Anzeige
Anzeige

Am Puls von Microsoft

Anzeige

Artikel: Sicherheitslücke in Windows und zahlreichen Programmen? Microsoft bleibt cool

Anzeige
Wenn Microsoft gelassen bleibt,bleib ich es auch!
 
Also ich sehe das Hauptproblem hier nicht in der abgefangenen Übertragung der Login-Daten, da diese ja eh verschlüsselt sind.
Für mich ist das Problem bei den Mindestpasswortanforderungen! Fordert man mindestens zehn Zeichen und entsprechende Komplexität ist das knacken in einem halben Tag schon wieder hinfällig!
Also: Passwortpolicies anpassen!
 
Ich denke, bei diesem Scenario handelt es sich eher um ein Fehler im Kommunikationsdesign, als um einen wirkliche Schwachstelle. Wer den Zugriff auf Dateien per SMB ohne entsprechenden Schutz wie z.B. einer DMZ ins Web stellt, handelt meiner Meinung nach grob Fahrlässig.
 
TheEngineer schrieb:
Also ich sehe das Hauptproblem hier nicht in der abgefangenen Übertragung der Login-Daten, da diese ja eh verschlüsselt sind.
Für mich ist das Problem bei den Mindestpasswortanforderungen! Fordert man mindestens zehn Zeichen und entsprechende Komplexität ist das knacken in einem halben Tag schon wieder hinfällig!
Also: Passwortpolicies anpassen!
Zum Vergrößern anklicken....

8 Stellen sind ja schon mal nicht schlecht. Wer es wirklich entschlüsseln will, der installiert eine Kamera und liest beim Eintippen mit. Wer es unbedingt auf Dich abgesehen hat, der macht sich schon die Mühe. Und um eine solche Intention scheint es sich ja hier handeln zu müssen.
 
Amon schrieb:
Ich denke, bei diesem Scenario handelt es sich eher um ein Fehler im Kommunikationsdesign, als um einen wirkliche Schwachstelle. Wer den Zugriff auf Dateien per SMB ohne entsprechenden Schutz wie z.B. einer DMZ ins Web stellt, handelt meiner Meinung nach grob Fahrlässig.
Zum Vergrößern anklicken....


Genau das habe ich mir auch gedacht.

Aber um ehrlich zu sein ich habe keine Ahnung was das heißt. Und so geht es sicherlich den meisten Nutzern.
 
Nun ja... Meine Passwörter haben immer mindestens 16 stellen mit Umlauten und Sonderzeichen sofern diese erlaubt sind... Ist natürlich schwer zu merken vor allem wenn es am die 50 Passwörter sind. Weswegen ich einen sicher verwahrten Passwort Zettel habe bei dem allerdings der Benutzer Name nicht komplett drauf steht... Ist immer noch meines Erachtens die sicherste Lösung.
 
Ich habe nichts zu verberge, und falls es doch jemals dazu kommen sollte, dann ist es doch kein Akt die Daten extern und verschlüsselt zu sichern.

Ich denke es ist nur viel Lärm um nichts...
 
LukasFF schrieb:
Ich habe nichts zu verberge, und falls es doch jemals dazu kommen sollte, dann ist es doch kein Akt die Daten extern und verschlüsselt zu sichern.

Ich denke es ist nur viel Lärm um nichts...
Zum Vergrößern anklicken....


Hier sollte man in Richtung Unternehmen denken. Für mich privat sehe ich auch kein Problem.
 
Schade, dass der Teil bzgl. der "Entschlüsselung" im Original von Cylance etwas zu kurz kommt und eigentlich keine Informationen darüber liefert was eigentlich verwendet wird. Ich bin mal auf Grund meiner Recherche zu dem Fazit gekommen eine MINDESTlänge von 8 Zeichen für Passwörter zu verwenden; allerdings bei Verwendung inkl. Sonderzeichen und bei Verwendung eines entsprechenden Hashalgorithmus. (je nach Anforderung natürlich länger)
Man kann sich das selbst ausrechnen:

