von Andy Green
Wenn Sie Ihre guten Vorsätze fürs neue Jahr wieder nicht umgesetzt haben, d. h. immer noch keine stärkeren Passwörter und keine Zwei-Faktor-Authentifizierungen (sofern möglich) eingeführt haben und weiterhin die Verwendung des gleichen Passworts auf mehreren Websites zulassen oder sich ausschließlich auf einen Passwort-Manager verlassen, wird der Datenschutzverstoß vom vergangenen Wochenendes Sie vielleicht wieder auf den richtigen Weg bringen. Am Samstag stahlen Hacker mehr als 1,8 Millionen Benutzernamen, Passwörter und E-Mail-Adressen aus dem Online-Forum für Ubuntu.
Das Unternehmen, das die Vermarktung von Ubuntu Linux unterstützt, nahm die Website sofort offline und hinterließ seinen Benutzern eine Nachricht, die in vier Worten zusammengefasst werden kann: Ändern Sie Ihre Passwörter!
Kurze Zeit später erhielten die Forennutzer eine weitere Mitteilung: Sollte das gleiche Passwort auch auf anderen Websites verwendet worden sein, insbesondere für das E-Mail-Konto, mit dem sie sich im Forum angemeldet haben, wurde ihnen „dringend“ nahegelegt, auch die Passwörter dieser anderen Dienste schnellstmöglich zu ändern“.
Inwieweit ist dieser Verstoß von Ubuntu mit anderen Cyber-Angriffen in diesem Jahr vergleichbar? Meine Quelle für aktuelle Statistiken zu Datenschutzverstößen ist das Identity Theft Resource Center. Dies verfügt über eine laufende Protokolldatei der öffentlich angezeigten Vorfälle. Mit Stand vom 16. Juli zählten sie 326 Vorfälle und sieben Millionen gefährdete Datensätze. Allem Anschein nach betraf der größte Vorfall vor diesem bisher 1,1 Millionen Datensätze.
Sorry Ubuntu, aber mit dieser Nachlässigkeit übernehmt ihr nun den ersten Platz. Wir können nur hoffen – und die bisherige Erfahrung spricht in diesem Fall gegen uns – dass damit die Höchstzahl der durch Hacker gefährdeten Datensätze für das Jahr 2013 erreicht ist.
Sicherheitsexperten haben auf vielen Websites darauf verwiesen, dass auch dann Bedenken bestehen, wenn die Passwörter von Ubuntu nicht im Klartext-Format sind. Sie wurden durch den extrem fehlerhaften MD5-Algorithmus geknackt. Glücklicherweise hatte der IT-Administrator der Foren die MD5-Algorithmen mit Salt-Zeichenketten verstärkt, um die Arbeit der Hacker zumindest zu erschweren. Mehr dazu weiter unten.
Blogger, die sich mit dem Thema Sicherheit befassen, haben überall im Internet auf ihre vorherigen Posts über „unsalted“ MD5s verwiesen, sodass es sich dabei keineswegs um ein unbekanntes Problem handelt. Ganz nebenbei können Sie auch in einem unserer zurückliegenden Posts über Rainbow Tables und schwache, berechenbare Passwörter nachlesen, wie die Entschlüsselung von MD5 zum Kinderspiel wird.
Es ist wenigstens ein kleiner Trost, dass die Forum-Administratoren von Ubuntu mehr Komplexität verwendet haben, indem sie ihrer MD5-Hashfunktion „Salt“ zufällig gewählte Zeichen hinzugefügt haben. Damit können Massenentschlüsselungen in Abhängigkeit von der Länge oder der Salt-Zeichenkette verhindert werden. Bei Hashfunktionen mit vielen Salt-Zeichenketten können Hacker ihre Ressourcen auch weiterhin selektiv konzentrieren und einige einfache knacken – beispielsweise die von einer Spitzenführungskraft oder einer halböffentlichen Person.
Wie verbreitet ist die Angewohnheit schwache Passwörter zu benutzen? Sehr weit! Eine Umfrage, die wir im April durchführten, ergab, dass mehr als 60 % der Befragten das gleiche Passwort auf mehreren Websites verwenden. Ungefähr 50 % gaben an, immer noch keine Zwei-Faktor-Authentifizierung im Einsatz zu haben. Laut einer vorsichtigen Schätzung gibt es mehrere Tausend Benutzer des Ubuntu-Forums, die gerade eifrig ihre Passwörter ändern….
Und auch Sie sollten jetzt den Druck spüren! Ich habe mich bisher um die Zwei-Faktor-Authentifizierung für mein eigenes E-Mail-Konto und andere wichtige Dienste gedrückt. So ist diese Datenpanne bei Ubuntu Glück im Unglück: Sie kommt gerade zur richtigen Zeit, um Internetnutzer aus ihrer Sommer-Lethargie zu holen und die Verteidigungsmechanismen zu verstärken.
The post Der Datenschutzverstoß in Ubuntu-Foren: Schwache Passwörter und die Folgen appeared first on Varonis Deutsch.