Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Sicherheitsbarrieren bzw. Kontrollmöglichkeit des Traffics innerhalb des weltweiten<br />
Netzwerkes aufwies.<br />
Ich wendete mich also im Februar telefonisch an den Adressaten in der K-Bank, einem<br />
EDV - Leiter, der mich darum bat, schnellstmöglich ihm dieses Dokument PGP<br />
verschlüsselt zuzumailen. Ich wies ihn fre<strong>und</strong>lich darauf hin, daß dieses Dokument bereits<br />
mehrfach unverschlüsselt durch das Internet versandt worden sei, <strong>und</strong> daß ich PGP nicht<br />
verwende.<br />
Ich sendete ihm also das Dokument <strong>und</strong> habe bis heute auch keinerlei E-Mails mehr von<br />
Firma Sehnix erhalten. Es gab zwar in der Zwischenzeit nur einen panischen Anruf, bei<br />
welchem mich ein Systemadministrator von Sehnix dringend darum bat, eine<br />
versehentlich an meine Domain versandte, höchst vertrauliche Mail zu löschen, was ich<br />
ihm auch versprach, allerdings weiß ich bis heute nicht, welche Mail er gemeint haben<br />
könnte. An diesem Tag jedenfalls habe ich keinerlei fehlgeleiteten E-Mails von Firma<br />
Sehnix erhalten.<br />
36.2 Sicherheit der PIN CODES von Chipkarten<br />
Während ich so in einem IRC Channel den Gespächen lausche, werde ich auf einen Kerl<br />
aufmerksam, der Passworte zu Server von Universitäten tauschen möchte. Ich frage ihn,<br />
was er so anzubieten hätte. Er offeriert mir kostenlos eine Passwortdatei mit Passworten<br />
an einem Server der UNIVERSITÄT Tokyo. Mir kommt das etwas unglaublich vor. Ich<br />
suche mir aus der Liste von 500 Paßworten eines aus <strong>und</strong> versuche, mich per Telnet an<br />
diesen Server anzubinden. Der Login ist erfolgreich, <strong>und</strong> ich sehe viele wirre ASCII<br />
Zeichen auf dem Bildschirm, die mir ein Menü anbieten. Nun, da mein Japanisch nicht so<br />
gut ist, steige ich aus diesem Menü aus, <strong>und</strong> sehe, daß ich mich in der Universität Tokyo<br />
in einem Server mit tausenden von Studentenaccounts befinde. Ich kann Programme<br />
starten, Kompilieren, Perl-Skripte ausführen ... ich logge mich aus .....<br />
Ich frage den Kerl im IRC Channel nach weiteren Paßworten von anderen Servern. Kein<br />
Problem - 5 Minuten später habe ich riesige Paßwortlisten von Server aus<br />
Hochleistungsrechenzentren der USA, Deutschland, England, u.s.w. in meinem<br />
Verzeichnis. Ich kann es kaum glauben, <strong>und</strong> frage ihn, wie er daran gekommen ist.<br />
Er behauptet, daß es viele Wissenschaftler gibt, die größere Simulationsaufgaben jeweils<br />
auf die Nachtseite der Erde verschieben, damit tagsüber die Arbeit nicht gestört wird.<br />
Nachts dürften die Server dann voll ausgelastet werden. Mit einigen Accounts hätte er<br />
angefangen, danach hätte er genügend Rechenzeit auf Großrechnern zur Verfügung<br />
gehabt, die DES verschlüsselten Paßworte in der Datei /etc/passwd <strong>und</strong> /etc/shadow zu<br />
entschlüsseln.<br />
Diese verschlüsselten Paßworte können normalerweise nicht entschlüsselt werden, es<br />
kann aber meistens ein wirres Ersatzpaßwort gef<strong>und</strong>en werden, welches ebenfalls<br />
denselben verschlüsselten Eintrag liefert. Für eine Liste von 100 verschlüsselten<br />
Paßworten, so behauptet der, würde er ein paar St<strong>und</strong>en CPU Zeit auf einer SGI<br />
Powerchallenge verbrauchen, das wäre dann auch schon alles....die Algorithmen wären<br />
überall gleich, nämlich 3DES...da kann man einfach mit brute force Paßworte erzeugen<br />
<strong>und</strong> mit dem verschlüsselten Eintrag vergleichen.....<br />
In der c´t # 18, Seite 46 steht: Gerichte uneins über Sicherheit von PIN-<br />
Codes.....Gutachter des Landgerichtes Frankfurt ... Die Kosten <strong>für</strong> den Bau eines<br />
Entschlüsselungskomputers müssen mit mindestens 300.000 Mark geschätzt werden, <strong>und</strong><br />
es gäbe keine konkreten Anhaltspunkte da<strong>für</strong>, daß tatsächlich eine Organisation im Besitz<br />
eines derartigen Computers sei. (Az 2/1 S 336/98). Ich halte gerade Paßworte von<br />
Computern in Händen, die zusammen h<strong>und</strong>erte von Millionen US$ kosten, alle mit<br />
öffentlichen Geldern finanziert.......egal ......die Story ist ja erf<strong>und</strong>en, sowas gibt´s<br />
überhaupt nicht.....<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins