“phpBB coughs up names, addresses, passwords” (theregister.co.uk)

“Einbruch in Webseite von Boardsoftware phpBB” (heise.de)

Was war da?

• Datenbank der WebSite von Forensoftware phpBB gehackt.
• Hacker kam über PHPList (Software für Newsletter) rein, was nichts mit der Forensoftware zutun hat. Es ist fremde Software, auf die sich die Jungs und Mädels von phpBB verlassen haben.
• Hacker konnte E-Mail und Passworthashes von 400.000 Usern runterladen.
• PHPList verwendet MD5 zum verschlüsseln der Passworte.
• PHPList aber dumm, weil MD5 ohne Salt benutz wird.
• Hacker kam durch Hashvergleiche an 28.000 Passworte…
• weil User dumm und einfache Passworte vergeben.

Und liebe Kinder was lernen wir aus diesem Vorgang?

• An die großen von euch:
  1. Passworte niemals recyceln
  2. Niemals zu einfache Passworte verwenden:
     nicht 123456
     auch nicht 12345678
     und schon gar nicht passwort
• und an die kleinen:
  1. Passworte niemals im Klartext in einer Datenbank speichern.
  2. MD5, SHA1, etc. immer nur mit Salt verwenden.

Also manchmal komme ich mir hier wirklich wie im Kindergarten vor… Immer und immer wieder die gleichen Fehler. Muß denn erst jeder Entwickler selber auf die Schnauze gefallen sein um etwas dazuzulernen? Lernen die Informatiker denn gar nichts sinnvollen, für die Praxis, an den Unis?

“Unternehmen werden zum größten Sicherheitsrisiko ihrer eigenen Kunden” (silicon.de)

Die Zahl der Hacker-Angriffe, die im vergangenen Jahr von seriösen Unternehmens-Websites ausgingen, ist laut Report alarmierend angestiegen. Unternehmen werden somit zum Sicherheitsrisiko für ihre eigenen Kunden.
(…)
Ende 2008 waren 53 Prozent der über das Jahr hinweg aufgedeckten Schwachstellen noch immer nicht von den betroffenen Herstellern beseitigt. Etwa 44 Prozent der Schwachstellen aus 2007 und 46 Prozent aus 2006 waren Ende 2008 noch immer nicht gepatched.

Wundern mich diese Zahlen? NEIN!

Jeden Tag versende ich E-Mails mit Hinweisen zu Sicherheitslücken. Ja! Jeden Tag! Sehr häufig passiert nichts! Die Betreiber der WebSites meinen wohl die Lücken einfach aussitzen zu können, abwarten und nicht drüber reden, erst gar nicht dran denken, dann geht’s schon vorbei…


In “Ignorante WebSite-Betreiber” schrieb ich am 23. Januar darüber das ich in einem CMS eine Lücke gefunden habe, bei der man sich mit ' or 1=1 -- als Superadmin einloggen kann. Die hatten sogar auf meine E-Mail geantwortet und mir mitgeteilt das sie in die alte WebSite nichts mehr investieren wollten, um die Lücke zu schließen, da sie bald ein neues CMS bekommen. Bisher haben sie auch wirklich nichts investiert, nicht einmal zwei Dateien für einen .htaccess-Schutz (de.wikipedia.org) – die Lücke besteht noch immer, noch immer kann man alles was der Superadmin kann, auch Dateien hochladen… wie wärs mal mit einer r57-Shell?


In meinem Beitrag vom 15. Januar, “Online-Umfrage plaudert etwas viel“, schrieb ich von einem großen Verlag der ein Umfrage-Script nutzt welches sehr mitteilsam ist. Auch hier hat man sogar geantwortet und wollte sich die Sache anschauen – und? – nichts!

Ich hatte denen sogar ein kleines Demo gebaut, um das Problem zu veranschaulichen – sie haben sich das Demo nicht einmal angesehen. Nun gut, also kann das nur bedeuten das sie das Problem nicht interessiert bzw. das es als unwichtig abgehakt wurde.

Bei denen die sich da so gar nicht für (eigene) Sicherheitslücken interessieren handelt es sich um Gruner + Jahr (guj.de). Wenn bei irgend einer Firma ein Datenleck vorliegt dann sind sie die ersten, die darüber berichten und das sträfliche Versagen der Konzerne wie Telekom oder Bahn anprangern. Es ist ja so leicht über andere Dreck auszuschütten.

Was glauben die warum ich sie auf die Lücke hingewiesen habe? Na vielleicht übertreibe ich auch und das Leck ist gar kein Leck und ich sehe einfach nur grüne Mäuse.

Hier mein Demo, da kann jeder selber entscheiden ob ich paranoid bin oder ob die von GuJ einfach nur ignorant sind: Demo zur FTD-Umfrage. *

Das Demo besteht aus zwei Frames. Im linken Frame sind Links und eine Beschreibung zu finden und im rechten Frame die Originalseite von guj-direct.de. Der Hack daran ist nur, das ich eine Session-ID vorgebe, was aber entscheidend ist um später die persönlichen Daten auslesen zu können.

Ein Angreifer muß nur Werbung für die Umfrage machen, in den Link zur Umfrage baut er seine Session-ID ein und schon kann er die persönlichen Daten derer auslesen die seinen Werbelink angeklickt und an der Umfrage teilgenommen haben.

Und hier noch zwei weiterführenden Links (für die an der Technik interessierten):
Session Fixation (de.wikipedia.org)
Session-Angriffe – eine Analyse an PHP (erich-kachel.de)


Im Normalfall schreibe ich nicht wer, wo eine Lücke hat, aber Gruner + Jahr ist ein Ausnahmefall. Diese Journalisten kotzen mich einfach an. Über die Verfehlungen anderer schreiben sie genüsslich, um ihre Auflage bzw. PIs nach oben zu treiben, möglichst noch mehrteilig und mit Bilderstrecke, aber wenn sie selber ein Datenleck haben dann ignorieren sie es.

Wir werden nun wieder tage- wenn nicht gar wochenlang über die Bahn lesen und was alles mit den Daten der Mitarbeiter geschehen sein könnte – aber das Umfrage-Script wird entweder einfach kommentarlos abgeschaltet oder man ignoriert das Problem weiterhin – außer dem Korinthenkacker hat es ja eh niemand bemerkt.


*Update:
Gruner und Jahr hat den Bug im Script gefixt, nun wird eine vorgegebene Session-ID durch eine echte Session-ID ersetzt.