Relaunch bundestag.de inkl. alter und neuer Lücken
Donnerstag, 13. August 2009, 18:02 Uhr | Autor: ich
Seit mehreren Jahren versende ich per E-Mail Hinweise zu Sicherheitslücken in Websites, in den vergangenen 12 Monaten fast täglich. Sehr oft ist es einfach nur so, dass ich ein Produkt, eine Dienstleistung oder eine Information suche. Wenn ich dann die entsprechenden Websites besuche, so kann ich einfach nicht mehr an einen Eingabeschlitz vorbei ohne auch nur einmal ein ">xss eingetippt zu haben, um zu schauen was passiert.
Von der Einmannfirma bis zum Großkonzern, von NGOs und Regierungen bis zu Geheimdiensten, habe ich schon alle mit meinen Hinweisen genervt. :O)
Auf meiner Rangliste der am häufigsten angeschriebenen Organisationen stehen ganz eindeutig die Jungs und Mädels, die für den Bund arbeiten. Meine Hinweise landen dann immer beim BSI, die wohl am meisten genervt sind, da sie von allen Bundesbehörden mit meinen E-Mails versorgt werden: “Oh nein, nicht der schon wieder!”
Mittlerweile habe ich schon einen recht guten Überblick über die vielen Seiten die vom Bund zu den verschiedensten Themenbereichen angeboten werden und weiß auch recht gut, wo immer und immer wieder Lücken auftauchen.
<ein_winkewinke_an>
bfr.bund.de, bmfsfj.de, bmj.de, bmvbs.de, bmz.de, bund.de, bundesarchiv.de, bundesbank.de, bundesnetzagentur.de, bundesrat.de, bundesrechnungshof.de, bundestag.de, bverwg.de, deutschland-online.de, etc., etc.
</ein_winkewinke_an>
Eine Antwort vom Bund bzw. deren Mitarbeiter fällt, wenn überhaupt eine kommt, meist sehr kurz aus:
Wir arbeiten derzeit an einem Redesign der Seite und werden den Fehler dann beheben.
Es war/ist natürlich nicht nur ein Fehler in der Website zu finden, was die angeschriebenen wohl meinen, weil ich nur ein Beispiel nenne. Ich schreibe aber immer dazu, dass es nur ein Beispiel ist und dass das ganze System auf Lücken untersucht werden muss. Und wie man schon vermuten kann: Nach dem “Redesign” hat sich an den technischen Lücken nichts geändert. (Es war in diesem Fall nicht bundestag.de.) Wenn man nur eine neue Tapete an die Wand klebt, so ist der Schimmel darunter, natürlich noch immer zu finden.
Manchmal lassen sich die Leute auch zu etwas mehr Text herab:
Wir haben das von Ihnen geschilderte Problem nachvollzogen. Erste Maßnahmen haben leider noch nicht zu dem gewünschten Erfolg geführt und die Behebung wird noch etwas Zeit in Anspruch nehmen.
Nach mehr als 3 Monaten haben die Jungs das Problem nicht in den Griff bekommen. Es besteht eine XSS-Lücke in Verbindung mit einem Session-Cookie, den man per URL vorgeben kann und der auch nach mehr als 360 Minuten Inaktivität noch immer nicht vom Server gelöscht wurde. Wenn man einen Link nur mit dem Session-Cookie in der URL an einem anderen Computer aufruft, so kann man noch immer die injizierten fremden Inhalte nutzen. ;O)
Gestern gab es einen Relaunch von bundestag.de, woraufhin ich dorthin eilte (zum Glück nur ein paar Mausklicks entfernt) und mir das – sorry, aber ich muss es so sagen – ELEND angeschaut habe.
Nur ganz kurz etwas zum Design:
Auch wenn die neuen Seiten keinen Designpreis gewinnen würden, so gefallen mir diese doch ganz gut. Über die Usability, Schriftgrößen, Navigation, etc. werde ich mich hier nicht auslassen, das können andere sehr viel besser beschreiben.
