Sicherheitswarnung des Fordboard

[Guido]

Hallo liebe Mitglieder,

diesmal melde ich mich, weil mir vorgestern etwas unerfreuliches mitgeteilt wurde. Um jetzt aber keine Panik auszulösen: der Vorfall liegt jetzt schon drei Jahre zurück!!! Wenn also bisher noch nichts passiert ist wird wohl auch nichts mehr passieren, trotzdem bitte ich um Vorsicht und möchte darauf hinweisen, daß jeder für seine Passwörter, deren Sicherheit und den regelmäßigen Wechsel selber verantwortlich ist!

Am Mittwoch bekam ich einen Anruf von der Kriminalpolizei Osnabrück, Abteilung Internetkrminalität, daß sie jemanden verhaftet hätten, der schon länger als Hacker bekannt sei. Auf seinem sichergestellten Laptop waren viele Datenbank-Backups (wie viele wollte man mir nicht verraten), unter anderem auch ein Dump des Fordboard. Dieses Dump war vom 13. Januar 2008.

Der Hacker hat die Datenbank ausgelesen und dadurch Username, Emailadresse und Passwort heraus gefunden. Die Polizei kann noch nicht mit Sicherheit sagen, ob dieser Täter auch die Datenbank vom Server gestohlen hat oder nur von jemand anderem bekommen hat.

Was haben wir darauf hin gemacht? Nicht viel, denn viel kann man da leider nicht machen. Ich werde diesen Rundbrief auch im Forum-Bereich "Info´s, Fragen und Antworten" einstellen, dort werde ich dann einige Antworten der Teammitglieder posten.

Auf jeden Fall haben wir die Passwörter verändert (länger und komplzierter), um es noch schwerer zu machen, unbefugt auf den Server zugreifen zu können. Ebenso haben wir eine Sicherheitssperre im ACP eigebaut, damit auch dort nicht jeder, der durch Zufall Zugriff auf das ACP bekommen sollte, rumspielen kann. Außerdem habe ich auch mir ein weitaus schwieriges Passwort zugelegt.

Was könnt ihr tun? Auf jeden Fall solltet ihr folgende Tipps befolgen:
1. Wählt eure Passwörter so aus, daß sie nicht leicht zu erraten sind. Ein Papa1972 ist nicht empfehlenswert, da dieses Passwort auf von weniger erfahrenen Leuten geknackt werden kann. Gute Passwörter sollten 10 oder mehr Zeichen haben, dort am besten Groß- und Kleinschreibung, Ziffen und Zeichen verwenden.
2. Verwendet nicht dieselben Passwörter für weniger sensibele Bereiche wie Foren für Bereich wie ebay oder Paypal, weil dort richtig Schaden zugefügt werden kann
3. Wechselt regelmäßig eure Passwörter, und achetet am besten darauf, daß sie sich nicht alle zwei Monate wiederholen.

Nochmal: Das ganze ist jetzt drei Jahre her, auch die Polizei geht nicht davon aus, daß jetzt noch etwas passieren könnte. Aber trotzdem rät sie dazu, alle sensiblen Passwörter zu überprüfen und gegebenenfalls zu ändern.

Tut mir leid, daß ich euch damit jetzt aufschrecke. Wir vom Team sind aber einstimmig der Meinung, daß wir euch Informieren müssen! Ich hoffe auf euer Verständnis und bitte um Entschuldigung!

Gruß
Guido
Admin Fordboard


Folgende Beiträge von Uli

Danke für die Infos.

Um an die Benutzerliste zu kommen, muss der Angreifer entweder das ACP (einen Admin-Account) oder das Datenbankpasswort geknackt haben. Auf dem Server selbst liegen keine Benutzerinformationen. Richtig, regelmäßiger Kennwortwechsel ist das A und O. Übertrieben lang muss es nicht werden, 10 -12 Stellen genügen völlig, aber keine "sprechenden" Worte die man im Lexikon findet.

