22.01.2014

Mailadressen und geklaute Passwörter - Das BSI (Bundesamt für Sicherheit in der Informationstechnik) ist ein Witz

Fassen wir das mal zusammen: Da kommt das BSI ("Bundesamt für Sicherheit in der Informationstechnik") im Dezember (Ich hoffe: 2013) den Besitz von 16 Millionen Paaren aus Mailadressen und Passwörtern (oder deren Hashes).

Bis zum 20. Januar 2014 schweigt es und arbeitet intensiv an einer "datenschutzkonformen Lösung" um den Besitzern Auskunft geben zu können, ob deren Adresse darunter sei. Was das BSI da bastelte bricht unter dem ersten Ansturm zusammen.

16 Millionen klingt zwar erstmal nach "viel", ist es aber tatsächlich nicht.

Nimmt man einfach mal an, dass eine solche Mailadresse durchschnittlich aus (sportlichen) 30 Zeichen besteht, so bilden das eine Datenmenge 480 Millionen Byte.

Keine 500 Megabyte also. Das passt in den Arbeitsspeicher selbst älterer Bürorechner - erst recht in den eines Servers, sonst muss man eben mal rund 40 Euro beim Hardwaredealer um die Ecke investieren.

Eine vernünftig eingerichtete Datenquelle würde eine solche Abfrage also binnen Mikrosekunden beantworten.

Erster Fehler:

Statt jetzt also von Anfang an einen Server aufzusetzen, der (mit einer möglichst minimalistischen Webseite versehen) die Anfragen entgegen nimmt, wurde zunächst eine Webseite gebaut, die dafür sorgt, dass Grafiken und CSS-Dateien nachgeladen wurden - was die Last erhöht. Auch weshalb noch immer eine CSS-Datei verlinkt und ausgeliefert wird, die 85 Kilobyte groß ist, weiß bestenfalls das BSI selbst - die "stylt" nämlich Elemente, die es auf der Webseite gar nicht gibt. Und selbst da war das BSI wohl nicht in der Lage, dafür zu sorgen, dass diese von einem oder mehreren weiteren Server(n) abgeholt werden, der nur statische Inhalte ausliefert was einen fetten Performanceschub bedeutet hätte.

Ebenso dürfte der Begriff "CDN" ("Content Delivery Network") ein Fremdwort gewesen sein.

Nachbesserung:

Erst nach dem vorhersehbaren "Zusammenbruch" durch die Überlastung der Server des BSI wurde nachgebessert. Und zwar indem die Grafiken (durch Auskommentieren im HTML-Quelltext!) herausgenommen wurden, sogar eine Lastverteilung auf zwei (2) Server erfolgte mittels des DNS:

;; ANSWER SECTION:
www.sicherheitstest.bsi.de. 205 IN CNAME sicherheitstest.bsi.de.
sicherheitstest.bsi.de. 246     IN A     85.214.10.6
sicherheitstest.bsi.de. 246     IN A     85.214.10.5

Zweiter Fehler:

Wobei hier schon der eingerichtete CNAME-Record für eine Mehrbelastung selbst der DNS-Server sorgt, welche völlig unnötig ist. Wenn man die Adresse "www.sicherheitstest.bsi.de" bewirbt und massiv Zugriffe erwartet, dann sollte man diese Adresse auch direkt zu einer IP auflösen und nicht über einen CNAME-Record, der auf sicherheitstest.bsi.de verweist - statt eine zweite Datenbankabfrage (auch das DNS-System ist eine Datenbank) nötig zu machen.

Ich weiß jetzt nicht, wie das BSI die Technik hinsichtlich der Datenbank gelöst hat, aber gerade ein "missbrauchter" DNS-Server wäre als Datenbank in diesem Zusammenhang eine smarte Lösung gewesen... Wie sowas geht erkläre ich gerne in einem Kurs (1 Tag: 480 € + tatsächliche Reisekosten). Statt dessen wird das BSI wohl unter Verfehlung des Themas "Performance" auf Oracle oder gar Microsoft-SQL-Server gesetzt haben.

Fazit:

Von einem "Bundesamt für Sicherheit in der Informationstechnik" hätte man die technischen und humanen Kapazitäten (hier: Intelligenz) erwartet, die nötig ist um mit einem solchen Problem fertig zu werden.  Es ist aber auch nur eine Behörde - mit allem, was daraus folgt. Intelligenz darf man da nicht wirklich erwarten.

Außer natürlich hinsichtlich der Entwicklung von und Selbstbeschäftigung mit innerer und äußerer Bürokratie.

5 Kommentare:

Anonym hat gesagt…

Bei dieser Geschichte geht es wohl um etwas völlig anderes: nähmlich mail Adressen browser-fingerprints zuzuordnen.
http://www.heise.de/security/meldung/Fingerprinting-Viele-Browser-sind-ohne-Cookies-identifizierbar-1982976.html

. hat gesagt…

"mail Adressen browser-fingerprints zuzuordnen"

Kaum.

Dafür fehlt es an den entsprechenden Java-Skripts / Cookies e.t.c. Ich habe das nachgeschaut.

Anonym hat gesagt…

[...] Statt dessen wird das BSI wohl unter Verfehlung des Themas "Performance" auf Oracle oder gar Microsoft-SQL-Server gesetzt haben. [...]

Pfffff...!!!

Aber selbst nicht in der Lage einen eigenen Blog zu programmieren und über das Internet anzubieten. Aufgrund dessen auf Google mit diesen Webseiten ausweichen und dann öffentlich den "dicken Hals" riskieren und mit dem "Finger" auf andere zeigen.

TOLL!!!

Ich würde mich nach solch einem über diesen Blog veröffentlichten Beitrag nur noch schämen...





. hat gesagt…

"Aber selbst nicht in der Lage einen eigenen Blog zu programmieren"

Oh. Ich habe gerade erst im Seminar vorgemacht, wie man einen Webshop programmiert. Innerhalb von 1,5 Tage=12 Stunden (da waren vorher noch Grundlagen vorzutragen). Da würde ich wohl einen Blog hinbekommen... übrigens: Mein eigenes CMS (Blogsoftware wird ja oft als CMS missbraucht (s. Wordpress) ist längst "geboren".

Ich - an Deiner Stelle - würde mich nach solch einem über diesen Blog veröffentlichten Kommentar nur noch schämen... weil Du Vorhaltungen machst, die unwahr sind.

Matthias hat gesagt…

> […] Da kommt das BSI … im Dezember […] 2013 [in] den Besitz von 16 Millionen Paaren aus Mailadressen und Passwörtern […].

> Bis zum 20. Januar 2014 schweigt es und arbeitet intensiv an einer "datenschutzkonformen Lösung"

Ich könnte mir vorstellen, dass in den ursprünglichen Daten noch viel mehr enthalten war, als nur die Paare Mail-PW. Etwa: IP-Adressen, Zeitpunkte, Browserkonfigurationen, Verläufe, Cookies, Addons, … kurz alles, was man auf einem infizierten Rechner so erschnüffeln kann. Insofern kann man die Zeitdauer von einem Monat schon nachvollziehen.

Kommentar veröffentlichen