(Mögliche Zeichen ^ Passwortlänge) / 2 = Mögliche Kombinationen die es zu knacken gilt
Bei einem durchschnittlichen PC und Verwendung von SHA256 als Hashalgorithmus legen wir fest: Mögliche Berechnungen pro Sekunde ~ 1 Milliarde

Deutsches Alphabet besitzt 30 Buchstaben * 2 (Groß Klein) + 10 für die Zahlen; also 70

70 Mögliche Zeichen hoch 8 Stellen = Gesamtmöglichkeiten
Gesamtmöglichkeiten / 2 = die Hälfte xD, man geht einfach von der Hälfte aus, da sich das Passwort ja irgendwo in dem Bereich befindet
Also diese Hälfte wird nun durch 1 Milliarde geteilt = benötigte Sekunden
benötigte Sekunden beliebig / 60/60/24/365 Teilen um Minuten/Stunden/Tage/Jahre zu erhalten.

Das ist alles nur ein Anhaltspunkt und basiert nur auf einfachem SHA256, ich empfehle zudem noch ein Passwort jährlich zu wechseln und KEINE Tabellen zu nutzen die kompliziert aussehende aber leicht zu merkenden Passwörter oder ähnliches liefern. Diese Passwörter sind bestimmt schon in sogenannten RainbowTables vorberechnet und beschleunigen den Angriff deutlich, da nur ein Abgleich und keine Errechnung erfolgen muss.
 
Leute, es handelt sich hier um eine schwere Sicherheitslücke! MS reagiert auf so etwas generell schleppend oder nie. So gibt es seit Jahren ein Problem bei der Übertragung von Dateien wenn kein DC aktiv ist und EFS genutzt wird. Was rät MS? EFS zu deaktivieren!

Rainbows werden kaum noch verwendet, da diese ab 8 Stellen nicht wirklich mehr berechenbar sind.

Wirklich brauchbare PW sind NICHT künstlich erzeugt und ab 16 Stellen. Ab 20 Stellen versagt auch die NSA, wenn sauber chiffriert wird, z.B. mit TrueCrypt.

Bei bestimmten Methoden versagen Rainbows ganz, Stichwort salzen.

Und last den Unfug mit "ich habe nix zu verbergen"! JEDER hat etwas zu verbergen und es kommt hinzu, dass bereits eine bestimmte Konstellation das EXIT sein kann. Bsp.: Zu falschen Zeit in einer Funkzelle gewesen, wo der Staat gesetzlos Millionen Daten abgefragt hat (Dresden) gleichzeitig am Kiosk die falsche Zeitung (für den Nachbarn) gekauft haben. Dass reicht dem Staat um ein Überwachungsprofil dauerhaft anzulegen.

Ach ja, ohne entsprechende Einstellungen in den secpol (LAN Manager Authentifizierungsebene / LAN Manager Hashwerte usw) wird die Sicherheitsebene im unteren Bereich aktiviert.

Uwe
 
Offenbar hat Microsoft das Problem mit KB3038314 ,cumulatives Update für den Internet Explorer soeben geflickt!

XP Fan schrieb:
Leute, es handelt sich hier um eine schwere Sicherheitslücke! MS reagiert auf so etwas generell schleppend oder nie. So gibt es seit Jahren ein Problem bei der Übertragung von Dateien wenn kein DC aktiv ist und EFS genutzt wird. Was rät MS? EFS zu deaktivieren!

Rainbows werden kaum noch verwendet, da diese ab 8 Stellen nicht wirklich mehr berechenbar sind.

Wirklich brauchbare PW sind NICHT künstlich erzeugt und ab 16 Stellen. Ab 20 Stellen versagt auch die NSA, wenn sauber chiffriert wird, z.B. mit TrueCrypt.

Bei bestimmten Methoden versagen Rainbows ganz, Stichwort salzen.

Und last den Unfug mit "ich habe nix zu verbergen"! JEDER hat etwas zu verbergen und es kommt hinzu, dass bereits eine bestimmte Konstellation das EXIT sein kann. Bsp.: Zu falschen Zeit in einer Funkzelle gewesen, wo der Staat gesetzlos Millionen Daten abgefragt hat (Dresden) gleichzeitig am Kiosk die falsche Zeitung (für den Nachbarn) gekauft haben. Dass reicht dem Staat um ein Überwachungsprofil dauerhaft anzulegen.

