Morgen ist “Safer Internet Day 2010″ und die Jungs und Mädels vom BSI machen da auch mit:
“Safer Internet Day” (bsi-fuer-buerger.de)

Anlässlich des Safer Internet Day am 9. Februar beantwortet das Bundesamt für Sicherheit in der Informationstechnik (BSI) wieder Fragen rund um das Thema „Ins Internet – mit Sicherheit“. Die kostenlose BSI-Hotline ist von 10.00 bis 17.00 Uhr unter der Rufnummer 0800 274 1000 erreichbar. Außerdem können Interessierte ihre Fragen per E-Mail an fragen[ätsch]bsi-fuer-buerger.de schicken.
(Spamschützchen von mir.)

Also anrufen und Fragen stellen bis die Ohren glühen! :O)


<einschub>
Cross-Site Request Forgery (de.wikipedia.org)

Eine Cross-Site Request Forgery (zu deutsch etwa „Site-übergreifende Aufruf-Manipulation“, meist XSRF oder CSRF abgekürzt) ist ein Angriff auf ein Computersystem, bei dem der Angreifer unberechtigt Daten in einer Webanwendung verändert. Er bedient sich dazu eines Opfers, das ein berechtigter Benutzer der Webanwendung sein muss. Mit technischen Maßnahmen oder zwischenmenschlicher Überredungskunst wird hierzu aus dem Webbrowser des Opfers ohne dessen Wissen und Einverständnis ein kompromittierter HTTP-Request an die Webanwendung abgesetzt. Der Angreifer wählt den Request so, dass bei dessen Aufruf die Webanwendung die vom Angreifer gewünschte Aktion ausführt.

</einschub>


“CERT-Bund — Das Computer-Notfallteam des BSI” (cert-bund.de)

CERT-Bund hat das Ziel als zentrale Anlaufstelle für präventive und reaktive Maßnahmen mit Bezug auf sicherheits- und verfügbarkeitsrelevante Vorfälle in Computersystemen zu wirken.

Leider wird dort kein RSS-Feed mit den News angeboten, aber zumindest einen Newsletter gibt es. Also flux angemeldet und geschaut was noch an Services angeboten wird. Naja, einen Service hatte ich nicht erwarten — die Möglichkeit mit nur einem Klick den Account wieder zu löschen. ;O)

Wenn man dort seinen Account wieder löschen möchte:

Wenn Sie sich vom WID-Portal deregistrieren, werden sämtliche in Ihrem Profil enthaltenen Daten (persönliche Daten, Suchprofile & Abonnements) gelöscht.

Aber…

Ist jemand eingeloggt und würde auf eine präparierte Website surfen, so könnte er — ohne es zu wollen — seinen Account löschen, denn es gibt vor dem Löschen keine Nachfrage oder Warnung. So etwas nennt sich dann Cross-Site Request Forgery. In diesem Fall ist es nicht ganz so gefährlich… es sei denn… das Opfer verlässt sich auf die Meldungen zu Sicherheitslücken nur aus dieser einen Quelle.

Hier habe ich mal wieder einen Screencast (diesmal zu groß um es hier in den Blog einzufügen) dazu erstellt:
http://meingottundmeinewelt.de/wp-content/videos/cert-bund_de-csrf.html

In dem Screencast sieht man:

• Wie ich mit einer Wegwerf-E-Mail-Adresse einen Account erstelle.
• Mich einlogge um die Registrierung abzuschließen und dabei ein neues Passwort vergebe.
• Mich wieder auslogge und wieder einlogge, damit man sieht dass der Account auch wirklich besteht.
• Dann rufe ich, während ich eingeloggt bin, ein HTML-Formular auf, welches den Account löscht.

Das Formular zum löschen sieht etwas sonderbar aus, da ausser der URL in action= keine Parameter an die Webseite übermittelt werden. Aber der Aufruf nur der URL alleine in einem Link führt nicht zur Löschung des Accounts.


Lücken zu CSRF werden von Angreifern gerne benutzt um z.B. Zugangsdaten zu ändern, Passworte und/oder E-Mail-Adressen. Administratoren könnten über solch eine Lücke auch ungewollt neue Administratoren im System anlegen. Die Möglichkeiten CSRF auszunutzen sind je nach System sehr erschreckend bzw. für einen Angreifer sehr verlockend.


