Sipgate Accounts hacken ???

[Borkk]

Hallo zusammen,

ein Bekannter hat mir gestern von ein paar merkwürdigen Ereignissen berichtet. Er bekam gestern mehrmals (8-10x) sein Passwort per Mail zugeschickt, es muss also jemand mit seinem Namen die "Passwort vergessen?" Funktion bei Sipgate genutzt haben. Das kann natürlich auch ein Zufall bzw. Fehler eines anderen Users sein, ohne das eine böse Absicht dahinter steckt.

Allerdings hat es mich veranlasst mir mal ein paar Gedanken zur Account Sicherheit von Sipgate zu machen. Es wird bestimmt nicht lange dauern bis der erste Account gehackt wurde und das Guthaben eines ahnungslosen Users abtelefoniert wurde. Der Schaden wird in der Regel zwar zu verkraften sein, allerdings könnte natürlich ein viel grösserer Schaden durch das Vorgaukeln einer falschen Identität entstehen. Immerhin finden man ja in jedem Sipgate Account die kompletten Daten eines Users inkl. des SIP Logins mit Passwort im Klartext.
Ich werde diese Bedenken auch mal an Sipgate kommunizieren und Vorschlagen diese Daten (insbesondere den SIP Login) nicht mehr im Klartext darzustellen. Besser wäre eine Schaltfläche "SIP Login zusenden", wenn man draufdrückt bekommt man die Daten auf eine voreingestellet E-Mail Adresse geschickt. Und damit keiner einfach die E-Mail Adresse ändern kann, müsste hier ein zweistufiges Verfahren eingeführt werden. Wird eine neue E-Mail Adresse eingetragen, erfolgt eine E-Mail an die alte Adresse mit einem Betätigungslink.

Wie denkt Ihr darüber?
Bin ich paranoid oder sollten wir warten bis der erste Account gehackt wurde?

 

[madace]

Die Idee(n) finde ich gut. Schreib sie doch mal an und berichte dann bitte was sie dazu gesagt/getan haben.

 

[Marpi]

Ich würde mal sagen: jeder der vermutet, dass sein Account missbraucht wird, der sollte wirklich regelmäßig seine outgoing calls überprüfen. so kann man doch am besten feststellen, ob unbekannte nummern angerufen werden.

 

[Mr. Spock]

Wird eine neue E-Mail Adresse eingetragen, erfolgt eine E-Mail an die alte Adresse mit einem Bestätigungslink.

Finde ich nicht so gut. Wenn einem die eingetragene E-Mail-Adresse aus irgendwelchen Gründen nicht mehr zur Verfügung steht, z.B. wegen der Einstellung des Dienstes, wäre man ausgesperrt. Besser ist eine Benachrichtigung über die Änderung und ein Link an die alte Adresse, über den man die Änderung rückgängig macht und automatisch zwei neu generierte Passwörter für Website und SIP zugestellt bekommt. Der "Hacker" ist dann erstmal ausgebootet und man kann sich nicht so leicht aussperren.

Gruß Markus

 

[betateilchen]

hast Du denn mal probiert, Deine email-Adresse zu ändern ? :wink:

 

[Tor]

Ja, die Sicherheit der Sipgate-Passwörter mit 6 Zeichen ist tatsächlich bescheiden. Wer SIP-Nachrichten sniffen kann, hat es recht leicht durch "brute Force" das Passwort herauszufinden. Die Hashberechnung lässt sich bestimmt noch effizienter implementieren als von mir, aber mein Progrämmchen bräuchte nicht mehr als durchschnittlich etwa 2 Wochen auf meinem Athlon 64 3400+, um das Passwort zu knacken.

 

[fera]

Also ich würd mir da nicht so viele Gedanken machen. Letzt endlich ist jeder Schutz so gut wie sein Password. Wenn man ein zufälliges Password benutzt braucht, wie Tor schon meinte, selbst ein starker Prozessor sehr lange, zu lange für einen Sipgate Account. Außerdem lohnt sich das knacken von irgendeinem Account überhaupt nicht...

Also ich würd mir da nicht so viele Gedanken machen... wählt ein 8 stelliges, zufälliges Password und ihr seit relativ sicher.

@Tor: Ich glaub der Stromverbrauch von deinem PC ist größer als das was du letzt endlich beim "Knacken" im besten Fall herraus holst.

 

[Tor]

@fera: Man kann bei Sipgate das Passwort nicht selbst ändern und es geht ja schon um ein Bisschen mehr als das vorhandene Guthaben auf dem Prepaidkonto. Es mag dich vielleicht nicht stören, dass andere Leute deine Gespräche entgegennehmen können usw, aber ich hätte durchaus was dagegen.

