Bio: 4tes kompiliertes Sicherheitsrisiko entdeckt: PPTP mit MSCHAPv2

Sup!

<head>
DISCLAIMER: Dieses Posting wendet sich ganz sicher nicht persönlich gegen die Benutzer irgendwelcher Microsoft-Produkte
WARNHINWEIS: Dieses Posting ist möglicherweise ironisch/zynisch/sarkastisch. Bitte setzen sie sich zum Lesen hin. Das Posting ist nicht für Jugendliche unter 17 Jahren und Senioren über 70 geeignet. Bei Hormonstörungen oder Bluthochdruck ist das Posting zu lesen nicht zu empfehlen. Zu Risiken und Nebenwirkungen (Dicke Adern auf der Stirn, roter Kopf, Wutanfall, Schreikrampf, Gewaltbereitschaft, Schlaflosigkeit, Herzinfarkt, Hirnschlag, Impotenz, Nierenfunktionsstörungen, Tinnitus, Exitus) fragen sie ihren Arzt oder Apotheker.
</head>

Die großartige Firma Microsoft hat in ihrer vollendeten Weisheit "Features" in ihr Protokoll zur Sicherung von VPNs, PPTP, im besonderen in das Authentifizierungsprotokoll MSCHAPv2, eingebaut, die es, wenn man das oder die Passwort(e) vergessen haben sollte, ermöglichen, durch Abhören der Verbindung und ein wenig Brute-Force Passworte herauszubekommen. Mit einem Celeron 550 in ca. 12 Tagen - mit einem Dual-Athlon 1.4GHz also in ca. 2-3 Tagen ;-)
Lest selbst:

http://www.heise.de/newsticker/data/ps-23.07.01-000/

Ein erneuter Beweis dafür, daß Firmen- und private Geheimnisse in einem Rundum mit Microsoft-Programmen ausgestattenen und geschützten Netzwerk bestens geschützt sind - zumindest für ein paar Tage.

Lang lebe Microsoft!

Gruesse,

Bio

  1. Rabarber ...

    . Mit einem Celeron 550 in ca. 12 Tagen - mit einem Dual-Athlon 1.4GHz also in ca. 2-3 Tagen ;-)

    Mhmh ... wie dämlich muß ein Admin / eine Firewall sein um 3 Tage Brute-Force-Cracker nicht zu bemerken ?

    Schöne Grüße,

    ein dämlicher Admin

    1. Hallo Dämlicher

      Mhmh ... wie dämlich muß ein Admin / eine Firewall sein um 3 Tage Brute-Force-Cracker nicht zu bemerken ?

      Wie du zwei Mausklicks von Bios Posting entfernt nachlesen kannst, läuft das Passwort-Raten Offline [1] ab.
      (Und dauert auch eher 4h wenn es 'übliche' Passwörter sind.)

      http://mopo.informatik.uni-freiburg.de/pptp_mschapv2/

      Gruss,
       Carsten

      [1] Die 'abgehörte' Authentifizierung wird geknackt, es ist nur einmaliges Mithören (pro Passwort) nötig.

      1. Hallo,

        Es gibt die Wahl zwischen PAP (unverschlüsseltes Kennwort), Shiva PAP (SPAP), Challenge Auth. Protokoll (CHAP), MS-CHAP, MS-CHAP v2 und EAP (MD5-Challenge, Zertifikat).

        Wenn einem MS-CHAP v2 nicht passt, kann man ja ein anderes verwenden.

        Außerdem: Wie hört man eigentlich so einen Verbindungsaufbau ab? Dürfte auch nicht allzu leicht werden?

        Richard

        1. Hallo Richard!

          Wenn einem MS-CHAP v2 nicht passt, kann man ja ein anderes verwenden.

          *ARGL* ... Selbstverständlich kann man das. Deswegen steht in der  Überschrift ja auch 'mit MSCHAPv2'.

          Außerdem: Wie hört man eigentlich so einen Verbindungsaufbau ab? Dürfte auch nicht allzu leicht werden?

          Da muss man doch glatt 6 Mausklicks weiterlesen:

          The next step is to audit a valid authentication. To do this, you need an IEEE 802.11b compatible wireless device, available in the computer store of your choice. Equipped with this, you can immediately audit all wireless network traffic if WEP encryption isn't used. Otherwise, you have to take this barrier first. How this is done is described in [NB01] in detail.

          http://mopo.informatik.uni-freiburg.de/pptp_mschapv2/node8.html

          Gruss,
           Carsten

        2. Sup!

          Also erstmal ging es ja nur um MS-CHAPv2. Wie so ein paar Mausklicks von meinem Postings entfernt auch stand, geht neben der eindrucksvollen Liste von Verfahren, die Du aufzählst, auch noch IPSEC, was wohl für sicher gehalten wird.
          Und dann ging es um VPNs, das sind virtual private networks, und die werden nun mal im öffentlichen Netz "aufgespannt" - und darum haben jede Menge Leute die Möglichkeit, mitzuhören. Die Mitarbeiter des Providers, aller möglicher Backbones, Leute, die per Funk-Lan zugreifen, Leute, die sich einfach in eine Netzwerksteckdose einstöpseln, eigene Mitarbeiter, Menschen, die gerne an Telefonkästen auf der Strasse rumfummeln... alles mehr oder weniger realistische Szenarios, aber wenn abhören unterwegs eh' so unwahrscheinlich wäre, dann bräuchte man ja auch gar kein VPN, gell?
          Und wenn man ein VPN braucht, dann sollte es doch wenigstens sicher sein. Und nicht schon mit relativ günstiger Hardware in unbedeutender Zeit zu knacken. Wenn man die Aufgabe parallelisiert, dann knacken 10 moderne Büro-PCs in einer Nacht das Passwort. Und wer schon mal in einem richtigen Netzwerk gearbeitet hat, der weiß, daß die Passworte selten bis nie oder - wenn hyperextreme Paranoia herrscht - alle paar Wochen geändert werden.

          Gruesse,

          Bio