Die Jungs vom BSI sind irgendwie humorlos. :O)

Im vergangenen Jahr habe ich dutzende von E-Mails zu Sicherheitslücken versendet u.a. auch an fast alle Bundesministerien. Meine Beispiele habe ich zum Teil mit einem JavaScript versehen, welches die Lücken demonstrierte. Immer wenn eine Website vom Bund betroffen war, kamen die Jungs vom BSI und schauten sich an was ich da wieder ausgebrütet hatte. Wahrscheinlich waren die schon genervt wenn sie mal wieder eine weitergeleitete E-Mail bekamen und mich als ursprünglichen Absender erkannten. “Oh nein, nicht der schon wieder!” Naja, auf jeden Fall haben sie dann eines der JavaScripte immer und immer wieder aufgerufen, wo ich nicht verstanden habe warum?! Sie hätten nun einfach nachfragen können, wenn es irgendwelche Unklarheiten gibt, aber nein, wieder und wieder aufrufen und grübeln… ;O)

Wenn ich glaube das meine Hinweise angekommen sind und meine Beispiele nicht mehr benötigt werden, dann lösche ich diese, damit da nicht doch mal irgendwelche Suchmaschinen… Es gibt da nämlich auch so Spezialisten, die haben offensichtlich eine Erweiterung oder Toolbar oder was auch immer, von Alexa installiert und dann kommt plötzlich der Bot und kennt den eigentlich nicht auffindbaren Link zu meinem Beispiel.

Zurück zu dem JavaScript und dem BSI. Mittlerweile hatte ich das Beispiel gelöscht, aber trotzdem kam da noch immer der Mensch vom BSI und suchte nach dem Script… Jaja, ich gebe es ja zu, ich bin frech! :O) Also habe ich das komplette Beispiel inkl. dem JavaScript gezippt und an das BSI per E-Mail geschickt. Am darauf folgenden Tag und auch an den nächsten Tagen kam niemand mehr vom BSI um das Script zu suchen, also war auch diese E-Mail an den richtigen Mitarbeiter weitergeleitet worden. Ob ich eine Antwort bekam? Nein, natürlich nicht. Ich nehme es mit Humor. Bei den BSI-Jungs muss ich immer an die Men in Black denken: “Wir haben keinen Humor, von dem wir wüssten.”

Wer in der IT-Security arbeitet und keinen Humor hat, der sollte sich einen anderen Job suchen! :O)

aber dies werde ich so lange fortführen bis Ihr aufwacht!

Mein Beispiel ist natürlich offensichtlich eine Manipulation, aber was hält einen Kriminellen davon ab seine Scareware (de.wikipedia.org) über diese Lücke unters Volk zu bringen? NICHTS!

“Symantec: Cyberkriminelle verschrecken Nutzer, um ihnen dann gefälschte Sicherheitssoftware anzudrehen” (symantec.com)

München, 20. Oktober 2009 – Spiel mit der Angst um des Profits willen – Cyberkriminelle schüren die Furcht bei Anwendern vor einer Malware-Infektion und verleiten sie dadurch zum Kauf gefälschter oder bösartiger Sicherheitssoftware. Dies belegt der neue Symantec-Sicherheitsbericht, der Schadprogramme unter die Lupe nimmt, die sich als seriöse Sicherheitssoftware ausgeben. Diese gefälschten Programme bringen oft gar keinen Nutzen. Im Gegenteil – sie infizieren den Rechner unter Umständen mit neuem Schadcode. Die Daten für den aktuellen Report hat Symantec zwischen Juli 2008 und Juni 2009 erhoben.

Diese XSS-Lücke ist alt. Bereits im April letzten Jahres habe ich Symantec Hinweise dazu geschickt. Damals wurde auch dafür gesorgt, dass meine Beispiele nicht mehr funktionierten. Zwar kam keine Rückmeldung, aber die zeitliche Nähe zwischen meinen Hinweisen und dem Versuch die Lücke zu schließen lässt mich vermuten, dass meine Hinweise der Grund waren. Sollte dieser Versuch nur dafür sorgen dass ich Ruhe gebe? Da muss ich Symantec enttäuschen, ich werde nicht müde mit dem Finger so lange in der Wunde zu bohren, bis das Loch wirklich geschlossen wird.