Typo3 lek zorgt voor toename van hash cracking
Een beveiligingslek in het populaire Content Management Systeem Typo3 zorgt voor een enorme toename op websites waar mensen wachtwoord hashes kunnen kraken. Door de kwetsbaarheid is het mogelijk voor een aanvaller om willekeurige bestanden op de server te lezen, waaronder het typo3conf/localconf.php bestand, waarin zowel het installatie wachtwoord als de login van de database staan. De wachtwoorden zijn gehasht, maar via websites als hashcrack.com te achterhalen. De website zag de afgelopen dagen een vertienvoudiging van het aantal aanvragen, vermoedelijk door het lek in Typo3.
Een andere optie is het gebruik van rainbow tables, aangezien Typo3 de wachtwoorden niet "gezouten" heeft. Dit is het toevoegen van een willekeurig aantal karakters aan het wachtwoord om hashing aanvallen te voorkomen. Via rainbow tables is het dan mogelijk om het wachtwoord binnen een aantal minuten of dagen te achterhalen. Ook de persoonlijke website van de Duitse Minister van Binnenlandse Zaken, Wolfgang Schäuble, werd op deze manier gehackt. Gebruikers krijgen het advies om te updaten naar versie 4.0.12, 4.1.10 of 4.2.6.
Moet zijn: Typo3 lek zorgt voor toename van hash cracking
Laten we hopen dat men daar wel de updates bijhoud... Anders ff iemand zijn digid hacken......
TheYOSH
pfffff... Kunnen we es afstappen van het letterlijk vertalen van (computer)technisch-Engelse termen naar het Nederlands?!
Het is al erg genoeg dat ik bij de meeste NL-software een uur moet nadenken voor ik snap wat ze bedoelen.. "Salting", wat nu wordt bedoelt is een term, vertaal het aub. niet letterlijk.
Om nog even duidelijk te zijn, ook zo'n leuk voorbeeld: "Send" (via Bluetooth), word heel fijn door Micro$oft vertaald als: "Uitstralen". Ja, fijn, en dan moet ik weten wat ze bedoelen?!
Het is echt tijd voor language packs, dat je niet meer een nieuwe versie moet kopen omdat in NL alle laptops met een NL versie worden gelevert. En ja, ik weet dat Linux wel language packs gebruikt. En als ik nu toch bezig ben, ik vind ook dat het mogelijk moet zijn om te kiezen voor een kale laptop, zonder OS, als je zo'n ding in de winkel gaat kopen. Met korting natuurlijk omdat je dan niet voor het OS hoeft te betalen.
Ok, kompleet van het onderwerp afgeweken, maarja...
Nee.
Wat er gebeurt is dat er in een database wordt opgezocht of er een wachtwoord bekend is dat dezelfde hash oplevert. Als je secret of 1234 als wachtwoord gebruikt is de kans groot dat deze al in de database aanwezig is. Heb je hdp(837$@ak als wachtwoord, dan is de kans op een gelijkende hash (collision) nihil.
Er zijn namelijk 2^128 = 340.282.366.920.938.463.463.374.607.431.768.211.456 verschillende hashes mogelijk. Die passen niet allemaal in een database, dus alleen als iemand anders hetzelfde wachtwoord heeft als jij hoef je je echt zorgen te maken. Bij gebruik van (echt) sterke wachtwoorden heb je dus niet zoveel te vrezen van dergelijke wachtwoord-databases of rainbow tables.
Wat wel gebeurt is dat reeksen mogelijke wachtwoorden worden gehashed, bijvoorbeeld alle wachtwoorden bestaand uit zes uppercase characters. Dat is in niet zoveel tijd te realiseren en neemt niet zoveel database-ruimte in beslag. Het idee daarachter is dat mensen vaak korte wachtwoorden bestaande uit alleen uppercase characters gebruiken.
hdp(837$@ak kom ik gewoon tegen op hashcrack.com, hoor!
pfffff... Kunnen we es afstappen van het letterlijk vertalen van (computer)technisch-Engelse termen naar het Nederlands?!
Het is al erg genoeg dat ik bij de meeste NL-software een uur moet nadenken voor ik snap wat ze bedoelen.. "Salting", wat nu wordt bedoelt is een term, vertaal het aub. niet letterlijk.
Om nog even duidelijk te zijn, ook zo'n leuk voorbeeld: "Send" (via Bluetooth), word heel fijn door Micro$oft vertaald als: "Uitstralen". Ja, fijn, en dan moet ik weten wat ze bedoelen?!
Het is echt tijd voor language packs, dat je niet meer een nieuwe versie moet kopen omdat in NL alle laptops met een NL versie worden gelevert. En ja, ik weet dat Linux wel language packs gebruikt. En als ik nu toch bezig ben, ik vind ook dat het mogelijk moet zijn om te kiezen voor een kale laptop, zonder OS, als je zo'n ding in de winkel gaat kopen. Met korting natuurlijk omdat je dan niet voor het OS hoeft te betalen.
Ok, kompleet van het onderwerp afgeweken, maarja...
Wat er gebeurt is dat er in een database wordt opgezocht of er een wachtwoord bekend is dat dezelfde hash oplevert. Als je secret of 1234 als wachtwoord gebruikt is de kans groot dat deze al in de database aanwezig is. Heb je hdp(837$@ak als wachtwoord, dan is de kans op een gelijkende hash (collision) nihil.
Er zijn namelijk 2^128 = 340.282.366.920.938.463.463.374.607.431.768.211.456 verschillende hashes mogelijk. Die passen niet allemaal in een database, dus alleen als iemand anders hetzelfde wachtwoord heeft als jij hoef je je echt zorgen te maken. Bij gebruik van (echt) sterke wachtwoorden heb je dus niet zoveel te vrezen van dergelijke wachtwoord-databases of rainbow tables.[/quote]
Bijna. Als je van jouw voorbeeld uitgaat, "hdp(837$@ak", 11 letters, van a-z A-Z 0-9 en nog wat gekke karakters, laten we zeggen 75, dan zijn er "maar" 75^11 combinaties = 422351360321044921875. Dat is ongeveer 2^69. Dat is nog steeds veel, maar een volledig ander probleem dan 2^18 hashes opslaan. Dus: voor een hoop strings hashes berekenen, en die combinaties opslaan, is veel haalbaarder dan alle mogelijke hashes opslaan.
hdp(837$@ak kom ik gewoon tegen op hashcrack.com, hoor!
Dan pak je idp(837$@ak, die is nog niet bekend.
Het hele idee van hashcrack.com is dat elk wachtwoord dat wordt ingevoerd wordt onthouden. Er hoeft dus maar één grapjas te zijn die idp(837$@ak invoert, en hij wordt wel herkend.
Een sterk wachtwoord is dus een wachtwoord dat nog niet is gebruikt op een site als deze. En zoals je in mijn voorbeeld ziet is dat niet zo heel moeilijk.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
