Monatliches Archiv: Februar 2016

Warum SHA-1 unsicher ist

SHA-1 ist unsicher und sollte ersetzt werden

Der Hashingalgorithmus SHA-1 gilt als unsicher und sollte ersetzt werden. Doch warum eigentlich? Hier sieht man den Grund: Unterschiedliche Nachrichten generieren den selben Hash-Wert.

Schon seit längerem gilt der Hashing-Algorithmus SHA-1 als unsicher und sollte durch SHA-2 oder SHA-3 ersetzt werden. Was macht aber SHA-1 zu einem unsicheren Hash-Verfahren und wie hat man das herausgefunden?

Das Lustige an der Sache: SHA bedeutet secure hash algorithm, was in diesem Zuge doch recht ironisch ist.

Was Hash-Verfahren sind

Hash-Verfahren erzeugen aus einer Menge an Daten eine scheinbar willkürliche Folge an Bits. So wird durch SHA-1 beispielsweise aus dem Wort curi0sity die Zeichenfolge e544b48a746e297c9a10957ff0cf433cb41073d9. Ändert man nun ein Zeichen, also Curi0sity (großes statt kleines C am Anfang), so ändert sich der Hash-Wert komplett zu 5eed9a4940371dadad8119be0f9f32d94e52296c. Kleine Änderung, große Wirkung.

Genutzt werden Hash-Werte z.B. um zu überprüfen ob eine Datei richtig übertragen wurde. Der Sender stellt die Datei und den Hash bereit und der Empfänger bildet den Hash der empfangenen Datei. Sind die Werte identisch, so war die Übertragung mit sehr hoher Wahrscheinlichkeit erfolgreich. Sind die Werte nicht identisch, so war die Übertragung definitiv nicht erfolgreich.
Auch werden von Passwörtern erst die Hash-Werte bestimmt und diese dann übertragen oder gespeichert, sodass Hacker, die den Netzwerkverkehr mitschneiden, das Passwort nicht als Klartext haben. Sie haben somit nur den Hash-Wert, aus dem sich die originale Zeichenkette nicht wieder herstellen lässt (jeden Falls nicht mit einfachen mitteln und in kurzer Zeit).

Skizze einer Hash-Funktion

Skizze einer Hash-Funktion. Die Eingaben „John Smith“ und „Sam Doe“ erzeugen hier den selben Hash-Wert – dies bezeichnet man als Kollision.

Wann ist ein Hash-Algorithmus „gebrochen“?

(mehr …)

Linux Mint hack und glibc-Lücke

Linux Mint setzt mehr auf Stabilität als auf Sicherheit, das wird häufig kritisiert.

Linux Mint setzt mehr auf Stabilität als auf Sicherheit, das wird häufig kritisiert.

In den Letzten Tagen war ja mal bei Linux Mint und bei den C Entwicklern ordentlich was los. Zum einen wurde der Server von Linux Mint gehackt, wodurch eine veränderte ISO zum Download bereit stand, und zum anderen gab es eine recht schwerwiegende Lücke in der C Bibliothek glibc.

Im Zuge des Hacks und der Sicherheitslücke in der glibc stellt sich dabei die Frage ob die Distribution Linux Mint, welche mittlerweile die beliebteste ist, wirklich die beste ist.

Linux Mint hack

Am 20.2. wurde der Server von Linux Mint, auf dem die ISO Dateien von Mint 17.3 liegen, gehackt und die ISOs durch mit einer Backdoor versehenen ersetzt. Der Fehler wurde jedoch schnell bemerkt und behoben, sodass schon am selben Tag die richtigen ISOs wieder online waren. Wer von mirror-Servern geladen hat ist eventuell(!) nicht betroffen, da die Spiegelung nicht in Echtzeit geschieht. Trotzdem sollte man überprüfen ob die ISO korrekt ist (s.u.).

Auch das Forum war betroffen, so sollen Nutzer des Linux Mint Forums schnellstmöglich das Passwort ändern, da der Angreifer eine Kopie der Datenbank erbeutet hat. Derzeit (Veröffentlichung des Posts) ist dieses nicht erreichbar, was mit dem Angriff zusammenhängt.

Das Mint-Team hat dabei schnell Blog-posts veröffentlicht und die Nutzer gewarnt und informiert, diese Transparenz sieht man nicht immer und sollte trotz aller Kritik gelobt werden.

ISOs auf Echtheit überprüfen

(mehr …)

Albtraum der Datenschutzrichtlinien

Ein Überblick über die schlechtesten Datenschutzrichtlinien.

Niemand weiß so recht was in den Datenschutzrichtlinien verschiedener Dienste drin steht. Hier nun ein Überblick über die Top 5 … von unten.

Wenn man Menschen fragt wie die Datenschutzrichtlinien bei Google oder Facebook sind, so hört man als Antwort meistens etwas wie „schlecht“ oder „die wollen einfach alles Wissen“. Wenn man dann fragt ob sie die Bestimmungen gelesen haben ist ein „nicht direkt“ das höchste der Gefühle, obwohl man das Häkchen „Ich habe die Datenschutzrichtlinien gelesen und akzeptiere sie“ angekreuzt hat.

Doch die relevanten und interessanten Fragen sind: Was steht da wirklich drin? Was dürfen Google, Facebook und Co. wirklich speichern und weitergeben? Warum tun die das eigentlich alle?