Bei meinem ersten Besuch gestern fielen mir all meine Hinweise zu Sicherheitslücken ein, die ich in den vergangenen Monaten an die Jungs und Mädels geschrieben habe, die Websites betreuen die irgendwie zu der Domain bundestag.de oder sonst zum Bundestag gehören.
Nach weniger als einer Minute fand ich die ersten Lücken zu Cross-Site Scripting und nur ein paar Minuten später kamen auch Fundstücke zum Thema Session Fixation, Cross-Site Request Forgery und SQL-Injection hinzu.
Wenn ich mir diese Lücken anschauen und dabei bedenke, wie viele Hinweis-E-Mails ich genau zu diesen Lücken verschickt habe, so fehlt mir jegliches Verständnis dafür, dass man so hartnäckig den Sicherheitsaspekt ignoriert.
Passend zum Thema:
“Microsoft kannte kritische 0-Day-Lücke seit über zwei Jahren” (heise.de)
Wie sich jetzt herausstellt, war die beim vorigen Patchday geschlossene, kritische Sicherheitslücke in der Office-Webkomponente (OWC) Microsoft bereits seit über zwei Jahren bekannt. Erst nachdem sie aktiv ausgenutzt wurde, ging es auf einmal schnell und innerhalb eines Monats stand der Patch bereit.
Vielleicht sollte ich bei bestimmten Organisationen gar nicht so lange fackeln und gleich in die Welt posaunen, wo man, welche Lücken, wie ausnutzen kann. Es gibt viele Firmen, auch wenn sie nicht auf meine Hinweise antworten, die die genannten Lücken recht schnell fixen. Warum Hinweise an Bund und Länder oftmals nicht beachtet werden, liegt wohl daran, dass sich in den Behörden niemand wirklich verantwortlich fühlt.
Wahrscheinlich werde ich nun wieder beobachten, wie ein Dienstleister hektisch meinen ganzen Blog durchpflügt und versuchen wird, in wenigen Tagen alle von mir genannten Lücken zu schließen. Warum immer auf die harte Tour? Warum nicht einfach mal die Hinweise ernst nehmen und abarbeiten, anstatt sie einfach zu ignorieren?
Donnerstag, 13. August 2009, 21:49 Uhr
Wurde vom Dienstleister nicht nur http://www.bundestag.de gemacht, die anderen Webseiten von Dritten?!
Freitag, 14. August 2009, 10:01 Uhr
Ich habe ganz bewusst nicht den Dienstleister erwähnt, der im Impressum verschiedener Domains genannt wird, da ich das eigentliche Problem bei den Mitarbeitern vom Bund sehe.
Man kann wohl davon ausgehen, wenn ein Dienstleiter von seinem Auftraggeber auf eine Lücke hingewiesen wird, dann wird dieser sofort tätig und wird alles unternehmen, damit sein Kunde zufrieden gestellt wird.
Es kommt mir so vor, als ob meine Hinweise nie bei dem Menschen landen, der wirklich an den richtigen Schrauben drehen kann. Wo es nun im Detail hakt weiß ich natürlich nicht. Ich weiß nur das meine E-Mails ankommen, da ich nicht nur automatische Antworten bekomme und da ich sehe, dass sich die Jungs und Mädels vom BSI die Lücken angeschaut haben.
Vielleicht warten die Menschen in den Bundesbehörden auf eine Einschätzung und Handlungsanweisung vom BSI, die vielleicht überlastet sind und mehrere Monate benötigen um einen Vorgang abschließen zu können.
Ich weiß es nicht, ich weiß nur, dass drei, vier und mehr Monate vergehen bis eine Lücke geschlossen wird, wenn den überhaupt etwas unternommen wird.
Montag, 17. August 2009, 11:33 Uhr
Ich hab mal ne Weile bei so einem Dienstleister gearbeitet und kann daher sagen, dass es im Grunde eigentlich immer nur ne Sache des Geldes ist.