 

[Borkk]

@fera
Und es ist bestimmt auch super uncool wenn jemand mit Deiner Nummer z.B. eine Bombendrohung oder ähnlichen Unsinn veranstaltet. Wer weiss schon was so einem SkriptKiddy so alles einfällt.

 

[Christoph]

@fera: Man kann bei Sipgate das Passwort nicht selbst ändern und es geht ja schon um ein Bisschen mehr als das vorhandene Guthaben auf dem Prepaidkonto. Es mag dich vielleicht nicht stören, dass andere Leute deine Gespräche entgegennehmen können usw, aber ich hätte durchaus was dagegen.

Das Web-Passort kannst Du ändern:

https://secure.sipgate.de/user/my_account.php?edit=ad

Geht es um Dein Sip-Passwort, springt der Support sicher schnell ein.

 

[Borkk]

Was haltet Ihr von folgendem Vorschlag:

Web Passwort:
Dafür ist jeder selbst verantwortlich und sollte ein möglichst sicheres PW vergeben. Ändern kann man das Passwort heute über o.g. Link und man benötigt das alte PW um ein Neues einzugeben. Hier besteht aus meiner Sicht kein Handlungsbedarf.

SIP Account und Stammdaten:
Ich fände es gut wenn man im Web Portal nur seine Nummer und seinen Namen sehen kann, damit man auch weiß wo man eingeloggt ist, falls man mehrere Accounts hat. Alle gespeicherten Daten wie E-Mai Adresse, SIP Login, Postanschrift usw kann man sich per Mouseklick an seine gespeicherte E-Mail Adresse senden lassen.
Falls aus irgendeinem Grund die gespeicherte E-Mail nicht mehr erreichbar ist (Dienst down), kann man im WEB Portal eine neue E-Mail Adresse speichern. !!!! Allerdings benötigt man hierfür dann auch die alte E-Mail Adresse, also genauso wie bei einem Passwortwechsel (Alte -Mail 2x Neue Mail eingeben) Somit kann ein Dritter nicht ohne Kenntnis der alten E-Mail Adresse unbefugt SEINE E-Mail Adresse eintragen um sich die brisanten Daten zuschicken zu lassen.

Am Wochenende schreib ich mal an Sipgate, könnte mir vorstellen das die offen für konstruktive Kritik sind.

 

[Udo]

Bei jedem Gespräch (das über den Provider abgewickelt wird) wird auch die IP mitgeloggt, daher ist das immer nachzuvollziehen wer von wo den Account genutzt hat.

 

[klaymen]

Ich finde die Idee, das SIP-Passwort per (unverschlüsselter!) E-Mail zu verschicken nicht gut. Wenn mans per Web Frontend anschaut, ist die Sache immerhin verschlüsselt auf dem Netz (SSL). Allenfalls denkbar wäre es, dass man etwa seinen PGP-Schlüssel hinterlegen könnte, um sich so seine Kennung zuschicken zu lassen. Ansonsten würde ich es vorziehen, diese Daten auf der Webseite verfügbar zu haben, so wie es heute ist - gegebenenfalls durch eine wählbare Sicherheitsfrage geschützt.

Problematischer finde ich die zu kurzen SIP-Passwörter... 6-stellig, das ergibt gerade eben 55 Milliarden Kombinationen, und wenn ein schneller Rechner eine Million in der Sekunde durchtesten kann (nach Abhören eines SIP.Verkehrs), ist man in einem halben Tag durch. Man sollte diese Passwörter auch selber wechseln können (per Webseite, SSL-geschützt, das reicht meines Erachtens).

Wenn mans ganz sicher haben wollte, dürfte das SIP-Passwort nur mit separater Post verschickt werden (also auf dem Papierweg).

 

[Borkk]

Ich finde die Idee, das SIP-Passwort per (unverschlüsselter!) E-Mail zu verschicken nicht gut

Da hast du natürlich recht, damit ist im Grunde an Sicherheit nichts gewonnen.

]Wenn mans ganz sicher haben wollte, dürfte das SIP-Passwort nur mit separater Post verschickt werden (also auf dem Papierweg).

Ich denke auf so etwas wird es früher oder später hinauslaufen. Wir stehen ja noch am Anfang, wenn sich SIP als vollwertige Alternative am Markt durchsetzt wird auch das Thema Sicherheit noch stärker betrachtet werden.

Denkbar wäre z.B. auch ein "SIP-Zertifikat" das der Provider seinem User gibt, welches er auf seinem SIP Endgerät oder Softclient installieren muss.

 

[Tor]

Bei jedem Gespräch (das über den Provider abgewickelt wird) wird auch die IP mitgeloggt, daher ist das immer nachzuvollziehen wer von wo den Account genutzt hat.

Aber natürlich nicht. Es gibt unzählige anonyme Möglichkeiten das auch recht anonym zu machen: Internetcafés, WLAN-Hotspots usw.

Gruß, Tor