Ich schrieb ja bereits in “Bugreports und die häufigste Reaktion” über einen ‘ or ‘1′=’1-Fehler, in einem Portal einer großen Stadt und darüber das die Betroffenen meist das Loch stopfen, und ihnen danach nicht einmal ein “Danke” entfleucht. Vielleicht sollte ich es so machen wie der CCC. Wenn ein Bug gefunden wurde, alle Daten absaugen (mehr als 40.000) und dann Pressemitteilungen und PDF versenden und mitteilen wie gut man ist…

---

Da meine Bugreports per E-Mail Monologen gleichen, kann ich diese Monologe auch hier führen – wenn ich weiß daß das Loch gestopft wurde.

Die Betroffene WebSite ist eine Unterseite von berlin.de, also eine Seite des Berliner Senats.

Der Link zur Administration-Seite war schnell gefunden und der erste Versuch sich einzuloggen gelang. Unglaublich! ‘ or ’1′=’1 … Wer im Netz rummacht und die Usereingaben ungefiltert an Datenbanken schickt, sollte in Zukunft nur noch am C64 arbeiten dürfen und an Computern die nur unter 127.0.0.1 erreichbar sind.

Nach dem Login war ich als der erste User im System angemeldet. In der Regel ist dies der Superuser. Mit entsetzen habe ich dann feststellen müssen das die Passworte der registrierten User im Klartext angezeigt werden. In dem System sind 200 bis 250 User registriert. Man könnte nun denken das dies eine sehr geringe Anzahl ist und mit den 40.000 vom CCC nicht konkurrieren kann. Aber weit gefehlt. Die Qualität dieser User ist eine vollkommen andere:

Als ein Instrument der MOE-Inititative der Berliner Senatskanzlei bietet die Internetdatenbank MOEPlus allen Ost-West-Akteuren der Region Berlin-Brandenburg die Möglichkeit, kostenlos ihre Kompetenzen im Bereich der Zusammenarbeit mit mittel- und osteuropäischen Staaten übersichtlich darzustellen, Ansprechpartner zu vermitteln und – bei Interesse – über eine Partnerbörse Kooperationen anzubieten und zu suchen.

Registrierte User des Systems kommen aus verschiedenen Bereichen: Berliner Senat, Firmen, Kultur, Politik, Polizei, Universitäten, Presse, Messe, etc.

Ich habe mir dann auf der WebSite den verantwortlichen Ansprechpartner rausgesucht und dieser Person eine E-Mail geschickt, mit einem kleinen Screenshot aus dem Inneren des Systems, damit mir geglaubt wird.

Es verstrichen ca. 36 Stunden, nach meiner E-Mail, bis das “Administrationssystem” per htaccess gesperrt wurde. In einem System mit mehreren hundert Usern kann dies aber nur eine Notmaßnahme sein, da sich die User jetzt zweimal einloggen müssen. Einmal müssen sie sich mit den Zugangsdaten zum htaccess einloggen, um die Anmeldeseite zum System angezeigt zu bekommen und dann müssen sie sich nochmal in das eigentliche System einloggen.

Wie ich bereits erwartet hatte kam keine Antwort aus Berlin.

Loch gestopft – Problem gelöst?

Nein, ein ganz eindeutiges NEIN!

Der htaccess-Schutz kann nur der erste Schritt einer Kaskade von Maßnahmen sein die nun folgen müssen:

• Alle registrierten User des Systems müssen benachrichtigt werden, das ihr Passwort u.U. öffentlich geworden ist und das sie dieses Passwort, sofern sie es auch noch in anderen Systemen benutzen, dort sofort ändern müssen.
• Die Passworte in dem System müssen alle ausgetauscht werden.
• Da ein Angreifer sich als Superuser anmelden konnte, konnte er sicher auch neue User anlegen. Aus diesem Grund muß geprüft werden ob es neue User im System gibt.
• Wer ‘ or ‘1′=’1-Fehler macht der prüft auch nicht die per Admin hochgeladenen Dateien auf Gültigkeit. Es würde mich jetzt nicht wundern wenn ein Angreifer ohne Probleme vom Server ausführbare Scripte (Perl, PHP, etc.) hochladen konnte. Also auch hier, prüfen ob es neue Dateien im System gibt.
• Kann man Datei- und Verzeichnislisten einsehen und evtl. Dateien sogar runterladen oder umbenennen?
• Gibt es die Möglichkeit, durch Manipulation einer URL, Dateien in andere Systeme hochzuladen oder in Bereiche vorzudringen die durch falsche Rechtevergabe nun einzusehen sind?
• Das System muß auch auf SQL-Injections geprüft werden, die evtl. auch andere Systeme in dem Netzwerk betroffen hat.
• Abhängig von den Ergebnissen der vorherigen Maßnahmen muß man auch prüfen ob irgendwelche Viren, Würmer oder Trojaner in das System gelangt sind, die sich nun per System-Mail verbreiten.
• Welche Firma hat den Fehler ins System gebracht? Wo hat diese Firma sonst noch versucht zu programmieren? Auch diese Systeme müssen alle überprüft werden.
• Unter schlechten Umständen muß das komplette System überarbeitet oder gar durch ein sicheres ausgetauscht werden.
• Welche Person hat das System installiert? Was hat diese Person noch alles installiert? Benutzt diese Person evtl. immer das gleich Passwort bei Installationen?
• …

Welche Möglichkeiten ein Angreifer hatte habe ich natürlich nicht ausprobiert. Also ob man wirklich Dateien hochladen konnte oder neue User anlegen. Nachdem ich den ‘ or ‘1′=’1-Fehler gefunden hatte war mir schon klar das in dem System mehr als ein Fehler steckt. Und ohne Auftrag mag ich in ein System nicht zu sehr eindringen – ich sag nur Hackerparagraph.

---

Um TNS Infratest vorzuführen hätte es auch ausgereicht nur 5 Datensätze zu sichten, keine 40.000… da werde ich dann wohl doch nicht die Praktiken des CCC annehmen.