Den CNPD war awer an der Tëschenzäit och informéiert ginn, wou Dateschutzkommissioun sech dat nach wollt méi genee ukucken.

Resumé: Se hunn alt wéinstens et net ganz ignoréiert, dem Cactus seng Reaktioun virun e puer Méint war awer vill méi virbildlech an hunn trotz dem Feeler nach definitiv e serieux’en Androck hannerlooss mat hirer Reaktiounen (Souwuel Aktiounen zum Sécherheetslach wéi och an den E-Mailen déi se geschéckt hunn). An dobäi war de Feeler vum Cactus eiser Meenung no manner schlëmm wéi dësen, huet just méi Leit direkt betraff an war méi séier am Publikum ze verbreeden.

Luxembourg Online späichert all HTML E-Mail als richtegt HTML Dokument um Server. Dës Datei kann vu bäussen ongeschützt opgeruff ginn, soulaang een d’ URL huet. D.h. wann dir engem LOL Client eng HTML E-Mail schéckt mat eppes drann wat op ärem Server läit (Bild, CSS Datei asw…) kënnt der et herno selwer gesinn an den Access Logs vum Apache: Dir gesidd d’ URL déi mat http://email.internet.lu ufängt an dann herno mat .htm ophällt. Wann der dëst URL oprufft, kommt der prompt op d’E-Mail déi dir geschéckt hudd. Dëst ass zwar elo net esou schlëmm well ee selwer weess wat ee geschriwwen huet, mä alleng de Fakt dass een ongeschützt op esou E-Mailen zougräife kann ass scho schlëmm genuch.

Hei ass e Beispill vun esou enger E-Mail, wou mer erlaabt kritt hu vum Empfaenger se heihinn ze schreiwen: http://email.internet.lu/mailbox/kim.schauss/in/10060921520671.htm

D’ URL ass net ze komplizéiert, bis et bei den Numm vun der Datei kënnt. Mä och wann een do e bëssen driwwer nodenkt kënnt ee séier drop wat hei geholl ginn ass fir dës Datei ze benennen: 10 als éischt fir d’ Joër, dann 06 fir de Mount, 09 fir den Dag, um 21 Auer an 52 Minutte geschéckt, plus nach d’ Sekonnen an honnertstel Sekonnen. Dëst ass fir eng Bruteforce Attack quasi e Kannerspill fir sech do Zougrëff op ganz vill E-Mailen ze verschafen. Natierlech ass dëst NET erlaabt, mä mer wësse jo alleguer wat fir onéierlech Leit ronderem lafen, zemools um Internet.

Natierlech hu mir LOL iwwert dëse Problem och informéiert. Wann et interessant Neiegkeete ginn halen mer iech um lafenden.

http://www.cactus.lu/page.asp?id=1139&langue=1

Allerdings gesäit een elo nach nëmmen d’ Punktenzuel. Keng perséinlech Donnéeën, an et kann och näischt änneren. Domat ass den CNPD (Contre national pour la protection des données) averstan, an et ass jo och eigentlech eng gutt Léisung. Et kann een zwar dann ëmmer nach sech aloggen mat engem anerer senger Nummer, mä alles wat ee gesäit ass eng Punktenzuel, woumat een Friemen näischt ufänke kann.

Hei ass e Wee wéi der et selwer testen kënnt: Maacht en Spreadsheet am Openoffice op an gidd an d’Feld M1 dës Formel an:

=CEILING((B1+D1+F1+H1+J1+L1)*3+(A1+C1+E1+G1+I1+K1);10)-((B1+D1+F1+H1+J1+L1)*3+(A1+C1+E1+G1+I1+K1))

An duerno gidd der an d’ Felder A1 bis L1 déi éischt 12 Zifferen un. Nodeems der am L1 déi 12. aginn hudd, gesidd der déi läscht dann automatesch.

Fir méi Detailer iwwert dee Barcode kënnt der z.B. nach hei weiderliesen: http://www.makebarcode.com/specs/ean_13.html

Ech wäert Iech hei up2date halen wann et Neiegkeete gëtt.

D’ Cactuskaart … all regelméissegen Client vum Cactus dierft ewell esou eng hunn. En huet en ganz normalem Barcode, den eng Nummer duerstellt. Wosst dir dann och, dass ee sech um Site vum Cactus mat der Nummer alogge kann, do seng Donnéeën ännere kann an säin aktuelle Punktestand gesäit? Dat geet hei:

http://www.cactus.lu/page.asp?id=1139&langue=1

An wat ass d’ Passwuert beim éischte Login…? Vu dass ee keen esou eent uginn huet um Ufank wou een d’ Kaart krut, muss et jo eppes sinn wat de Client soss weess. An wéi soll et och anescht sinn, et ass d’ Nummer vun der Kaart selwer! Do fänkt et schonn emol ganz gutt un. Dann kënnt lo emol de Login:

Wann ee sech aloggt, gesäit een all seng perséinlech Donnéeën. Oftippen kënnen déi Leit och nach net (EMail Adress war uginn als …@photogem.cu … logesch!). Numm, Adress, Telefonsnummer, E-Mail an Gebuertsdatum. Ass dës Säit geséchert? Nee natierlech net, geet net mat SSL, also onverschlësselt an ouni Sécherheet, dass de User deen ass fir den e sech aus gëtt, an ëmgedréint.