Ach ja, ohne entsprechende Einstellungen in den secpol (LAN Manager Authentifizierungsebene / LAN Manager Hashwerte usw) wird die Sicherheitsebene im unteren Bereich aktiviert.

Uwe
Zum Vergrößern anklicken....
Man kann es natürlich auch so kompliziert machen,wie du das sehen willst.Nicht Jeder hat was zu verbergen. Diese Ansicht ist nur deine eigene Sichtweite(oder Sichtkürze). Bei XP ist ja klar,dass sich solche Dige verheerend auswirken. XP ist ja aber tot. Niemand sollte XP weiterverwenden,wenn er ins Netz will!Also,es ist alles sicher nicht so dramatisch wie du dir das vorstellst. Abgesehen davon,wie du in meinem Kommentar siehst. Microsoft hat das Löchlein schnell schliessen können.
 
Zuletzt bearbeitet von einem Moderator:
Bischen off-topic:
LukasFF schrieb:
Ich habe nichts zu verberge, und falls es doch jemals dazu kommen sollte, dann ist es doch kein Akt die Daten extern und verschlüsselt zu sichern.
Zum Vergrößern anklicken....
Also dann poste bitte jetzt direkt hier Vorname, Name, Anschrift, Geburtsdatum, ..., Kontodaten inklusive Login und Passwort, Kreditkarteninfos inklusive der Verifizierungscodes, Zugangsdaten zu Onlineshops, Paypal etc Logindaten, die private Fotosammlung auf dem Rechner, Urlaubstermine ... alle E-Mail Adressen usw.
Das macht es für mich einfacher, mal eben so zu tun als wäre ich Du und ein klein wenig auf Einkaufstour zu gehen oder in Deinem Namen und von Deinen Accounts SPAM oder Malware zu versenden, oder ... :devil

Also ich persönlich verberge das meiste davon so gut wie möglich und möchte nicht, dass die jeder kennt bzw. auslesen kann, weil es irgendwo eine Lücke gibt. Ich schließe auch meine Haustür ab, wenn ich das Haus verlasse.

So, genug gelästert über "ich habe nichts zu verbergen". Zurück zum Thema:

Die im Startbeitrag genannte Lücke scheint für Privatrechner wirklich nicht so der Brüller zu sein, was den Ausnutzbarkeitsindex angeht, sollte aber dennoch gefixt werden, bevor noch irgendwer eine einfachere Methode findet, sie auszunutzen. Selbst wenn nicht, hinterlassen ungefixte Sachen immer ein ziemlich ungutes Gefühl in der Magengegend - zumindest bei mir.
 
Wie gesagt,alles Schnee von gestern.Diese Lücke ist gestopft. Kann aber morgen bereits wieder schneien!
 
Iskandar schrieb:
Offenbar hat Microsoft das Problem mit KB3038314 ,cumulatives Update für den Internet Explorer soeben geflickt!
Zum Vergrößern anklicken....
Zum einen:
Genauer Link? Ich habe weder in KB3038314(en) noch in den dazu gehörigen Security Bulletins die SMB Lücke auch nur mit einem Wort erwähnt gefunden.
Lt. CERT: Vulnerability Note VU#672268(en) ist die Lücke auch noch offen.

Zum anderen:
Es ist nicht nur der IE von dieser Lücke betroffen, sondern auch andere Produkte, prinzipiell nahezu alle, die ins Netz gehen können und dazu Windows APIs nutzen (siehe CERT Infos oben)

PS: Eine "Man in the Middle Attacke" ist nicht notwendig, um die Basis Authentifizierung zu erhalten, was ja auch schon einiges Wert ist. MitM ist lediglich notwendig, wenn man z.B. Updater umleiten will, unter anderem Updater von AV Software und ähnlich kritischer Software ;)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Anzeige
Oben