Computer Security Allgemein

1. offizieller Beitrag
    • Offizieller Beitrag

    Ok. folgende geschichte:


    ich geh heut weg. check bei meinem standard BA-CA bank foyer ein. Der bankeigene Geldausgabeautomat zeigt nicht das gewohnte "bitte karte einführen" bild, sondern ist offenkundig im betreuer modus gebootet.


    ich kann also diverse lustigkeiten einstellen/verändern/whatsoever. kritische sachen habe ich nur insoweit entdeckt, als dass es schien, irgendeine unbekannte exchange ratio neu bestimmen zu können.


    weil ich ein netter mensch bin, habe ich - natürlich nachdem ich mich neugierig im system umgeschaut habe - die option "gerät restarten" gewählt.


    dann war ich in meinem stammlokal. 3h später geh ich mit einem kumpel am BA-CA foyer vorbei, weil es am gemeinsamen heimweg liegt.


    ich sag: he oida, schau ma mal nach, würd mich interessieren, ob das gerät noch im betreuer mode ist.


    gesagt, getan. das gerät begrüsst uns mit "betreuer ID eingeben".


    here you go:


    1111: FAiLED
    6666: FAiLED
    1234: Willkommen!


    es hat also ca 15 sek gedauert, bis wir uns betreuer rechte am bankomaten verschafft hatten.


    nachdem wir die lautstärke der tastenpiepse auf 1 (ganz leise) gestellt hatten und noch andere nicht-wesentliche veränderungen vorgenommen hatten, haben wir uns erlaubt, einen neuen betreuer mit dem code "6666" anzulegen.


    selbstverständlich haben wir den alten 1234 idioten unter einem gelöscht :) der depp kann daher in der serverzentrale eine neue ID beantragen und beichten, dass er sein sys durch ein dodel passwort gefucked hat.


    im zuge des rumprobierens sind wir auch draufgekommen, dass das betreuer menü resettet wird und in den normal betrieb geswitched wird, wenn man 10 sek lang die abbruch taste drückt. interessant wäre es jetzt herauszufinden, wie man vom normal betrieb in den betreuer betrieb kommt (wo vermutlich bei vielen anderen bankomaten wieder auch 1234 ein valider admin ist).


    krasscore oder? wie die banken mit valuable machines umgehen? also für mich ist das ein grund, warum ich morgen mein konto bei der BA-CA einfach auflöse und woanders hingeh.........


    krasscore-koffer!


    und jetz würden mich andere thoughts und/oder geschichten zu dem thema interessieren.

    • Offizieller Beitrag

    ich hab nur (vor 10 jahren oder so) ne aufgeregte frau vor nem bankomaten gesehen, der ihre karte nimmer ausspucken wollt.


    hab dann am screen gesehen, daß da ne os/2-fehlermeldung war :-)) anscheinend hatten die bankomaten früher os/2 als betriebssys ;-))


    hab ihr dann klar gemacht, daß es wurscht is, wo sie drückt, ihre karte wird wohl nimmer rauskommen. sie soll lieber zu ihrer bank gehen, und denen das erklären.

    Zitat

    Original von SHODAN



    krasscore oder? wie die banken mit valuable machines umgehen? also für mich ist das ein grund, warum ich morgen mein konto bei der BA-CA einfach auflöse und woanders hingeh.........


    Musst uns dann erzählen was die Typen in der Bank gesagt haben als dein Konto aufglöst hast und als Grund diese Story angegeben hast :D

    Wow SHODAN, da hast du jemandem aber mal ärger gemacht :D
    Aber recht so, ich dachte wenn es um sowas wie Geld geht muss man auf größte Sicherheit achten, auch bei Geldautomaten. Man bedenke nur der Aufwand für Geldtransporte usw.
    Und dann haben die Automaten nur solche einfallslosen Passwörten, die man im Internet nicht mal verwenden darf, da wird auf den Seiten dann gesagt ihr Passwort ist nicht sicher genug. Jetzt musst du nur noch wissen wie man von normalen Modus in den Betreuer Modus kommt und dann kannst du an noch mehr Automaten die Einfallslosigkeit der Bankautomatenbetreuer testen.

