Online Suche im Handbuch | LITTLE-IDIOT NETWORKING |
Während ich so in einem IRC Channel den Gespächen lausche, werde ich auf einen Kerl aufmerksam, der Passworte zu Server von Universitäten tauschen möchte. Ich frage ihn, was er so anzubieten hätte. Er offeriert mir kostenlos eine Passwortdatei mit Passworten an einem Server der UNIVERSITÄT Tokyo. Mir kommt das etwas unglaublich vor. Ich suche mir aus der Liste von 500 Paßworten eines aus und versuche, mich per Telnet an diesen Server anzubinden. Der Login ist erfolgreich, und ich sehe viele wirre ASCII Zeichen auf dem Bildschirm, die mir ein Menü anbieten. Nun, da mein Japanisch nicht so gut ist, steige ich aus diesem Menü aus, und sehe, daß ich mich in der Universität Tokyo in einem Server mit tausenden von Studentenaccounts befinde. Ich kann Programme starten, Kompilieren, Perl-Skripte ausführen ... ich logge mich aus .....
Ich frage den Kerl im IRC Channel nach weiteren Paßworten von anderen Servern. Kein Problem - 5 Minuten später habe ich riesige Paßwortlisten von Server aus Hochleistungsrechenzentren der USA, Deutschland, England, u.s.w. in meinem Verzeichnis. Ich kann es kaum glauben, und frage ihn, wie er daran gekommen ist.
Er behauptet, daß es viele Wissenschaftler gibt, die größere Simulationsaufgaben jeweils auf die Nachtseite der Erde verschieben, damit tagsüber die Arbeit nicht gestört wird. Nachts dürften die Server dann voll ausgelastet werden. Mit einigen Accounts hätte er angefangen, danach hätte er genügend Rechenzeit auf Großrechnern zur Verfügung gehabt, die DES verschlüsselten Paßworte in der Datei /etc/passwd und /etc/shadow zu entschlüsseln.
Diese verschlüsselten Paßworte können normalerweise nicht entschlüsselt werden, es kann aber meistens ein wirres Ersatzpaßwort gefunden werden, welches ebenfalls denselben verschlüsselten Eintrag liefert. Für eine Liste von 100 verschlüsselten Paßworten, so behauptet der, würde er ein paar Stunden CPU Zeit auf einer SGI Powerchallenge verbrauchen, das wäre dann auch schon alles....die Algorithmen wären überall gleich, nämlich 3DES...da kann man einfach mit brute force Paßworte erzeugen und mit dem verschlüsselten Eintrag vergleichen.....
In der c´t # 18, Seite 46 steht: Gerichte uneins über Sicherheit von PIN-Codes.....Gutachter des Landgerichtes Frankfurt ... Die Kosten für den Bau eines Entschlüsselungskomputers müssen mit mindestens 300.000 Mark geschätzt werden, und es gäbe keine konkreten Anhaltspunkte dafür, daß tatsächlich eine Organisation im Besitz eines derartigen Computers sei. (Az 2/1 S 336/98). Ich halte gerade Paßworte von Computern in Händen, die zusammen hunderte von Millionen US$ kosten, alle mit öffentlichen Geldern finanziert.......egal ......die Story ist ja erfunden, sowas gibt´s überhaupt nicht.....
Online Suche im Handbuch | LITTLE-IDIOT NETWORKING |