Guido, das Datenbank-Passwort sollten wir auch ändern. Das muss in einer kurzen Forums-Offline-Zeit passieren, weil es in der Konfig-Datei vom Forum gleichzeitig angepasst werden muss. Dauert 5 Minuten.

Für das ACP gibt es eine Masterpasswort-Funktion. Ich sehe mir das mal an einem Testforum an inwieweit uns das nützlich sein kann.

Aus Nick, Kennwort und Email-Addr kann der Dieb nur weitere Accounts (z.B. in anderen Foren oder Internet-Seiten) knacken, die eben den gleichen Nick UND das gleiche Kennwort verwenden. Geld- oder Konto-Zugriffe kann es aus FoBo-Userdaten nicht geben, solche Infos lagern hier nicht. Übrigens: Das Kennwort ist sehr sicher verschlüsselt gespeichert, das sehen nichtmal wir Admins direkt in der Datenbank in lesbarer Form. Das kann ein Dieb (mit vertretbarem Aufwand) eigentlich garnicht entschlüsseln. Ich wage zu bezweifeln, dass er dies getan hat. Das Wertvollste seiner "Beute" sind die Email-Adressen, die könnte er an Spam-Versender verhökert haben - LEIDER ein gutes Geschäft.

Also, "graue Haare" mache ich mir wegen der abgezogenen Daten auch nicht wirklich. Was aktuell vermehrte Spams angeht, hab ich einem User vor kurzem HIER ausführlich geantwortet. Die zweite Möglichkeit, fremde Email-Adressen zu ermitteln, dürfte auch auf Silke's Spams zutreffen. Mit dem Forumseinbruch von damals hat das aber nichts zu tun......

Tech-Talk
Die Kennwörter liegen in der Datenbanktabelle wcf1_1_user. Hier ein Auszug einer solchen Tabelle (eines meiner Foren):

Du siehst, das Kennwort liegt verschlüsselt. Der "SALT" ist der erste Schlüssel, mit dem das Kennwort so verschlüsselt wurde. Nicht in der Datenbank gespeichert ist aber die Art, wie dieser Schlüssel auf das Kennwort angewendet wurde. Auch dieser SALT-Schlüssel ist verschlüsselt. Der hierfür verwendete zweite Schlüssel liegt ebenfalls nicht in der Datenbank sondern wird vom Forum nach einem nicht offengelegten Verfahren berechnet. Wer das herausfinden will, muss den Forums-Code zerlegen und herausfinden, was die Software da genau tut. Das ist garnicht so einfach, ich könnte das schonmal nicht. Unmöglich ist es aber auch nicht, nur eben ziemlich aufwändig. Auf jeden Fall muss der Dieb erstmal an die Datenbank drankommen, und das geht i.d.R. über das DB-Passwort. Dann kann er mit üblichen SQL-Sicherungsprogrammen einen Abzug erstellen und hat die verschlüsselten Daten bei sich. Das DB-Passwort ist in einer ganz bestimmten Konfig-Datei auf dem Server gespeichert, weil das Forum selber ja auch die Datenbank benutzen muss. Womit wir weder bei den Kennwörtern sind....

Beitrag von HAL-J586

Hallo,

der Einbrecher muss nicht unbedingt ein Password geknackt haben. Meistens ist in den Routinen der Forensoftware der Fehler. Da die Forensoftware ja Vollzugriff auf die DB hat muss man häufig "nur" seinen http Request mit ein paar Parametern ergänzen um einen Datenbankdump zu bekommen. Kommt bei gängiger Forensoftware leider immer mal wieder vor. Zum Thema Kennwörter, wenn der Dieb vor dem Einbruch einige Benutzer angelegt hat ist er im Besitz mehrerer Passwörter. Je nach verwendeter Veschlüsselung wird es dann mitunter recht einfach die anderen PW zu errechnen.

@Guido:
Panikmache oder nicht, Du solltest alle User informieren. Es soll ja auch User geben die im FoBo das gleiche PW wie z.B. auf Paypal benutzen. Denen ist zwar sowieso nicht zu helfen, Du ersparst Dir aber eventuell spätere Vorwürfe. Das ist für Dich eventuell auch rechtlich relevant da ja jemand behaupten könnte "hätte ich gewusst das das FoBo gehackt wurde hätte ich mein PW auf Paypal geändert". Das ist leider das Risiko dessen sich ein Forenbetreiber aussetzt.