    hatten wir im 1. Semester in Informatik eine schöne Geschichte :)


    an der Uni gabs mal einen, der hat den gesamten Computerraum des Fachbereichs genutzt und ihn als verteiltes System genutzt. Dieses Sys hat er eine Woche auf die Kennwörter der Uni losgelassen :).
    80% der Kennwörter konnte er feststellen. Die hat er ausgedruckt und persönlich dem Admin gegeben, als Hinweis, dass die Leute ein sicheres Kennwort nehmen sollten :>.


    Gab einen riesigen Tumult :D


    Es gibt anscheinend auch Statistiken über Kennwörter der Amerikaner :)
    Anscheinend sind >60 % der Kennwörter irgendwelche Geburtsdaten, die Name der Freundin/Frau und ähnliches :). Nahezu >90 % konnten ohne Probleme mit John the Ripper (Standard Kennwort Knack Programm, das auf ein Wörterbuch basiert) in weniger als 1 Tag geknackt werden :D


    Sehr geil is auch die Geschichte einees Workshops für Datensicherheits-Spezialisten. Hat die Uni mal gemacht und für Reisekostenabbuchungen und ähnliches haben sie halt die Kreditkartennummer der Gäste angefordert.
    Die "Spezialisten" haben zum Großteil die Kreditkarten-Daten per E-Mail ungesichert übermittelt :D. Saugeil! :). Und solche Leute sind die Gurus der Datensicherheit :>

    • Offizieller Beitrag

    ich kenn da ne seite, die knackt einem in ein paar minuten das windows-passwort, wenn man denen die verschlüsselte pwd-datei gibt ..


    dürft also auch ein ultra-simpel algorythmus sein :-/


    mir wars nur recht, so bin ich wenigst in den einen server wieder reinkommen, der lang vor mir aufgesetzt wurde (und natürlich wußte keiner mehr das pwd :-/ )


    is aber nur beim erstenmal free, dann kostenpflichtig!
    hier der link:
    http://www.loginrecovery.com/

    es gibt bis heute eigentlich sehr wenige wirklich gute Verschlüsselungstechniken...
    Jede symmetrische Verschlüsselung is ziemlich leicht knackbar.


    Asymmetrische Verschlüsselungen sind da schon schwerer, aber die älteren auch recht schnell knackbar (AES 256 Bit ist da der neue, wie das dann genau heißt, weich ich grad nicht mehr, wird in Skype verwendet; AES 128 Bit glaub ich kannst auf einem normalen Rechner auch ohne Probleme in relativ kurzer Zeit knacken).
    Hab leider die Vorlesung nicht gemacht und werd wohl auch mit Krypto in Zukunft nicht viel machen :)
    Trotzdem is ganz heftig, was nicht alles möglich ist :)

    • Offizieller Beitrag


    .
    wozu auslesen wenn ich es in 3 sekunden resetten kann, das spart viel zeit.
    Aber wie immer genug zeit und leistung alles ist knackbar, zwar nur per bruteforce bzw dictionary attacks, leider checken viele system ja nit mal das sie angegriffen werden


    @BA-CA automat: Diesen 1234 account gibts auf jedem Terminal, man sollte nur so gut sein ihn zu ändern bzw zu deaktivieren :D

    • Offizieller Beitrag
    Zitat

    Original von Schamsen
    wozu auslesen wenn ich es in 3 sekunden resetten kann, das spart viel zeit.


    Dann gehen aber sämtliche verschlüsselten Daten den Bach runter .. btw. geht die "gesparte" Zeit dafür drauf die Daten wieder lesbar zu machen :-/


    Beim Server wars mir definitiv lieber das pwd zu kennen, anstatt es mit linux-bootcd und pwd-reset zu ändern.