An­griff auf das CMS die­ser Web­site

ACHTUNG!
Die­se Web­sei­te wur­de am 9. Ja­nu­ar 2014 mehr­fach und er­folg­los von den IP-Adres­sen 54.207.34.20 und 54.206.24.213 an­ge­grif­fen!

So­mit er­folg­te der An­griff aus der Stadt Se­at­tle im Bun­des­staat Wa­shing­ton, USA.
Für In­ter­es­sier­te auf den Me­ter ge­nau, Län­gen­grad: ‑122.29949951172 und Brei­ten­grad: 47.58390045166 für die IP-Adres­se 54.207.34.20, die Fir­ma woll­te ich nicht nen­nen, aber sie­he un­ten.
Wei­te­re An­grif­fe von den IP-Adres­sen 54.207.34.20 und 54.209.113.17 am 10. Ja­nu­ar 2014.

Mei­ne Re­ak­tio­nen (MR) — aus In­ter­es­se habe ich nichts an mei­nen Sys­tem ver­än­dert nur die­se Mel­dung auf die Start­sei­te [Front­pa­ge] ge­setzt.
An­grei­fer: Kein Nach­las­sen der An­grif­fe, even­tu­ell weiss er nicht was eine IP-Adres­se ist?
MR — Zeit­li­mit er­höht des er­neu­ten Log­in-Ver­su­ches
An­grei­fer: Kein Nach­las­sen der An­grif­fe, ist er ar­beits­los oder sein Ar­beit­ge­ber gross­zü­gig?
MR — Um ei­ner Bru­te-For­ce-Me­tho­de ent­ge­gen zu wir­ken:
• Zeit­li­mit auf uto­pisch ge­stellt
• IP-Adres­sen in ht­ac­cess ge­bannt
• Pass­wör­ter mit
— 32 Zei­chen
— Leer­zei­chen
— Son­der­zei­chen
— Gross­buch­sta­ben
— Klein­buch­sta­ben
— Mi­nus
— Un­ter­strich
— Son­der­zei­chen
— un­aus­sprech­bar
— ähn­lich die­sem hier “YP#_z F[_-:“ ‘~!}’(C“9T 2n.f@W]?gU^” — Nie­mals Bei­spiel-Pass­wör­ter nut­zen!
• 256 Bit Ad­mi­nis­tra­tor-Na­men
• 256 Bit Pass­wort
• und das gan­ze wird jetzt UN­re­gel­mäs­sig er­neu­ert

Wie­viel Zeit kann theo­re­tisch da­mit ver­nich­tet wer­den?
Der Ver­such ei­ner Ant­wort mit ei­nem Bei­spiel.

a. Zei­chen­vor­rat
26 Klein­buch­sta­ben
26 Gross­buch­sta­ben
10 Zif­fern
——————————
62 Ge­samt-Zei­chen­vor­rat

b. Län­ge des Pass­wor­tes und des Ad­mi­nis­tra­tor-Na­mens
Wir neh­men als Bei­spiel ein Pass­wort und ein Ad­min-Name mit je­weils 10 Zei­chen.

c. Be­rech­nung der mög­li­chen Kom­bi­na­tio­nen des Pass­wor­tes
An­zahl des Zei­chen­vor­ra­tes mal An­zahl der Zei­chen des Pass­wor­tes.
62 * 62 * 62 * 62 * 62 * 62 * 62 * 62 * 62 * 62 = 839.299.365.868.340.200 bzw. 8,392993659×10¹⁷.
Je­des wei­te­re Pass­wort­zei­chen ist eine Er­hö­hung um das 62-fa­che der ge­sam­ten Kom­bi­na­ti­ons­mög­lich­kei­ten!

d. Be­rech­nung der mög­li­chen Kom­bi­na­tio­nen des Ad­min-Na­men
An­zahl des Zei­chen­vor­ra­tes mal An­zahl der Zei­chen des Ad­min-Na­mes.
62 * 62 * 62 * 62 * 62 * 62 * 62 * 62 * 62 * 62 = 839.299.365.868.340.200 bzw. 8,392993659×10¹⁷.
Je­des wei­te­re Zei­chen ist eine Er­hö­hung um das 62-fa­che der ge­sam­ten Kom­bi­na­ti­ons­mög­lich­kei­ten!

e. Zeit­raum für EINE Be­rech­nung
Neh­men wir an, ein schnel­ler Desk­top-Com­pu­ter aus dem Jah­re 2013 schafft 3.000.000.000 bzw. 3 Mil­li­ar­den Zei­chen-Ein­ga­ben pro Se­kun­de zu prü­fen, dann wä­ren das rund 279.766.455 Se­kun­den oder rund 3.238 Tage oder über 9 Jah­re NUR für das Pass­wort! Da­mit wäre ein Com­pu­ter schon mal et­was län­ger be­schäf­tigt.
Und nicht ver­ges­sen: je­des wei­te­re Pass­wort-Zei­chen ist eine Er­hö­hung um das 62-fa­che der ge­sam­ten Zeit­dau­er! Also eine Pass­wort­län­ge mit 11 Zei­chen wä­ren dann über 565 Jah­re und 12 Zei­chen gleich 35.037 Jah­re. Das glei­che gilt für den Ad­min-Na­men.