MfG

Andreas

 

[tobiasbecker]

Man darf bei der Sache nicht ausser Acht lassen, dass wir zum Zeitpunkt des Hackangriffes im Jahre 2008 noch auf dem alten Server waren und das FordBoard mit der völlig veralteten Forensoftware WBB 2 lief.

Ich persönlich vermute, dass der Hacker zu der Sorte Krimineller gehört, die mit E-Mail Adressen handeln und eine eventuelle Sicherheitslücke im alten WBB 2 ausgenutzt hat.
Das würde auch erklären, warum die (damals nur im FordBoard angegebenen) E-Mail Adressen der User mit Spam bombardiert wurden.

Seit dem (damals unbemerkten) Hackangriff haben Guido, das FordBoard-Team und die V.I.P.'s eine Menge Freizeit und Geld in das Board investiert, neben einem neuen Server zur Verbesserung der Verfügbarkeit auch in die brandneue Forensoftware WBB 3, sprich die jetzige Sicherheit eurer Daten ist seitens des FordBoard Betreibers auf dem neuesten Stand.

 

[MikeC]

Ich weiss nicht, inwiefern der Admin das einstellen kann, aber eine Verschlüsselung der Passwörter per MD5 wäre meines Erachtens noch ein wenig sicherer.

 

[dridders]

Eine Verschluesselung von Passwoerten ist immer eine ganz miese Sache, gerade bei Software die im Quelltext vorliegt wie das Board. Da kann man sie auch gleich im Klartext rein schreiben. Passwoerter werden fuer gewoehnlich gehasht, das heisst es wird eine Art "Quersumme" erzeugt, und zig verschiedene Passwoerter koennen dabei die gleiche Quersumme ergeben. Ein zurueckrechnen ergibt dann maximal irgendein Passwort, mit dem man sich zwar bei diesem speziellen Board anmelden kann, aber nirgends wo anders. Das wirste aber mit MD5 wohl auch gemeint haben, nachdem das ein Hashing-Verfahren ist...
Beim Hashing kennt das Board selbst das Klartext-Passwort auch nicht mehr und kommt nicht mehr ran, darum kann es einem das auch nicht zumailen, sondern nur ein neues erzeugen. Bei der Anmeldung wird die Eingabe erneut gehasht und die beiden Hashwerte verglichen.

 

[Guido]

ICh weiß es auch nicht, aber auf der Suche danach bin ich über folgendes gestoßen:

Original von Wolf5

:">

Ja das ist mir bekannt dann wird das Passwort vor dem abschicken Clientseitig sha1 verschlüsselt was irgendwie zu Problemen führt, weil das tatsächliche Passwort dann md5 verschlüsselt ist. Man könnte es doch direkt md5 verschlüsseln dann hätte man diesen Umweg nicht.

das passwort ist seit dem 2.1 md5 und sha1 verschlüsselt, es liegt somit zweimal in der datenbank

Ich denke, Uli wird da genaueres zu sagen können...

 

[dridders]

SHA1 ist genauso wie MD5 ein Hashing-Verfahren, also keine Verschluesselung! Wenn das ganze schon clientseitig gemacht wird muss es dort natuerlich mit dem gleichen Verfahren wie in der Db gemacht werden, aber das hat der Boardhersteller ja in der Hand... standardmaessig wird die Eingabe meist unverschluesselt zum Server uebertragen und erst dort gehasht und gegen den Hash in der DB geprueft. Deswegen sollte man beim Einloggen moeglichst auch immer auf eine https (ssl) Verbindung achten, da andernfalls jeder auf dem Weg zwischen Client-Rechner und Server das Passwort im Klartext zu sehen bekommt.

 

[Scorpio7777]

Hallo,

was mich derzeit interessiert: Wo kann ich denn mein PW ändern?

