.titleBar { margin-bottom: 5px!important; }

Sipgate Accounts hacken ???

Dieses Thema im Forum "sipgate" wurde erstellt von Borkk, 20 Okt. 2004.

  1. Borkk

    Borkk Neuer User

    Registriert seit:
    25 März 2004
    Beiträge:
    141
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo zusammen,

    ein Bekannter hat mir gestern von ein paar merkwürdigen Ereignissen berichtet. Er bekam gestern mehrmals (8-10x) sein Passwort per Mail zugeschickt, es muss also jemand mit seinem Namen die "Passwort vergessen?" Funktion bei Sipgate genutzt haben. Das kann natürlich auch ein Zufall bzw. Fehler eines anderen Users sein, ohne das eine böse Absicht dahinter steckt.

    Allerdings hat es mich veranlasst mir mal ein paar Gedanken zur Account Sicherheit von Sipgate zu machen. Es wird bestimmt nicht lange dauern bis der erste Account gehackt wurde und das Guthaben eines ahnungslosen Users abtelefoniert wurde. Der Schaden wird in der Regel zwar zu verkraften sein, allerdings könnte natürlich ein viel grösserer Schaden durch das Vorgaukeln einer falschen Identität entstehen. Immerhin finden man ja in jedem Sipgate Account die kompletten Daten eines Users inkl. des SIP Logins mit Passwort im Klartext.
    Ich werde diese Bedenken auch mal an Sipgate kommunizieren und Vorschlagen diese Daten (insbesondere den SIP Login) nicht mehr im Klartext darzustellen. Besser wäre eine Schaltfläche "SIP Login zusenden", wenn man draufdrückt bekommt man die Daten auf eine voreingestellet E-Mail Adresse geschickt. Und damit keiner einfach die E-Mail Adresse ändern kann, müsste hier ein zweistufiges Verfahren eingeführt werden. Wird eine neue E-Mail Adresse eingetragen, erfolgt eine E-Mail an die alte Adresse mit einem Betätigungslink.

    Wie denkt Ihr darüber?
    Bin ich paranoid oder sollten wir warten bis der erste Account gehackt wurde?
     
  2. madace

    madace Neuer User

    Registriert seit:
    19 Okt. 2004
    Beiträge:
    22
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Die Idee(n) finde ich gut. Schreib sie doch mal an und berichte dann bitte was sie dazu gesagt/getan haben.
     
  3. Marpi

    Marpi Neuer User

    Registriert seit:
    12 Okt. 2004
    Beiträge:
    46
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ich würde mal sagen: jeder der vermutet, dass sein Account missbraucht wird, der sollte wirklich regelmäßig seine outgoing calls überprüfen. so kann man doch am besten feststellen, ob unbekannte nummern angerufen werden.
     
  4. Mr. Spock

    Mr. Spock Neuer User

    Registriert seit:
    19 Aug. 2004
    Beiträge:
    14
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    Würzburg
    Finde ich nicht so gut. Wenn einem die eingetragene E-Mail-Adresse aus irgendwelchen Gründen nicht mehr zur Verfügung steht, z.B. wegen der Einstellung des Dienstes, wäre man ausgesperrt. Besser ist eine Benachrichtigung über die Änderung und ein Link an die alte Adresse, über den man die Änderung rückgängig macht und automatisch zwei neu generierte Passwörter für Website und SIP zugestellt bekommt. Der "Hacker" ist dann erstmal ausgebootet und man kann sich nicht so leicht aussperren.

    Gruß Markus
     
  5. betateilchen

    betateilchen Grandstream-Guru

    Registriert seit:
    30 Juni 2004
    Beiträge:
    12,882
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    am Letzenberg
    hast Du denn mal probiert, Deine email-Adresse zu ändern ? :wink:
     
  6. Tor

    Tor Neuer User

    Registriert seit:
    16 Apr. 2004
    Beiträge:
    37
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ja, die Sicherheit der Sipgate-Passwörter mit 6 Zeichen ist tatsächlich bescheiden. Wer SIP-Nachrichten sniffen kann, hat es recht leicht durch "brute Force" das Passwort herauszufinden. Die Hashberechnung lässt sich bestimmt noch effizienter implementieren als von mir, aber mein Progrämmchen bräuchte nicht mehr als durchschnittlich etwa 2 Wochen auf meinem Athlon 64 3400+, um das Passwort zu knacken.
     
  7. fera

    fera Mitglied

    Registriert seit:
    12 Sep. 2004
    Beiträge:
    443
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Also ich würd mir da nicht so viele Gedanken machen. Letzt endlich ist jeder Schutz so gut wie sein Password. Wenn man ein zufälliges Password benutzt braucht, wie Tor schon meinte, selbst ein starker Prozessor sehr lange, zu lange für einen Sipgate Account. Außerdem lohnt sich das knacken von irgendeinem Account überhaupt nicht...

    Also ich würd mir da nicht so viele Gedanken machen... wählt ein 8 stelliges, zufälliges Password und ihr seit relativ sicher.

    @Tor: Ich glaub der Stromverbrauch von deinem PC ist größer als das was du letzt endlich beim "Knacken" im besten Fall herraus holst.
     
