22.01.2014

Mailadressen und geklaute Passw├Ârter - Das BSI (Bundesamt f├╝r Sicherheit in der Informationstechnik) ist ein Witz

Fassen wir das mal zusammen: Da kommt das BSI ("Bundesamt f├╝r Sicherheit in der Informationstechnik") im Dezember (Ich hoffe: 2013) den Besitz von 16 Millionen Paaren aus Mailadressen und Passw├Ârtern (oder deren Hashes).

Bis zum 20. Januar 2014 schweigt es und arbeitet intensiv an einer "datenschutzkonformen L├Âsung" um den Besitzern Auskunft geben zu k├Ânnen, ob deren Adresse darunter sei. Was das BSI da bastelte bricht unter dem ersten Ansturm zusammen.

16 Millionen klingt zwar erstmal nach "viel", ist es aber tats├Ąchlich nicht.

Nimmt man einfach mal an, dass eine solche Mailadresse durchschnittlich aus (sportlichen) 30 Zeichen besteht, so bilden das eine Datenmenge 480 Millionen Byte.

Keine 500 Megabyte also. Das passt in den Arbeitsspeicher selbst ├Ąlterer B├╝rorechner - erst recht in den eines Servers, sonst muss man eben mal rund 40 Euro beim Hardwaredealer um die Ecke investieren.

Eine vern├╝nftig eingerichtete Datenquelle w├╝rde eine solche Abfrage also binnen Mikrosekunden beantworten.

Erster Fehler:

Statt jetzt also von Anfang an einen Server aufzusetzen, der (mit einer m├Âglichst minimalistischen Webseite versehen) die Anfragen entgegen nimmt, wurde zun├Ąchst eine Webseite gebaut, die daf├╝r sorgt, dass Grafiken und CSS-Dateien nachgeladen wurden - was die Last erh├Âht. Auch weshalb noch immer eine CSS-Datei verlinkt und ausgeliefert wird, die 85 Kilobyte gro├č ist, wei├č bestenfalls das BSI selbst - die "stylt" n├Ąmlich Elemente, die es auf der Webseite gar nicht gibt. Und selbst da war das BSI wohl nicht in der Lage, daf├╝r zu sorgen, dass diese von einem oder mehreren weiteren Server(n) abgeholt werden, der nur statische Inhalte ausliefert was einen fetten Performanceschub bedeutet h├Ątte.

Ebenso d├╝rfte der Begriff "CDN" ("Content Delivery Network") ein Fremdwort gewesen sein.

Nachbesserung:

Erst nach dem vorhersehbaren "Zusammenbruch" durch die ├ťberlastung der Server des BSI wurde nachgebessert. Und zwar indem die Grafiken (durch Auskommentieren im HTML-Quelltext!) herausgenommen wurden, sogar eine Lastverteilung auf zwei (2) Server erfolgte mittels des DNS:

;; ANSWER SECTION:
www.sicherheitstest.bsi.de. 205 IN CNAME sicherheitstest.bsi.de.
sicherheitstest.bsi.de. 246     IN A     85.214.10.6
sicherheitstest.bsi.de. 246     IN A     85.214.10.5

Zweiter Fehler:

Wobei hier schon der eingerichtete CNAME-Record f├╝r eine Mehrbelastung selbst der DNS-Server sorgt, welche v├Âllig unn├Âtig ist. Wenn man die Adresse "www.sicherheitstest.bsi.de" bewirbt und massiv Zugriffe erwartet, dann sollte man diese Adresse auch direkt zu einer IP aufl├Âsen und nicht ├╝ber einen CNAME-Record, der auf sicherheitstest.bsi.de verweist - statt eine zweite Datenbankabfrage (auch das DNS-System ist eine Datenbank) n├Âtig zu machen.