Normalerweise kann ich das in jedem Forum, nur hier finde ich nichts dazu.

Kann mir dazu jemand etwas sagen?

Vielen Dank.

 

[Achim]

http://www.ford-board.de/index.php?form=AccountManagement

 

[Scorpio7777]

Vielen Dank, da hatte ich wohl nicht richtig geschaut.

 

[Uli]

Ich denke, Uli wird da genaueres zu sagen können...

MD5-Verschlüsselung gibt es bei Woltlab seit der WBB-Version 3 (erschienen 2007) nicht mehr, weil es nicht sicher genug ist. Wie ob obigen Zitat "Tech-Talk" in Guidos Beitrag bereits gesagt, werden die Kennwörter zweimal mit dem Salt-Verfahren verschlüsselt (double saltet). Der erste Schlüssel ist je User individuell und wird selbst nochmal verschlüsselt abgelegt (im Screenshot im obigen Zitat haben beide User-Einträge das gleiche Kennwort - zwei Test-User von mir - und dennoch ganz verschiedene SALT-Schlüssel). Damit steigen die Varianten zum Knacken beinahe ins Unendliche.

Ich denke auch, dass es der Einbrecher eher auf die Email-Adressen abgesehen hat. Diese stellen für Spam-Versenden einen ziemlichen Wert dar.

Grüße
Uli

 

[gruffti]

Eigentlich interessiere ich mich nicht mehr sonderlich für dieses Board.
Einerseits wegen Äusserungen von Uli in einem anderen Ford-Board genau zu Hackerangriffen, andererseits weil ich ein Fahrzeug mit dem Stern fahre.

Wenn tatsächlich ein 'Dump' gezogen wurde, muss das nicht unbedingt an der Forensoftware liegen. Das alte Board war, sagen wir es mal vorsichtig, nicht optimal verwaltet.
Als das Board damals Probleme hatte, haben ein Mitarbeiter und ich das Board auf Vordermann gebracht. Es blieben Lücken, die in der Forensoftware zu suchen waren.
Diese Lücken wurden vom Vertreiber der Software nicht mehr geschlossen, da man irgendwann aus kommerziellen Gründen die Software nicht mehr betreut.
Eine neuere Version liess sich auf das alte Betriebssystem nicht mehr portieren.

So kam es zum eigentlichen Neuanfang.
Wenn sich Guido an unsere Empfehlungen gehalten hat, sollte das derzeitige Board recht sicher sein. Ich wage allerdings zu bezweifeln, dass Guido das entsprechende Wissen hat.
Da bedarf es eines guten Administrators für das Betriebssystem und die Forensoftware.
Solche Leute kosten Geld und wenn ich Guidos Mail richtig deute, ist genau das nicht vorhanden.
Alternativ könnte es ja sein, dass es hier ein guten Linux-Mann gibt, der Guido unterstützen mag.

Also, es macht keinen Sinn über das alte Board zu reden. Da lässt sich eh' nichts mehr dran ändern. Wichtig ist die Sicherheit des jetzigen Boards.
Und da sollte es jedem, der sich an einem Forum beteiligt klar sein, dass es die absolute Sicherheit nicht gibt.

Einem Wassersportmagazin wurde 2006 sein Forum gehackt und es war ca. 6 Wochen 'down'. Diese Leute haben sicherlich mehr Resourcen, als der Guido sie jemals bezahlen kann.

Meine 2 Cents zum Thema.

So long

 

[Guido]

So, ich habe dann heut auf Bitte bei der Kripo angerufen. Der Täter war wohl nur ein Käufer der Dumps, bei ihm wurden 40 Dumps gefunden. Wie viele bei eigentlichen Hacker zu finden waren ist diesbezüglich nicht bekannt.

Aufgrund der Tatsache, daß der Hack schon über drei Jahre zurück liegt überlegt die Stattsanwaltschaft, in wie weit sie die Forenbetreiber für eine Anklage mit ins Boot zieht.

Wenn ich neues weiß lass ich es euch wissen!