Archive for Oktober 2011

 
 

Google Halbjahres Bilanz

Report zur Herausgabe der Benutzerdaten

Google hat im ersten Halbjahr 2011 über 6000 Anfragen bekommen, Benutzerdaten zur strafrechtlichen Verfolgung heraus zu geben. Dies geht aus dem offiziellen Bericht von Google hervor. Dies ist eine Steigerung von 29% im Vergleich der letzten 6 Monate.

5950 Anfragen waren von US Strafverfolgungsbehörden. Es wurde um die Herausgabe von über 11000 Benutzerkonten, bei Google und Youtube gebeten.

Google ist diesen Anfragen in 93% der Fällen so schnell es ging nachgekommen.

Die zweithöchste Anfrage an Google kam aus Indien mit über 1700 Anfragen bezüglich der Herausgabe von über 2400 Benutzerkonten. England hat nach Indien über 1200 Anfragen an Google gestellt.

Google ist die einzige große Internet Firma, welche einen transparenten Bericht, über die herausgegebenen Daten veröffentlicht. Was machen andere Firmen? Alles still und heimlich?

Weitere Links:
Transparency Report (raw data)

Findmyhash.py – Hashwerte online berechnen lassen

Ich bin kürzlich über ein kleines Tool gestolpert, dass es einem ermöglicht folgende Hashwerte online zu überprüfen:

Akzeptierte Hash Werte

Dazu wird der Hashwert automatisch bei diversen Hash-Cracking Webseiten hoch geladen und dann gegen deren Datenbanken geprüft. Es kann natürlich vorkommen, dass der eingegebene Hashwert nicht gefunden wird. Dann ist es hilfreich seine lokalen Rainbowtables zu verwenden. Das Skript und die Rainbowtables sollten nur dazu verwendet werden, seine eigenen Passwörter auf Schwachstellen zu untersuchen.

Benötigt wird Python zum starten des Skriptes.

Beispiele:

python findmyhash.py MD4 -h „db346d691d7acc4dc2625db19f9e3f52“
python findmyhash.py MD5 -h „098f6bcd4621d373cade4e832627b4f6“
python findmyhash.py SHA1 -h „a94a8fe5ccb19ba61c4c0873d391e987982fbbd3“
python findmyhash.py SHA224 -h „90a3ed9e32b2aaf4c61c410eb925426119e1a9dc53d4286ade99a809“
python findmyhash.py LM -h „01fc5a6be7bc6929aad3b435b51404ee“
python findmyhash.py NTLM -h „0cb6948805f797bf2a82807973b89537“
python findmyhash.py MYSQL -h „*94bdcebe19083ce2a1f959fd02f964c7af4cfc29“
python findmyhash.py MYSQL -h „94bdcebe19083ce2a1f959fd02f964c7af4cfc29“
python findmyhash.py CISCO7 -h „12090404011C03162E“
python findmyhash.py JUNIPER -h „\$9\$90m6AO1EcyKWLhcYgaZji“
python findmyhash.py LDAP_MD5 -h „{MD5}CY9rzUYh03PK3k6DJie09g==“
python findmyhash.py LDAP_SHA1 -h „{SHA}qUqP5cyxm6YcTAhz05Hph5gvu9M=“

Das Script Findmyhash.py kann man hier downloaden: LINK

Zwei Wege-Authentifizierung für das Google-Konto

Die Google-Dienste, wie zum Beispiel Google+,Google Mail oder Google Texte und Tabellen, werden von viele Benutzer heutzutage immer häufiger benutzt. Für viele User ist das Google Konto zentrale Sammelstelle für sämtliche E-Mail Accounts und Dokumentenverwaltung. Gerne werden auch private Bilder bei Google Picasa hinterlegt.

Diese Dienste sind nur mit einem Passwort gesichert und sollte dieses einmal in die falschen Hände geraten, ist der Zugriff auf das Google-Konto nicht mehr möglich. Persönliche Daten,Bilder und Dokumente sind nun verloren.

Google hat dafür eine Lösung entwickelt, mit der man eine zusätzliche Sicherheitsebene erhält. Die Zwei-Wege-Authentifizierung.

Heutzutage hat fast jedes größere Unternehmen, eine solche Ebene zur Absicherung eingerichtet. In den meisten Fällen wird ein „RSA-Token“ verwendet. Nach der Eingabe des Benutzernamen und Passwort wird noch zusätzlich ein Sicherheitscode, meist in Form einer Zahlenkombination verlangt. Diese zusätzliche Form von Sicherheit bzw. Sicherheitsebene kann nur mit sehr viel Aufwand umgangen werden. RSA-Token

Google hat für seine Benutzer ein ähnliches Verfahren entwickelt. Mit Hilfe des Smart-Phones wird das App Google-Authenticator heruntergeladen und mit dem Google-Konto verknüpft. Eine ausführliche Anleitung auf Deutsch findet man hier:

Erste Schritte bei der Bestätigung in zwei Schritten

Bei dem einloggen in sein Google-Account, wird nun ein Bestätigungscode zusätzlich zu dem Passwort verlangt. Der Bestätigungscode wird alle 45 Sekunden generiert und kann vom Smart-Phone abgelesen werden. Wichtig: Nach der Aktivierung der 2 Wege Authentifizierung muss man immer zusätzlich den Bestätigungscode mit angeben, sonst kann man sich nicht mehr in sein Google-Konto einloggen.

Google-Authentificator

Des weiteren kann man nun auch „Einmal Passwörter“ für einzelnen Google-Dienste vergeben. Ein klassisches Beispiel ist, dass man seinem Smart-Phone ein „Einmal Passwort“ vergibt. Im Falle, dass man sein Handy verliert, kann man nun aus seinem Google-Konto heraus die Rechte für das Handy entziehen (revoke). Damit erhält der Dieb des Handys KEIN Zugriff mehr auf das Google-Konto.

Die Anleitung für „Einmal Passwörter“ findest du hier: Anleitung

!!! WICHTIG !!!
Bei der Aktivierung der 2 Wege Authentifizierung bietet Google einem 10 Notfall-Bestätigungscodes an. Diese müssen an einem Sicheren Ort aufbewahrt werden, da man im Verlustfall des Handys keine weiteren Bestätigungscodes generieren kann. Auch sollte man das Zusenden von Bestätigungscodes via SMS auf ein anderes Handy/Festnetz aktivieren, so dass man zur Not sich immer noch in sein Google-Konto einloggen kann.