f. Zeit­raum für die bis­he­ri­gen Er­geb­nis­se
Nun stel­len Sie sich vor, ALLE Kom­bi­na­ti­ons­mög­lich­kei­ten des Pass­wor­tes müs­sen mit je­der EINZELNEN Mög­lich­keit des Ad­min-Na­mens über­prüft wer­den. Schon ab jetzt reicht die Le­bens­zeit al­ler ge­we­se­nen und le­ben­den Men­schen nicht mehr aus.
Aus­ser, es gebe eine Zu­falls­tref­fer durch ge­wür­fel­te Kom­bi­na­ti­ons-Prü­fung. Das Glück wäre un­fass­bar hoch für ei­nen sol­chen Tref­fer, hö­her als der ers­te Lot­to­ge­winn al­ler Lot­to­spie­ler zu al­ler bis­he­ri­gen Men­schen­zeit. Aber beim wür­feln müss­te es ins­ge­samt län­ger dau­ern, da hier mehr­fach glei­che Kom­bi­na­tio­nen wä­ren und die­se erst eli­mi­niert wer­den durch eine schon er­wür­fel­te Da­ten­bank und das Wür­feln sel­ber wür­de auch Zeit be­nö­tig­ten. Also vor­sich­tig ge­schätzt, wür­de sich durch das Wür­feln die Zeit qua­dra­tisch er­hö­hen. Aus­ser­dem soll­te mal je­mand ab und zu der ei­nen Da­ten­bank neue Fest­plat­ten ge­ben.

g. Ge­sperr­te IP-Adres­sen und Zeit­li­mit des Log­in­ver­su­ches,
wer­den hier zu­guns­ten der Ein­fach­heit­hal­ber nicht mit­be­rech­net, da al­lein das schon meh­re­re Jah­re sind und un­se­re Zeit für die­sen Bei­trag ist knapp.

h. Son­der­zei­chen
Wie Sie be­stimmt be­merkt ha­ben, sind die Son­der­zei­chen auch noch nicht hin­ein ge­rech­net. Aus gu­tem Grund, wir er­in­nern uns: 26 Klein­buch­sta­ben, 26 Gross­buch­sta­ben, 10 Zif­fern und Pass­wort und Ad­min-Name mit nur 10 Zei­chen statt mit je­weils 32.
Aber UTF‑8, der ver­brei­tets­ten Zei­chen­satz, hat eine un­gleich hö­he­re An­zahl von Zei­chen. Der Uni­code-Zei­chen­satz im ge­bräuch­lichs­ten For­mat von U‑XXXX, der er­wei­ter­te Be­reich des Uni­code-Sys­tems bis U‑XXXXXX, wo­bei X für eine He­xa­de­zi­mal-Zahl steht. Also U‑XXXX ent­spricht 16 * 16 * 16 * 16 = 65.536 Zei­chen. Aber da ist im­mer noch nicht das Ende, denn es wur­de noch ein Vier-Byte-Sche­ma für Uni­code er­stellt, da­nach sind es also 4.294.967.296 bzw. über 4 Mil­li­ar­den Zei­chen.

i. Re­sul­tat
Es ist schlicht­weg un­mög­lich das Pro­blem zu lö­sen, weil die Zeit die wich­tigs­te Wäh­rung ist und Öko­no­mie un­ser Zeit­geist.
Zur aus­führ­li­chen Dar­stel­lung der Zah­len in ei­ner Be­rech­nung mit Son­der­zei­chen und ei­nem 32 Zei­chen lan­ges Pass­wort und ei­nem 32 Zei­chen lan­gen Ad­min-Na­men wür­de die­ser Bei­trag ver­mut­lich bis zur nächs­ten Erd­öl-La­ger­stät­te rei­chen, doch wer liest schon so lan­ge Bei­trä­ge?

k. Zu­kunft
Der Quan­ten-Com­pu­ter kann kom­men. UTF‑8 ist ge­rüs­tet, quan­tas­tisch.
Ge­nau aus die­sem Grund wer­den qua­li­fi­zier­te An­grif­fe auf Netz­wer­kebe­nen über die Hard­ware voll­zo­gen! Sie­he Bei­spie­le aus jüngs­ter Ver­gan­gen­heit.


UPDATE

Von: ec2-abuse@amazon.com
Be­treff: Your Ama­zon EC2 Ab­u­se Re­port [54434449051] -
An: ­rο−κοm@gmx.de

Hel­lo,

Thank you for sub­mit­ting your ab­u­se re­port. We’­ve de­ter­mi­ned that an Ama­zon EC2 in­stance was run­ning at the IP ad­dress you pro­vi­ded in your ab­u­se re­port, and that the ac­ti­vi­ty should no lon­ger be on­go­ing at this time.If you wish to pro­vi­de ad­di­tio­nal in­for­ma­ti­on to EC2 re­gar­ding this case, or to re­port fu­ture ab­u­se, plea­se re­ply to ec2-abuse@amazon.com with the ori­gi­nal sub­ject line.

Thanks again for aler­ting us to this is­sue.

Case num­ber: 54434449051

Your ori­gi­nal re­port:

* Source IPs: 54.207.34.20
* Ab­u­se Time: 2014-01-09 10:00:00.0

Also, auf wun­der­sa­me Wei­se und von ganz al­lein ist das Pro­blem ge­löst.
Schön das es auch heut´ noch Wun­der und Mär­chen gibt.