
14-02-2009, 11:07 door Anoniem
Door Anoniem"... de wachtwoorden niet "gezouten" heeft."

pfffff... Kunnen we es afstappen van het letterlijk vertalen van (computer)technisch-Engelse termen naar het Nederlands?!
Het is al erg genoeg dat ik bij de meeste NL-software een uur moet nadenken voor ik snap wat ze bedoelen.. "Salting", wat nu wordt bedoelt is een term, vertaal het aub. niet letterlijk.

Om nog even duidelijk te zijn, ook zo'n leuk voorbeeld: "Send" (via Bluetooth), word heel fijn door Micro$oft vertaald als: "Uitstralen". Ja, fijn, en dan moet ik weten wat ze bedoelen?!

Het is echt tijd voor language packs, dat je niet meer een nieuwe versie moet kopen omdat in NL alle laptops met een NL versie worden gelevert. En ja, ik weet dat Linux wel language packs gebruikt. En als ik nu toch bezig ben, ik vind ook dat het mogelijk moet zijn om te kiezen voor een kale laptop, zonder OS, als je zo'n ding in de winkel gaat kopen. Met korting natuurlijk omdat je dan niet voor het OS hoeft te betalen.

Ok, kompleet van het onderwerp afgeweken, maarja...
Gelukkig, ik dacht al, waar blijft de kritiek op Microsoft? Toch weer wat gevonden.
14-02-2009, 16:46 door Anoniem
[quote
Wat er gebeurt is dat er in een database wordt opgezocht of er een wachtwoord bekend is dat dezelfde hash oplevert. Als je secret of 1234 als wachtwoord gebruikt is de kans groot dat deze al in de database aanwezig is. Heb je hdp(837$@ak als wachtwoord, dan is de kans op een gelijkende hash (collision) nihil.

Er zijn namelijk 2^128 = 340.282.366.920.938.463.463.374.607.431.768.211.456 verschillende hashes mogelijk. Die passen niet allemaal in een database, dus alleen als iemand anders hetzelfde wachtwoord heeft als jij hoef je je echt zorgen te maken. Bij gebruik van (echt) sterke wachtwoorden heb je dus niet zoveel te vrezen van dergelijke wachtwoord-databases of rainbow tables.[/quote]
Bijna. Als je van jouw voorbeeld uitgaat, "hdp(837$@ak", 11 letters, van a-z A-Z 0-9 en nog wat gekke karakters, laten we zeggen 75, dan zijn er "maar" 75^11 combinaties = 422351360321044921875. Dat is ongeveer 2^69. Dat is nog steeds veel, maar een volledig ander probleem dan 2^18 hashes opslaan. Dus: voor een hoop strings hashes berekenen, en die combinaties opslaan, is veel haalbaarder dan alle mogelijke hashes opslaan.
14-02-2009, 22:05 door Anoniem
Door Anoniem
Door Anoniem
De wachtwoorden zijn gehasht, maar via websites als hashcrack.com te achterhalen.
Wat er gebeurt is dat er in een database wordt opgezocht of er een wachtwoord bekend is dat dezelfde hash oplevert. Als je secret of 1234 als wachtwoord gebruikt is de kans groot dat deze al in de database aanwezig is. Heb je hdp(837$@ak als wachtwoord, dan is de kans op een gelijkende hash (collision) nihil.

hdp(837$@ak kom ik gewoon tegen op hashcrack.com, hoor!

Dan pak je idp(837$@ak, die is nog niet bekend.

Het hele idee van hashcrack.com is dat elk wachtwoord dat wordt ingevoerd wordt onthouden. Er hoeft dus maar één grapjas te zijn die idp(837$@ak invoert, en hij wordt wel herkend.

Een sterk wachtwoord is dus een wachtwoord dat nog niet is gebruikt op een site als deze. En zoals je in mijn voorbeeld ziet is dat niet zo heel moeilijk.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search