Auf einem neuen Blog werde ich meine Funde an unsicheren WebSites veröffentlichen. Es werden dort nur WebSites genannt, deren Betreiber seit mehreren Monaten über die Lücken Kenntnis haben, aber nichts dagegen unternehmen.

• Mir wurde in E-Mails für meine Hinweise gedankt, aber trotzdem bestehen die Lücken fort.
• Es wurden mehrere E-Mails ausgetauscht, in denen ich Hinweise zur Behebung der Lücken gab, aber trotzdem bestehen die Lücken fort.
• Ich sehe das meine PoC-Scripte aufgerufen wurden, aber trotzdem bestehen die Lücken fort.

(PoC = Proof of Concept / Machbarkeitsnachweis)

Die Betreiber können sich also nicht damit rausreden, das meine Hinweise vom Spamfilter gefressen und ungelesen gelöscht wurden.

Ich versuche fair zu sein und warte 2 bis 3 Monate bis zur Veröffentlichung. Wenn ein WebSite-Betreiber der Meinung ist, das die von mir gemeldeten Lücken nicht wirklich sicherheitsrelevant sind, so kann er auch nichts gegen die Veröffentlichung dieser haben.

Ein Betreiber darf der Meinung sein das die von mir genannten Lücken nicht kritisch sind – die Gedanken sind frei – aber er darf sich dann nicht beschweren wenn ich versuche etwas Aufklärungsarbeit zu leisten. Wenn ich Kenntnis von Sicherheitslöchern habe, so fällt es mir doch sehr schwer, andere vorsätzlich in diese Löcher stürzen zu lassen – deswegen der neue Blog.

Es geht nur um die Aufklärung des Besuchers, nicht um das Anprangern von Betreibern.

---

Web Security Scanner

Für etwas mehr Sicherheit im Internet
http://wss.mc0.de/

http://wss.mc0.de/sinn-und-zweck/

Sinn und Zweck

Worum geht es hier?

Es gibt sehr viele Websites die stark frequentiert sind und eklatante Sicherheitsmängel aufweisen. Trotz Hinweisen zu den Lücken, weigern sich die Betreiber den Schutz ihrer Besucher ernst zu nehmen und die Lücken zu schließen.

Viele Internetbenutzer können nicht einschätzen an welchen Stellen ihnen persönliche Daten entwendet werden können. Sie können nicht beurteilen welcher Linkaufruf zu einer regulären URL führt und welcher z.B. per Cross-Site Scripting, Cross-Site Request Forgery oder SQL-Injection mit fremden, unsicheren, Inhalten infiziert ist.

Per SQL-Injection kann es auch möglich sein, die persönlichen Daten (Passwort, E-Mail-Adressen, Bankkonto-, Kreditkarten-Daten, etc.) von den Benutzern einer Website auszulesen. Oder ein Angreifer kann legitim aussehende Inhalte in eine Seite einfügen, über die er z.B. Schadsoftware verteilt.

Wenn zum Beispiel eine reflektive XSS-Lücke besteht, so sollte ein Besucher auf die URL achten die in seinem Browser angezeigt wird, wenn er einem Link aus einer E-Mail, einem Chat oder einer fremden Website gefolgt ist. Er sollte evtl. ganz davon absehen fremden Links zu seiner bevorzugten Website zu folgen und die Website nur direkt über die Hauptdomain anwählen.

Wir wollen die Benutzer informieren, damit sie hoffentlich selber Gefahren einschätzen können und Maßnahmen zum Selbstschutz ergreifen.


Worum geht es hier nicht?

Es geht hier nicht darum die Betreiber von Websites an den Pranger zu stellen, sondern vielmehr darum, das die Benutzer einer Website darüber informiert werden, welche Sicherheitslücken sie bei der erwähnten Seite beachten sollten.


Vorgehensweise

Wir werden hier Lücken die uns zur Kenntnis gelangen passwortgeschützt einstellen. Der Betreiber der Website wird über die Lücke von uns informiert und nur er wird das Zugangspasswort erhalten, damit er sich von dem Vorhandensein der Lücke überzeugen kann.

Sollte der Betreiber der Website die Lücke nicht schließen wollen, so werden wir Informationen zu der Lücke für alle einsehbar hier veröffentlichen. Wir werden dabei aber keine Details veröffentlichen die ein Angreifer benutzen könnte um die Lücke zum Schaden anderer auszunutzen. Wir werden nur so weit Informationen veröffentlichen, damit die Benutzer der Website sich selber einen Eindruck verschaffen können, ob sie weiterhin die Website benutzen möchten oder ob sie evtl. den Betreiber um Behebung der Lücke bitten.

und das sind definitiv noch viel zu viele!

“Nur 18 Prozent der Deutschen gehen online zum Amt” (golem.de)

Da surft man einfach die Startseite des Bundeslandes Schleswig-Holstein an und wird gleich mit einer Fehlermeldung begrüßt.

schleswig-holstein.de
(Ab und an wird man auch auf die richtige Startseite weitergeleitet.)

Etwas Cross-Site Scripting gefällig?

enrichment.schleswig-holstein.de

faecherportal.schleswig-holstein.de

schulmedien.schleswig-holstein.de

Aber nicht nur wenn es um Bildung geht ist man sehr sorgfältig, was die Sicherheit angeht:

polizei.schleswig-holstein.de

Boah, da sind meine Daten ja sowas von sicher, das ich doch gerne alles den Behörden online gebe und in Zukunft mein Behördenzeuch nur noch per Internet regeln werde.


Das waren meine Funde nach nur wenigen Minuten!

Das es sich hier in den Beispielen nur um Seiten aus Schleswig-Holstein handelt bedeutet NICHT das die anderen Bundesländer oder gar die Bundesseiten sicherer wären. (Da ich immer links bzw. oben anfange… SH ist halt ganz oben. <g>) Überall, wirklich überall findet man Lücken, die zum Ausforschen von persönlichen und vertraulichen Daten missbraucht werden können oder wo ein Angreifer eigene Inhalte einfügen kann, um z.B. Schadsoftware unters Volk zu bringen.

Die gleichen Loser die diesen Bockmist bauen, haben Zugriff auf die Daten der Bürger.

Da werden Mediendesigner beauftragt, Portale für Bund, Länder und Kommunen zu entwickeln – Leute die evtl. von Design etwas Ahnung haben und wenn man viel Glück hat, auch noch eine gescheite Benutzerführung zustande bringen, aber von der IT-Sicherheit haben diese Leute keine Ahnung. Ihr Augenmerk ist eher auf das äußere Erscheinungsbild gerichtet und nicht auf die Innereien eines Web-Servers. Ok, IT-Sicherheit ist auch nicht unbedingt ihr Fachgebiet, aber warum wird diesen Designern nicht zwingend ein IT-Mensch zugewiesen, der sich um die Sicheheit kümmert, damit solche saublöden Fehler nicht passieren?

Solange sich Bund, Länder und Kommunen nicht wirklich um die Sicherheit der Daten und der Kommunikationswege kümmert, kann man jedem Bürger nur raten, so wenig Daten wie möglich den Behörden zu geben und möglichst auf Internet, E-Mails, etc. zu verzichten.