Buttom 5 der Datenschutzrichtlinien

Hier nun eine Selektion von beliebten Diensten und deren Datenschutzrichtlinien. Ich habe dabei die bekanntesten und/oder wichtigsten herausgenommen, da über die logischerweise am meisten geredet wird. Platz 1 ist dabei der Dienst mit den schlechtesten Datenschutzrichtlinien und Platz 5 hat dem entsprechen die am wenigsten schlechten Datenschutzrichtlinien in dieser Liste.

Ich habe die allgemeinen Geschäftsbedingungen und Datenschutzrichtlinien gelesen und akzeptiere sie.
Größe Lüge der Menschheit im 21. Jahrhundert.

Die Liste der hier aufgeführten Dienste ist keineswegs erschöpfend und man könnte noch viele weitere Dienste wie Facebook, Twitter, Skype, Snapchat, Provider, … aufführen, doch gibt diese Liste einen recht guten Überblick. (mehr …)

Umzug

curi0sity ist umgezogen.

curi0sity ist umgezogen.

Wer noch auf der alten domain (hauke-stieler.de) diesen Beitrag zum Umzug gelesen hat, wird wenig neues erfahren 😉

In der Uni geht die Klausurenphase los, deswegen brauche ich eine Ablenkung vom lernen. Daher habe ich den Umzug von [curi0sity] auf eine andere domain, nämlich curi0sity.de (ja die war tatsächlich – im Gegensatz zum Twitternamen – noch frei) in Angriff genommen und der ist nun vorbei. Hoffentlich funktioniert nun alles, denn mit der Datenbank gab es anfangs ein paar Probleme. Auch habe ich noch ein paar andere Dinge verändert aber dazu unten mehr.

Curi0sity ist jetzt sogar über HTTPS erreichbar (bitte nutzt das auch; much protocoll, many secure, very encrypted). Wer irgendwie mal fünf Minuten Zeit hat kann hier am besten ein bisschen rum klicken um ggf. vorkommende Bugs zu finden. Sobald irgend ein Link nicht funktioniert oder zurück auf hauke-stieler.de/blog/ führt, würde ich mich über eine kurze Nachricht sehr freuen.

Noch ein paar INFOS zum Umzug?

Warum der Umzug?
Ganz einfach: Mein bisheriger Hosing-Anbieter (1und1) beendet sein Studentenprogramm, weswegen das Preis-Leisungs-Verhältniss nicht mehr stimmt. Um diesen Blog zu führen wie ich es möchte, reicht mir die Qualität der Server nicht (jeden Fall nicht für den Preis). Mit SSL-Zertifikat und den Leistungen des neuen Anbieters würde ich bei 1und1 mehr zahlen und das bin ich nicht bereit (warum auch, es gibt ja günstige Alternativen). Schade, aber nun gut.

Warum gerade jetzt?
Naja es ist Klausurenphase, also wenn, dann jetzt 😉
Nein im ernst: Ich weiß es nicht. Es ergab sich, dass ich einen Anbieter gefunden habe, der genau das hat, was ich wollte und da habe ich mir spontan zwei Domains und einen Webspace gegönnt 😀

Was ändert sich?
Nicht viel. Ich werde eine Umleitung von hauke-stieler.de/blog/ auf curi0sity.de einrichten, sodass alle Links hierher weiterhin funktionieren. Ansonsten bitte ich jeden ab jetzt halt die neue domain und die neuen E-Mail Adressen zu nutzen (also admin@ für Serverprobleme und kontakt@ für Kontaktaufnahme, Feedback und so).

Was hat sich sonst noch geändert?
Ich habe einen unschönen CSS bug behoben, gleichzeitig die Größe der CSS-Datei verkleinert und noch weitere Optimierungen am Server und der Website vorgenommen (große SVG-Font Datei entfernt, …). Allgemein hoffe ich, dass sie nun wesentlich schneller lädt als vorher. Die gesendeten Daten der website werden nun mit gzip komprimiert, caching ist angeschaltet (bzw. die life-times verlängert), das CSS aufgeräumt, Bilder weiter komprimiert (mittels TinyPNG) und ein paar Sachen in WordPress verbessert. Wie gesagt, falls es irgendwo Probleme gibt, bitte meldet sie!

Nationaler „Ändere dein Passwort“-Tag

Ein sicheres Passwort ist nicht leicht zu knacken.

Vergessene Passwörter sind meist nicht genz so witzig, deswegen sollte man sie sich gut merken. Unsichere Passwörter sind jedoch noch unwitziger 😉

Heute, am 01.02., ist der nationale Ändere-Dein-Passwort-Tag an dem alle Passwörter in Deutschland geändert werden sollen. Der erste Ändere-Dein-Passwort-Tag (Change-Your-Password-Day) wurde von den beiden Blog Gizmodo und Lifehacker ausgerufen.

Passwörter dienen im allgemeinen der Authentifizierung gegenüber Diensten oder Personen und sollten niemals Dritten bekannt sein. Da dies jedoch oftmals der Fall ist, bzw. ein Passwort unsicher ist und somit erraten werden kann, gibt es diesen Tag an dem alle für mehr Sicherheit sorgen sollen. Schon seit langem ist das häufigste Passwort 123456 und wahrlich eines der unsichersten die man sich vorstellen kann.

Beim erstellen/ausdenken eines Passwortes sollte man jedoch einiges bedenken und ein wenig theoretisches Grundverständnis mitbringen was das knacken eines Passwortes angeht. Darum gibt es hier eine kleine Anleitung mit ein paar einfachen Tipps zum Thema Passwort ausdenken.