INS-ecommerce

StudiVZ: Security by Obscurity (Update)

Tja, eigentlich wollten wir nicht mehr als drei Artikel zu StudiVZ schreiben, schliesslich sind wir hier nicht deren Bugtracker. Aus aktuellem Anlaß jedoch ein Update unseres Artikels StudiVZ: Security by Obscurity von vorgestern.

Denn die üblicherweise gut unterrichteten Kreise der Blogbar haben inzwischen herausgefunden, daß man aus dem 6-stelligen Buchstaben-Ziffern-Code (Beispiel: "SV1SVT") mittels eines einfachen Algorithmus die Benutzernummer errechnen kann.

Man nehme jede Stelle als eine Zahl von 0 bis 31, so ist "S" z.B. 21 (dezimal) bzw. "10101" (binär) , (die komplette Tabelle gibts in der Blogbar s.o.) schreibe alle diese Zahlen hintereinander, lese die Zahl als Binärzahl einfach rückwärts, wandele sie dann ins Dezimalsystem um und teile sie einfach durch 283. Von dem Ergebnis die Nachkommastellen abschneiden und man hat die Benutzernummer.

Bei den anderen "verschlüsselten" URL-Informationen soll es sich ähnlich verhalten, darauf gehen wir aber nicht weiter ein.

Da ausserdem bekannt ist, daß die Benutzernummern fortlaufend ab 1 hochgezählt wurden, ist es somit ein leichtes sich eine Tabelle zu generieren um so aus der für andere Benutzer sichtbaren Benutzernummer sofort auf den "geheimen URL-Code" zu kommen.

Und die Moral von der Geschichte ...

Wie im vorherigen Artikel geschrieben ist "Security by Obscurity" keine gute Idee, weil man irgendwann den Algorithmus herausfindet und dann das gesamte System ungeschützt ist. Wenn jedoch der Algorithmus eine so simple Rechenformel ist, wie in dem konkreten Fall, dann wird das Kopfschütteln schon fast zum Headbangen.

Insofern ist StudiVZ ein gutes Beispiel dafür, wie man es nicht machen sollte. Hoffentlich wird das Anderen eine Warnung sein, daß sich jeder Fehler früher oder später rächt wenn man sich nicht an gewisse Mindeststandards hält und unsichere Software und Systeme entwickelt.


Geschrieben von af in News am: Dienstag, 28. November 2006
Permalink

Tags: , , , ,

Diesen Beitrag bei folgenden Diensten bookmarken:
del.icio.us - Digg it - Mister Wong - Technorati - Ruhr.com Suchmaschine

Kommentare
  • atari Donnerstag, 30. November 2006, 02:12 Uhr
    Es soll ja nun nachgebessert werden. Nicht umsonst ist das Teil heute N8 schon wieder offline. Wenn die Geschichte mit den Zeitstamps jedoch stimmt, müssen sie wohl noch einige Nächte lang an ihrem PHP rumfrickeln.

Nächster Artikel: StudiVZ: Short Summary in English

Vorheriger Artikel: StudiVZ: Totalausfall durch XSS-Wurm?