Ich wei├č jetzt nicht, wie das BSI die Technik hinsichtlich der Datenbank gel├Âst hat, aber gerade ein "missbrauchter" DNS-Server w├Ąre als Datenbank in diesem Zusammenhang eine smarte L├Âsung gewesen... Wie sowas geht erkl├Ąre ich gerne in einem Kurs (1 Tag: 480 € + tats├Ąchliche Reisekosten). Statt dessen wird das BSI wohl unter Verfehlung des Themas "Performance" auf Oracle oder gar Microsoft-SQL-Server gesetzt haben.

Fazit:

Von einem "Bundesamt f├╝r Sicherheit in der Informationstechnik" h├Ątte man die technischen und humanen Kapazit├Ąten (hier: Intelligenz) erwartet, die n├Âtig ist um mit einem solchen Problem fertig zu werden.  Es ist aber auch nur eine Beh├Ârde - mit allem, was daraus folgt. Intelligenz darf man da nicht wirklich erwarten.

Au├čer nat├╝rlich hinsichtlich der Entwicklung von und Selbstbesch├Ąftigung mit innerer und ├Ąu├čerer B├╝rokratie.

Kommentare:

Anonym hat gesagt…

Bei dieser Geschichte geht es wohl um etwas v├Âllig anderes: n├Ąhmlich mail Adressen browser-fingerprints zuzuordnen.
http://www.heise.de/security/meldung/Fingerprinting-Viele-Browser-sind-ohne-Cookies-identifizierbar-1982976.html

. hat gesagt…

"mail Adressen browser-fingerprints zuzuordnen"

Kaum.

Daf├╝r fehlt es an den entsprechenden Java-Skripts / Cookies e.t.c. Ich habe das nachgeschaut.

Anonym hat gesagt…

[...] Statt dessen wird das BSI wohl unter Verfehlung des Themas "Performance" auf Oracle oder gar Microsoft-SQL-Server gesetzt haben. [...]

Pfffff...!!!

Aber selbst nicht in der Lage einen eigenen Blog zu programmieren und ├╝ber das Internet anzubieten. Aufgrund dessen auf Google mit diesen Webseiten ausweichen und dann ├Âffentlich den "dicken Hals" riskieren und mit dem "Finger" auf andere zeigen.

TOLL!!!

Ich w├╝rde mich nach solch einem ├╝ber diesen Blog ver├Âffentlichten Beitrag nur noch sch├Ąmen...





. hat gesagt…

"Aber selbst nicht in der Lage einen eigenen Blog zu programmieren"

Oh. Ich habe gerade erst im Seminar vorgemacht, wie man einen Webshop programmiert. Innerhalb von 1,5 Tage=12 Stunden (da waren vorher noch Grundlagen vorzutragen). Da w├╝rde ich wohl einen Blog hinbekommen... ├╝brigens: Mein eigenes CMS (Blogsoftware wird ja oft als CMS missbraucht (s. Wordpress) ist l├Ąngst "geboren".

Ich - an Deiner Stelle - w├╝rde mich nach solch einem ├╝ber diesen Blog ver├Âffentlichten Kommentar nur noch sch├Ąmen... weil Du Vorhaltungen machst, die unwahr sind.

Matthias hat gesagt…

> […] Da kommt das BSI … im Dezember […] 2013 [in] den Besitz von 16 Millionen Paaren aus Mailadressen und Passw├Ârtern […].

> Bis zum 20. Januar 2014 schweigt es und arbeitet intensiv an einer "datenschutzkonformen L├Âsung"

Ich k├Ânnte mir vorstellen, dass in den urspr├╝nglichen Daten noch viel mehr enthalten war, als nur die Paare Mail-PW. Etwa: IP-Adressen, Zeitpunkte, Browserkonfigurationen, Verl├Ąufe, Cookies, Addons, … kurz alles, was man auf einem infizierten Rechner so erschn├╝ffeln kann. Insofern kann man die Zeitdauer von einem Monat schon nachvollziehen.

Kommentar ver├Âffentlichen