Lo hu mer d’ Nummeren mol méi genee ënnert d’Lupp geholl. Gidd mol är Cactuskaart sichen, egal ob eng grouss oder eng kleng. Geet Är Nummer och un mat 0407001 oder 0407000? Bei deene meeschte Leit déi mir befrot hunn, ass dat emol de Fall. D’ Nummer ass am ganzen 13 Stellen laang, wouvun also déi éischt 6 schonn fest bekannt sinn an déi 7. ass, sou wäit mer bis elo wëssen, nëmmen eng 0 oder 1. Bleiwen der nëmmen nach 6 iwwreg. Kontinuéierlech ginn dës zwar net verginn wéi et schéngt, mä trotzdem sinn et der nëmmen 6, wat an eisem Zäitalter mat eisen Computeren, quasi näischt méi ass. Et kann och sinn dass nach eng Art Checksum drann ass, an dem Fall gëtt et nach méi einfach. Sollt ee vun iech esou eppes eraus fannen, kann en et jo gäeren hei mattdeelen.

U wéivill perséinlech Donnéeën géif ee wuel kommen wann een do sech géif e klengen Script schreiwen den déi Nummeren duerchgeet? Wuel ganz vill.

Beweis gefälleg?

Du hues grad “Jo, mä” gesot?

Merci un den Mosqito fir den Tipp.

“Hakin9 as een hard core IT-Security Magazine.” sou d’Redaktioun. Et gëtt se ob Englesch, Italienesch, Fragezeiche, Däitsch, Spuenesch, Tschech an Polnesch. Se erschéngt 6 Mol am Joer, d.h. all 2 Méint eng nei Ausgab. Den Schwéierpunkt leit offensichtlech ob der IT-Security, Hacktivismus an GNU/Linux ginn awer net vergiess. Den Schwieregkeetsgrad kann variéieren, well d’Artikelen an 3 Graden agedeelt ginn: einfach, mëttel schwéier an schwéier. Et ginn och ëmmer Artikelen fir Einsteiger wat luewenswert as, well jiddereen Mol kleng ufänkt.

D’Ënnerdeelung ass zimlech statesch, just d’Unzuel vun den Artikelen an den eenzelen Beräicher ännert meeschtens:

• Intro
• Inhaltsverzeechnes
• CD Inhalt & CD
• Kuerznorichten
• Spezifescht Tool gëtt virgestallt
• Artikel – Fir Ufänger (~1-2)
• Artikel – Ugrëff (~1-3)
• Artikel – Oofwier (~1-3)
• Dateschutz Artikel
• Themen aus dem Hakin9 Forum
• Rezessiounen vun Bicher
• Interview (meeschtens mat Leit aus dem IT Beräich)
• Bericht an Zesummefaassung vun User iwwert verschidden Themen
• Emfeelenswäert Websäiten
• Emfeelenswäert Firmen

Wéi där feststellen kënnt ass vill dran fir 10,90€. Fir 49,00€ am Joer kann een sech se och abonneiren. D’Websäit ass haking.org an hannert folgendem Link kritt där gratis Artikelen aus den Magaziner erofzelueden. Am Downloadberäich ginn et allerdéngs och nach allerhand aner Saachen.

P.

$ bash -r # Startet eng RBS
$ cd / # Test ob mer och wierklech an an eiser "Beweegungsfraiheet" ageschränkt sinn
$ vi # Start vum Text Editor vi
     # Folgendes aginn:
     # :set shell=/bin/bash
     # :shell
$ cd / # Test ob mer aus gebrach sinn

LG,

J.

Domat déi Konditioun erfëllt ass gëtt den JavaScript-Code ab elo an externen Dateien ofgeluecht an déi Dateien mussen vun enger vertrauenswürdeger Quell oofstammen – mat enger Whitelist vergläichbar. Vu, dass den JavaScript-Code nun keen direkten Bestanddeel méi vun der Website ass gëtt deen angebetteten JSC guer net méi berücksichtegt. Compatibiliteitsproblemer sollen et keng ginn, och fir déi déi dësen Secherheetsmechanismus net asetzen wëllen. Et hunn sech schon vill Websäitenbedreiwer an Webbrowserentwéckler dem Projet ugeschloss.

Am Mozilla Wiki ënnert  Security/CSP kann een nach méi spezifesch Informatiounen iwwert dës Technik fannen.

Léif Gréiss,

Jan