Der englische Programmierer David Litchfield, Mitbegründer des Softwarehauses Next Generation Security Software Ltd (NGSS) hat ein White Paper über eine Sicherheitslücke in Microsofts SQL Server veröffentlicht. Darin wurde beschrieben wie die Passwörter der Benutzer geknackt und so ein Zugang zur Datenbank möglich wäre. Diese Meldung hat sich jedoch als weitaus ungefährlicher als in den Medien dargestellt erwiesen. Keine Speicherung - daher kein Knacken Litchfield war davon ausgegangen, dass die Passwörter aller Benutzer zwar verschlüsselt, aber für alle Anwender sichtbar in der Datenbank abgespeichert sind. Allerdings wird die in dem White Paper beschriebene Vorgehensweise schon seit Jahren nicht mehr angewandt. Stellungnahme von Microsoft Der Softwarekonzern veröffentlichte eine Stellungnahme zur "Sicherheitslücke in SQL Server". Hier im Original: "Gestern (Dienstag, Amn. der Red.) erschien in verschiedenen Medien eine Meldung, nach der sich angeblich SQL-Passwörter problemlos knacken ließen. Die Annahmen von Herrn Litchfield sind korrekt, aber im Text sind die notwendigen Voraussetzungen nicht oder zumindest nicht in der erforderlichen Tiefe wiedergegeben: Ausschließlich Datenbank-Administratoren können mit der beschriebenen Methode die Passwörter der Anwender knacken. Ob dies jedoch ein Sicherheitsloch ist, darf bezweifelt werden. Dennoch sind wir uns dieser Situation bewusst und arbeiten daran, diese Schwäche aus SQL Server zu entfernen. Darüber hinaus gibt es einige Einschränkungen, die notwendig sind, um die Passwörter erfolgreich auszuspionieren: § SQL Server MUSS im Mixed Mode laufen. Das heißt, die Anmeldung erfolgt direkt an der Datenbank. Diese Methode ist von Microsoft nicht empfohlen. Wir empfehlen die Authentifizierung über Windows. Damit gibt es keine Anwender-Passwörter, die zusätzlich in der Datenbank abgelegt sind. Es ist kein Inhalt vorhanden, der geknackt werden könnte. § Selbst wenn die Datenbank im Mixed Mode läuft, benötigt der Anwender Administratoren-Rechte, um die Passwörter der Anwender zu knacken. Unter der Annahme, daß es darum geht, Daten auszuspionieren oder zu verändern, stellt sich die Frage, ob dies mit Administatoren-Rechten nicht weitaus einfacher und effizienter zu bewerkstelligen ist als mit den Passwörtern der Anwender. § Der Administrator kann darüber hinaus sowieso sämtliche Anwender-Passwörter in jeden beliebigen Wert ändern. § Ein weiterer Aspekt ist, dass Litchfields Methode einfach Passwörter 'ausprobiert', jede erdenkliche Reihenfolge von erlaubten Zeichen. Je stärker der Mix aus Buchstaben und anderen zulässigen Zeichen ist, desto aufwändiger ist die Methode, die Herr Litchfield vorschlägt. Und dies gilt immer unter der Voraussetzung, dass der Angreifer bereits Administratoren-Rechte besitzt".(red)