  8. Tor

    Tor Neuer User

    Registriert seit:
    16 Apr. 2004
    Beiträge:
    37
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    @fera: Man kann bei Sipgate das Passwort nicht selbst ändern und es geht ja schon um ein Bisschen mehr als das vorhandene Guthaben auf dem Prepaidkonto. Es mag dich vielleicht nicht stören, dass andere Leute deine Gespräche entgegennehmen können usw, aber ich hätte durchaus was dagegen.
     
  9. Borkk

    Borkk Neuer User

    Registriert seit:
    25 März 2004
    Beiträge:
    141
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    @fera
    Und es ist bestimmt auch super uncool wenn jemand mit Deiner Nummer z.B. eine Bombendrohung oder ähnlichen Unsinn veranstaltet. Wer weiss schon was so einem SkriptKiddy so alles einfällt.
     
  10. Christoph

    Christoph IPPF-Promi

    Registriert seit:
    20 Feb. 2004
    Beiträge:
    6,229
    Zustimmungen:
    5
    Punkte für Erfolge:
    38
    Ort:
    Düsseldorf
    Das Web-Passort kannst Du ändern:

    https://secure.sipgate.de/user/my_account.php?edit=ad

    Geht es um Dein Sip-Passwort, springt der Support sicher schnell ein.
     
  11. Borkk

    Borkk Neuer User

    Registriert seit:
    25 März 2004
    Beiträge:
    141
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Was haltet Ihr von folgendem Vorschlag:

    Web Passwort:
    Dafür ist jeder selbst verantwortlich und sollte ein möglichst sicheres PW vergeben. Ändern kann man das Passwort heute über o.g. Link und man benötigt das alte PW um ein Neues einzugeben. Hier besteht aus meiner Sicht kein Handlungsbedarf.

    SIP Account und Stammdaten:
    Ich fände es gut wenn man im Web Portal nur seine Nummer und seinen Namen sehen kann, damit man auch weiß wo man eingeloggt ist, falls man mehrere Accounts hat. Alle gespeicherten Daten wie E-Mai Adresse, SIP Login, Postanschrift usw kann man sich per Mouseklick an seine gespeicherte E-Mail Adresse senden lassen.
    Falls aus irgendeinem Grund die gespeicherte E-Mail nicht mehr erreichbar ist (Dienst down), kann man im WEB Portal eine neue E-Mail Adresse speichern. !!!! Allerdings benötigt man hierfür dann auch die alte E-Mail Adresse, also genauso wie bei einem Passwortwechsel (Alte -Mail 2x Neue Mail eingeben) Somit kann ein Dritter nicht ohne Kenntnis der alten E-Mail Adresse unbefugt SEINE E-Mail Adresse eintragen um sich die brisanten Daten zuschicken zu lassen.

    Am Wochenende schreib ich mal an Sipgate, könnte mir vorstellen das die offen für konstruktive Kritik sind.
     
  12. Udo

    Udo Mitglied

    Registriert seit:
    20 Feb. 2004
    Beiträge:
    571
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    Düsseldorf
    Bei jedem Gespräch (das über den Provider abgewickelt wird) wird auch die IP mitgeloggt, daher ist das immer nachzuvollziehen wer von wo den Account genutzt hat.
     
  13. klaymen

    klaymen Neuer User

    Registriert seit:
    9 Sep. 2004
    Beiträge:
    57
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ich finde die Idee, das SIP-Passwort per (unverschlüsselter!) E-Mail zu verschicken nicht gut. Wenn mans per Web Frontend anschaut, ist die Sache immerhin verschlüsselt auf dem Netz (SSL). Allenfalls denkbar wäre es, dass man etwa seinen PGP-Schlüssel hinterlegen könnte, um sich so seine Kennung zuschicken zu lassen. Ansonsten würde ich es vorziehen, diese Daten auf der Webseite verfügbar zu haben, so wie es heute ist - gegebenenfalls durch eine wählbare Sicherheitsfrage geschützt.

    Problematischer finde ich die zu kurzen SIP-Passwörter... 6-stellig, das ergibt gerade eben 55 Milliarden Kombinationen, und wenn ein schneller Rechner eine Million in der Sekunde durchtesten kann (nach Abhören eines SIP.Verkehrs), ist man in einem halben Tag durch. Man sollte diese Passwörter auch selber wechseln können (per Webseite, SSL-geschützt, das reicht meines Erachtens).

    Wenn mans ganz sicher haben wollte, dürfte das SIP-Passwort nur mit separater Post verschickt werden (also auf dem Papierweg).
     
  14. Borkk

    Borkk Neuer User

    Registriert seit:
    25 März 2004
    Beiträge:
    141
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Da hast du natürlich recht, damit ist im Grunde an Sicherheit nichts gewonnen.

    Ich denke auf so etwas wird es früher oder später hinauslaufen. Wir stehen ja noch am Anfang, wenn sich SIP als vollwertige Alternative am Markt durchsetzt wird auch das Thema Sicherheit noch stärker betrachtet werden.

    Denkbar wäre z.B. auch ein "SIP-Zertifikat" das der Provider seinem User gibt, welches er auf seinem SIP Endgerät oder Softclient installieren muss.
     
  15. Tor

    Tor Neuer User

    Registriert seit:
    16 Apr. 2004
    Beiträge:
    37
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Aber natürlich nicht. Es gibt unzählige anonyme Möglichkeiten das auch recht anonym zu machen: Internetcafés, WLAN-Hotspots usw.

    Gruß, Tor