Monday, September 25, 2006

FON:CIR - gefixt

Hallo FONeras und FONeros,

in einschlägigen boards, u.a. auch in Golem, wurde, letzte Woche, über eine theoretische Schwachstelle bei der Authentifizierung innerhalb des Logins in der vorliegenden beta-Version von FON berichtet.

Diese Meldungen haben wir zum Anlass genommen, die internen Authentifizierungsprozeße, ab sofort, so zu verändern, daß künftig auch diese, eher theoretischen Möglichkeiten, nun auch nicht mehr gegeben sind. Denn es hätte hierbei erheblicher krimineller Energie bedurft - und: zudem strafrechtliche Belange berührt, wären diese beschriebenen Möglichkeiten doch einmal zum Einsatz gekommen.

Die "freaks" unter euch haben das natürlich schon längst erkannt und in den boards auch "gewürdigt". Es sei hier noch einmal wiederholt.

Geschrieben von FON D/AT/CH on Technology
# Permalink | Comments (3) | TrackBacks (0)

Trackback Pings

TrackBack URL fuer diesen Eintrag:
http://web.fon.com/backend_blogs/mt-tb.cgi/754

Kommentare | Kommentar schreiben

Einfach nur SPITZE! Gut reagiert!

# 1 | Sent by: Christian Henkel – Tuesday, September 26, 2006 (09:57)

Allerdings habt ihr damit den Login für eingetragene Freunde zerschossen.

AW:
Sorry, für die verspätete Antwort. Doch diesen Vorwurf musste ich zunächst persönlich bei mir selbst testen.

Ich habe also mein LAN deaktiviert und auf meinen USB-WLAN Stick umgeschaltet. Das Login über meine "Freunde/Familie" - Kennung verlief völlig problemlos.

Keine Ahnung warum diese offensichtliche Falschmeldung , von Sachkenntnis ungetrübt, hier platziert wurde. Jedenfalls kein Grund zur Sorge.

regards
Peter

# 2 | Sent by: Markus Tacker – Tuesday, September 26, 2006 (10:23)

Ihr Posting ist leider faktisch falsch:

1) Der Angriff war keineswegs theoretisch sondern zB unter OSX mit Bordmitteln und unter Windows mittels download eines einzigen weit verbreiteten (legalen) Netzwerk-Analyse-Programms (Ethereal/Wireshark) möglich.

2) Es bedarf dazu auch keiner kriminellen Energie, da kein "Hacker-Werkzeug" verwendet wird und der Angriff durch reines Mithören des unverschlüsselten Verkehrs möglich war.

3) Durch den Angriff bekommt man das Login+Passwort des Benutzers (Alien oder Hotspot-Betreiber). Dies ist alles andere als eine kleine Lücke.

Sicherheitsprobleme lassen sich nicht kleinreden, es zu versuchen ist nur eine Einladung an tatsächliche Angreifer.

Ich finde es als FON-Befürworter persönlich sehr schade, dass FON mehrere Wochen benötigt hat um das Sicherheitsproblem zu beseitigen und erst reagierte, als das Problem zunehmend publik wurde.

Mit besten Grüssen,
Joachim Büchse

AW:
vielen Dank für den Beitrag.

FON hat sich umgehend, und nicht erst "In Wochen", wie hier unterstellt, um Problemlösungen bemüht und hat das genannte Problem nach Bekanntwerden zudem gefixt.

Der darob von "Freddy" entfachte, "mediale Lärm" spielte bei der Problemlösung eine untergeordnete Rolle - er wird das sicher anders sehen wollen. Wir wünschen, daß er die ihm zugedachte Aufmerksamkeit genossen hat. Sinnvoller Weise löst man solche Probleme diskreter. Eine Empfehlung für sich hat er damit eher nicht ausgesprochen, wie wir meinen.

Im Übrigen stellt das unerlaubte Ausspähen fremder Kennungen, auf welche Weise dies auch immer technisch geschieht, nach wie vor einen unerlaubten Eingriff und einen Straftatbestand dar und bedarf einer gehörigen Portion krimineller Energie. Schon aus der Wortbedeutung "Angriff" lässt sich das mühefrei ablesen.

Sicherheitsprobleme werden von FON keineswegs "kleingeredet", wie ebenfalls unterstellt. Wir kommunizieren unsere security, aus gewiss verständlichen Gründen, nur nicht immediat, was zudem keineswegs "security by obscurity" bedeutet.

Vielen Dank Verständnis und Beitrag.

regards
Peter

# 3 | Sent by: Joachim Buechse – Tuesday, September 26, 2006 (10:35)