| |
DL5FBD > DIEBOX 29.11.97 12:33l 60 Lines 2410 Bytes #-10333 (0) @ DL
BID : 29B709DB0GV
Read: OE3OKS OE1NPC GUEST DD3IA
Subj: Warnung vor Brutalpiratenpasswortangriff !!!
Path: OE1XAB<OE3XSR<OK0PPL<OK0PHL<OK0PPR<OK0PKL<DB0MAK<DB0SON<DB0SIF<DB0GV
Sent: 971129/0954z @:DB0GV.#HES.DEU.EU [Frank4t/Mtl OP:DF5FF] $:29B709DB0GV
de DL5FBD @ DB0GV.#HES.DEU.EU (Gerd-Michael)
to DIEBOX @ DL
-----BEGIN PGP SIGNED MESSAGE-----
Hallo DIEBOX Freunde
Ein Benutzer bei DB0GV, der sich mit einem Passwort gegen Piraten schuetzen
wollte hat folgende Schwachstelle des neuen und alten DIEBOX-Passwortes auf-
gedeckt, da er wohl entsprechend von einem Piraten attackiert worden ist.
DIEBOX wertet als kleinste Zeiteinheit die Minute aus, die ja auch im LOGIN-
Fenster ausgegeben wird. Hier gibt es leider fuer "Brutalpiraten" folgenden
Angriffspunkt:
Der Pirat monitort den kompletten LOGIN mit Passwort mit. Dann wirft er den
echten Rufzeicheninhaber durch Rufzeichenmissbrauch dessen Rufzeichens ab
und connectet selber die DIEBOX. Schafft er diese Attacke innerhalb eines
Minutenfensters, so dass er die gleiche Loginzeit wie sein Opfer erhaelt, so
gilt nach wie vor das mitgemonitorte Passwort des Opfers und der Pirat kann
sich in der DIEBOX mit dem mitgemonitorten Passwort privilegieren.
Ich habe hier den Gag mal probiert, zwei aufeinderfolgende Logins innerhalb
eines Minutenfensters haben das gleiche Passwort, dies gilt auch fuer das
neue DIEBOX-Passwort.
Abwehrmassnahme gegen diesen Angriff:
Zwischen Empfang der DIEBOX LOGIN-Meldung mit der Passworterzeugungsinforma-
tion und der Aussendung des daraus berechneten Privilegierungsstrings muss
1 Minute gewartet werden. Damit kann der Pirat mit dem alten Passwort nichts
mehr anfangen, da er neue Zeitdaten beim naechsten Piratenlogin bekommt.
Diese Minute "DF3AV-Passwortschutzzeit" sollten insbesondere alle Sysops bei
ihrem Login ueber das normale PR-Netz einlegen.
Dies ist auf jedem Fall mit meinem Passwortutility PWDIEBOX moeglich und den
Terminalprogrammen, welche den Privilegierungsstring erst durch Benutzerauf-
forderung und *nicht automatisch* beim Login aussenden.
73 de Gerd Michael
PS: Prinzipiell geht dieser Gag auch gegen den passwortgeschuetzten S&F der
Mailboxen untereinander. Hier wird es allerhoechste Zeit vom alten DF3AV
Passworterbe wegzukommen. Fuer DIEBOX 3.0 ist dann MD2/MD5 als Alterna-
tive moeglich.
-----BEGIN PGP SIGNATURE-----
Version: 2.6.3ia
Charset: cp850
iQCVAwUBNH/l/RViWyGpK3MJAQHGDAQAkOrS99VdZ844Eu1eqX78UBFzC7o+u/cn
nvw1Uo51UnX6gY/YhcHHapqMHXnUxBpMwGMeD0dK3BpqsZHnpMguaiaJSOPW5HMh
owSbYFVhpZVodevRYUv+EAZw5Mlco5zcWdWSnqdArDwKuLQuevI+SQyItVNlwUyu
PnUWYdhybEc=
=TADL
-----END PGP SIGNATURE-----
Read previous mail | Read next mail
| |
