Mit carders.cc wurde ein bekanntes deutsches Forum bereitgestellt, in dem durch kriminelle Cracker (Faker und Carder) mit gestohlenen Informationen gehandelt wurde (z.B. Kreditkarten- und Kontoinformationen).

Die Seite selbst wurde nun Opfer einer Attacke, bei der eine komplette Kompromittierung des Webservers und der Datenbank durchgesetzt wurde. Dieser Zwischenfall hat international für Aufsehen gesorgt. Der Angriff bzw. die daraus entwendeten Daten wurden als unterschiedliche Dateien auf rapidshare.com einer breiten Öffentlichkeit bereitgestellt. In einem der veröffentlichten Dokumente wird erwähnt, dass ein Fehler in der Webapplikation und fehlerhafte Dateirechte für die Übernahme des Systems verantwortlich waren:

During the ownage they also gave us lulz by showing off their ridiculous configuration skills which had a specific impact on their security. They actually managed to chmod and chown nearly everything to 777 and www-user readable. Including their /root directory.

Mitunter wird ebenfalls ein Auszug der Passwörter der Benutzerdatenbank des öffentlichen Forums bereitgestellt. Darin sind die SHA1-Hashes der Passwörter sowie einige gecrackte Passwörter im Klartext enthalten.

In unserem Blog-Beitrag Geschlechtsspezifische Passwortunsicherheiten haben wir mitunter eine statistische Analyse der Passwortlänge von Männern und Frauen auf der Basis eines nicht benannten Online-Dienstes durchgeführt. Dabei konnten wir einige marginale Unterschiede aufzeigen. Die durchschnittlichen Werte dieser Betrachtung soll nun mit der statistischen Auswertung der Passwortlängen der Cracker verglichen werden. Es ist naturbedingt anzunehmen, dass ein Grossteil der Cracker männlich sind. Ebenso zeigt eine Analyse der Mailadressen, dass die Benutzer wohl zu grossen Teilen aus Deutschland selbst stammen.

Die gezeigte Grafik illustriert, dass hier tatsächlich offensichtliche Abweichungen von Normalanwendern (grün) zu Crackern (rot) zu zu beobachten sind:

• Die Verteilung der Passwortlängen zeigt, dass durch Cracker eher längere Passwörter genutzt werden. Im Durchschnitt sind die Passwörter 7.76 Zeichen lang (gegenüber 6.94 Zeichen bei Normalanwendern). Die allgemeine Security Awareness der Cracker ist damit naturbedingt höher, als bei Normalanwendern.
• Am meisten werden 8-stellige (32.17%) und am zweitmeisten werden 6-stellige Passwörter (24.35%) verwendet. Diese Distribution entspricht in seiner Form derjenigen der Normalanwender und ist vermutlich auch hier auf die Rhythmik der Eingaben zurückzuführen.
• Passwörter mit 5 (2.83%) oder weniger Zeichen sind sehr unpopulär und werden nach Möglichkeiten gemieden. Wohl deshalb, um Bruteforce-Attacken nutzlos sehr aufwendig erscheinen zu lassen. Vielleicht sind sich die technisch versierten Cracker auch eher einer technisch forcierten Minimallänge von 6 Zeichen gewohnt.
• 10- (6.85%) und 11-stellige Passwörter (2.39%) können durchaus vorkommen. Bei 12-stelligen Passwörtern liegen Normalanwender jedoch wieder vorn (mit 1.84% zu 1.30%), was wohl auf ein fehlendes Verständnis für die Verhältnismässigkeit (Grenznutzen) einer solchen Massnahme zurückzuführen ist.

In eine ähnliche Richtung werden wohl auch die Nutzerdaten von thepiratebay.org, welche diese Tage dank einer SQL-Injection kompromittiert wurden, ausfallen. Eine Querprüfung derer werden wir, sofern sie denn öffentlich zugänglich werden, anstreben.

About the Author

Marc Ruef has been working in information security since the late 1990s. He is well-known for his many publications and books. The last one called The Art of Penetration Testing is discussing security testing in detail. He is a lecturer at several faculties, like ETH, HWZ, HSLU and IKF. (ORCID 0000-0002-1328-6357)

Links

• http://bl0g.cedricpernet.net/post/2010/05/20/Fraudsters-e-mail-addresses
• http://krebsonsecurity.com/2010/05/fraud-bazaar-carders-cc-hacked/
• http://krebsonsecurity.com/2010/07/pirate-bay-hack-exposes-user-booty/
• http://tasteless.back2hack.cc/carders-cc-takedowndeface/
• http://twitter.com/carders_cc
• http://twitter.com/tpb