Der unabhängige IT- und Tech-Kanal!
internet.board.entertainment.games.hardware
Von Mittwoch bis zum heutigen Freitag findet in Buenos Aires die Sicherheitskonferenz Ekoparty statt. Auf dieser Konferenz berichtete Esteban Martinez Fayó (Wissenschaftler von AppSec Inc.)über eine von ihm festgestellte Sicherheitslücke im Authentifizierungsprotokoll für die Datenbank des Unternehmens Oracle. Oracle ist einer der weltweit größten Softwarehersteller und hat zwar mit dem Patch-Set in der neuen Protokollversion 12 diese Lücke geschlossen, es habe jedoch, so Fayó, „nie einen Fix für die Datenbankversionen 11.1 und 11.2 gegeben“.
Die Schwachstelle, welche Fayó aufzeigt, ist folgende: Als erster Schritt beim Versuch des Nutzers, sich einzuloggen, wird vom kontaktierten Server ein sogenannter Session-Key an den Anwender übermittelt und ein Salt-Wert zugeordnet. Letzterer ist dafür gedacht, das Passwort möglichst sicher zu erhalten. Die Schwachstelle liegt bereits an diesem Punkt, das heißt, bevor die Authentifizierung abgeschlossen ist. Es ist jemandem von einem anderen Computer aus möglich, einen bestimmten Session-Key mit einem bestimmten Passwort-Hash zu verlinken. Der Session-Key sei ein Zufallswert, den der Server generiere und als erstes im Authentifizierungsprozess übermitteln würde, so Fayó. Da zu diesem Zeitpunkt noch keine Authentifizierung notwendig sei, habe der Angreifer relativ leichtes Spiel, indem er Passwörter ausprobieren könne, ohne dass die Fehlversuche vom Server aufgezeichnet würden. Diese Tatsache hat dem Sicherheitsexperten geholfen, die Sicherheitslücke zu finden, weil sich die vom Nutzer wahrgenommenen Fehlversuche nicht mit denen auf dem Server deckten.
Da es sich um ein weithin eingesetztes Produkt handelt, das auf so einfache Weise ausgenutzt werden kann, sieht Fayó die Schwachstelle als gefährlich an. Der Angreifer müsse lediglich ein paar Datenpakete schicken oder einen Standard-Oracle-Client benutzen, um an Session-Key und Salt zu gelangen. Damit ist er in der Lage, einen Brute-Force-Angriff auf Passwörter durchzuführen. In Fayós Testsituation dauerte das Knacken normaler Passwörter mit einem Standardcomputer um die fünf Stunden. Zusätzlich zum Patch oder vielleicht gar, statt diesen zu benutzen, können Netzwerkadministratoren die Schwachstelle auch dadurch entschärfen, dass sie externe Authentifizierung verlangen oder das Oracle-Protokoll in Version 11 auf dem Server deaktivieren.
Bild-Quellen: wikipedia
Text-Quellen: wikipedia threatpost heise.de
Joan Z. am Freitag, 21.09.2012 14:37 Uhr
Im 1. Absatz ist ein Fehler: "Oracle ist einer der weltweit größten Softwarehersteller" Richtig muss es heißen: "Oracle ist einer der weltweit größten Rechtsabteilungen und entwickelt nebenbei auch Software" ...
Ich hoffe, dass schnell eine Lösung gefunden wird. Nicht dieses unprofessionelle Stückwerk! Das nervt. ...
Der Sicherheitsexperte Fayó berichtete auf der Konferenz Ekoparty von einer von ihm entdeckten Sicherheitslücke in Oracles Authentifizierungsprotokoll. Laut Fayó macht es diese Lücke Angreifern leicht, Passwörter zu knacken, und wurde von der Herstellerfirma nicht ausreichend geschlossen. [url=http ...
Heutzutage ist die Internettelefonie neben Fest- und Mobilnetztelefonie immer gefragter. Per Internet zu kommunizieren ist nicht nur komfortabler und billiger, man ist zudem unabhängig von Tarifen, welche nur eine bestimmte Gesprächszeit günstig ermöglichen. Also wieso nicht auch Internet-Telefonie nutzen?
Lars Sobiraj am 14.05.2013, 13:52 Uhr
Der Petitionsausschuss des Deutschen Bundestags steht seit vielen Jahren den Bürgern und Gruppen für ihre Anliegen offen. Wir haben uns kürzlich mit einem der 80 Mitarbeiter des Hauses unterhalten. Da seit der Gründung nur sehr wenige Gesetzesänderungen durch Petitionen entstanden sind, wollen wir den Sinn dieser Institution hinterfragen. Dies ist vorerst der letzte Teil unserer Interview-Serie.
Lars Sobiraj am 12.05.2013, 12:51 Uhr
Wie ein 73-jährige Japaner beweist, kann man das am häufigsten benutzte Tabellenkalkulationsprogramm Microsoft Excel nicht nur für reguläre Berechnungen einsetzen. Tatsuo Horiuchi erstellt ausnahmslos seine traditionellen Gemälde mit Hilfe dieses Programms. Er arbeitet bereits seit 10 Jahren mit der Software und stellt seine Bilder in diversen Ausstellungen vor.
mehr lesen...