Bezahlt wird oft für schnelles arbeiten und ein gutes Aussehen der Seite. Aber wenn es um das Thema Sicherheit geht, wird es zunehmend schwammig und viele Auftraggeber wollen hierfür auch nicht wirklich etwas bezahlen, während sich der Dienstleister die Sicherheit (natürlich) extra bezahlen lassen will… nix auf dieser Welt gibt es kostenlos und schon garnicht Sicherheit!
Die Seiten gehen dann ohne wirkliche Sicherheit online und es wird vorallem vom Auftraggeber gehofft, dass halt nichts passiert, während der Dienstleister oft über ~80% der bestehenden Lücken bescheid weiß, aber eben nicht dafür bezahlt wurde diese zu schließen. Auch wenn in Bloggs wie diesem oft der Eindruck erweckt wird, die Entwickler der Dienstleister wären nur Praktikanten mit Hauptschulabschluss und einem Crash-Kurs in PHP/HTML, ist dies oft nicht der Fall. Tatächlich wissen die Entwickler oft sehr genau bescheid. Aber wie heißt es so schön? Ohne Moos nix los.
Das ist auch der Grund warum nach Warnungen oft nicht reagiert wird. Entweder, weil der Auftraggeber die Mail nicht weiterleitet, da er Zusatzkosten befürchtet für die er schon zu Projektstart nicht zahlen wollte, oder aber weil Verträge wie bereits erwähnt im Punkt Sicherheit oft sehr schwammig sind und es dann eine Disskusion gibt, ob Lücke XY noch in das vereinbarte Mindestmaß an Sicherheit reinfällt, oder nicht und wer entsprechend die Kosten tragen muss. Und solange dass nicht eindeutig geklärt ist und auch sonst nichts passiert, tut der Dienstleister natürlich überhaupt nichts.
Wenn dann eine Lücke wie in deinem Blogg veröffentlicht wird, geht es oft sehr schnell. Warum? Weil entweder der Auftraggeber Angst vor Schäden (und den damit verbundenen Kosten) bekommt und dann den Preis des Dienstleisters zahlt. Oder weil der Dienstleister fürchtet verklagt zu werden, den Prozess zu verlieren und Strafe zahlen zu müssen und nimmt die Kosten dann halt auf seine Kappe. Im Grunde also eine Nervenfrage, wer als erstes nachgibt.
Mich persönlich widert diese Praxis an, weswegen ich inzwischen auch den Job gewechselt habe. Aber andererseits muss man sich natürlich auch fragen warum Firmen und Organisationen die eigentlich das Geld dafür hätten, sowas wie Sicherheit kostenlos bekommen sollten. Immerhin hängen davon auf Dienstleisterseite, Arbeitsplätze ab.
Mittwoch, 19. August 2009, 15:12 Uhr
Hallihallo!
Öffentliche Institutionen leiten in der Regel Mails nicht an Externe weiter – und das ist auch gut so. Aus diesem Grund kann es sein, dass Mailhinweise an die Ministerien oder Institutionen nicht einfach an den Dienstleister weiter geleitet werden, sondern stattdessen verworrene (interne) Wege einschlagen.
Für Anschreiben an den Bundestag, Ministerien oder andere öffentliche Institutionen empfehle ich daher einen Satz wie “Hiermit genehmige ich, dass diese Mail an Ihren verantwortlichen externen Dienstleister weiter geleitet wird”. Oder etwas in dieser Richtung.
Mittwoch, 19. August 2009, 16:29 Uhr
Wenn es wirklich nur daran liegt… Sollen sie doch was sagen, ich habe da kein Problem mit, wenn ihr Dienstleister meine Hinweise bekommt. :O)
Ich werde es mal mit dem Zusatztext versuchen, mal schauen ob es dann besser läuft. Danke!