Responsible Disclosure => Vertrauliche Hinweise zu Schwachstellen an den Hersteller

Nun stecke ich in einem Dilemma, welches wohl viele White-Hat-Hacker kennen. Ich habe von Schwachstellen in verschiedenen Softwareprodukten Kenntnis und die Hersteller meinen nur:

Diese Schwachstellen sollte es in [...] nicht geben. Mail an unsere QA weitergeleitet.

Wenn denn überhaupt eine Rückmeldung kommt…

Bei einer Lücke ist ein Script betroffen über das man alle (!) Dateien runterladen kann, anstatt nur die vorgesehenen PDFs – und dies hoch bis zum ROOT. Da in dem CMS (wie üblich) die Zugangsdaten zur Datenbank in einer Datei im Klartext stehen, hat man dadurch auch Zugriff auf diese und somit auf alle Userdaten.

Wenn aufgrund meiner Hinweise nichts unternommen wird um die Betroffenen zu informieren und entsprechende Updates anzubieten, so wäre dies nicht wirklich ungewöhnlich, wie man an dem (angeblichen) China-Google-Hack sieht. Microsoft hatte im September Hinweise zu der Lücke im Internet Explorer erhalten, aber erst vor ein paar Tagen ein Update angeboten. Hat man in Redmond geglaubt dass nur der der ihnen den Hinweis geliefert hat die Lücke kannte?

Die Lücken die ich noch auf Lager habe und für die sich die Hersteller bisher nicht interessieren, sind nicht so schwer zu finden, dass ich annehmen kann nur ich wäre im Besitz des Wissens darum.

Was mach ich nun? Warten bis die Hersteller sich bequemen zu handeln oder selber die betroffenen Seitenbetreiber kontaktieren oder einfach die Schwachstellen veröffentlichen?

Ich könnte mir auch einfach nur die bekanntesten/größten Seitenbetreiber raussuchen, sie über die Lücken informieren, mit dem Hinweis, der Hersteller hat auf meine Meldung nicht entsprechend reagiert. Wenn ein Betroffener dann mit einer Pressemitteilung droht – nach dem Motto: “Wir wechseln den Anbieter unseres Systems weil der bisherige Anbieter gemeldete Schwachstellen nicht behebt.” – dann ergibt sich ein gewisser Handlungsdruck, dem sich nur wenige entziehen können.


Noch ein paar Worte zu meinem “angeblich”: Woher weiß Google, und natürlich auch die US-Regierung, dass die chinesische Regierung hinter den Angriffen steckte?

War die Identifizierung der Angreifer so effektiv wie das Aussperren deutscher Youtube-Besucher?

Dieses Video enthält Content von [...] Es ist in deinem Land nicht mehr verfügbar.

(Stichwort: Proxy-Server)

Wenn mal wieder jemand versucht eine PHP-Shell in meinen Blog zu injizieren, so kommt der (angeblich) auch aus China. Hat die chinesische Regierung auch ein Interesse an meinem Geschreibsel und dem was sonst so auf dem Server liegt? Ganz bestimmt nicht!

Halb- und Unwissenheit für politische Zwecke zu missbrauchen, steckt wohl eher hinter dem China-Bashing.

Und – natürlich betreibt die chinesische Regierung Informationsbeschaffung auf diesem Wege, genauso wie alle anderen Regierungen dieser Welt auch.

Es gibt da ein “Kompetenzzentrum neuer Personalausweis” (ccepa.de):

Die Wissens- und Kommunikationsplattform ist zentrale Anlaufstelle für alle Beteiligten am Anwendungstest und stellt aktuelle Informationen zum neuen Personalausweis bereit. Diese umfassen neben speziellen Informationen für die Anbieter, die bereits am zentral koordinierten Anwendungstest teilnehmen, vor allem Informationen zu Bürgerclient, eID-Server und technische Hintergründe zum neuen Personalausweis.

Wirklich spannend ist die Seite nicht, allerdings sollten die Jungs vom Fraunhofer-Institut für Offene Kommunikationssysteme (fokus.fraunhofer.de) etwas Humor haben, denn ich konnte es natürlich mal wieder nicht lassen an der URmeL rumzufingern. Wenn so viele Parameter mich anlachen, dann kann ich einfach nicht anders. ;O)

Neben dem “Humor” findet man noch andere Unterpunkte im System, die schon die E-Commerce-Features des neuen Persos betreffen?!

Aber nachdem ich das hier gesehen habe…

keine Ahnung was man davon halten soll?!

Aber diese Unterpunkte sehen dann schon wieder nach etwas vertrautem aus:

Wenn ich das richtig sehe, wird einfach die Software “Liferay Social Office” (liferay.com) eingesetzt und diese sonderbaren Unterpunkte die ich gefunden habe, sind wohl einfach nur Bestandteil der Software.


Was nun aber von der Sicherheit – und darum geht es mir ja meist – nicht so prickelnd ist, ist zum einen die Möglichkeit, dass man von allen im System angemeldeten Usern den Namen inkl. der E-Mail-Adresse ermitteln kann.

Und… ich schmeiß mich wech… :O)

Die Systemmenschen, die sich selber als Redakteur, Autor, Moderator, Dienstanbieter, etc. registriert haben, haben als E-Mail-Adresse zeuch@localhost.de benutzt. localhost kenne ich ja, als DB-Server z.B., aber als E-Mail-Adresse mit de-Endung?!

Wenn die Domain localhost.de nicht schon seit Jahren vergeben wäre, dann hätte ich die doch glatt registriert, nur um mir dann per Passworterinnerung die Zugangsdaten zusenden zu lassen. ;O)


Bei meinem Test habe ich dann auch eine Dokumentenverwaltung gefunden, über die die Testteilnehmer Infos austauschen können. Ein Dokument, ein PDF, kann man direkt in der Suche finden und auch herunterladen. Man findet allerdings auch weitere Links zu Dokumenten, die man als nicht angemeldeter User nicht runterladen kann können sollte.

In der Liferay-Software werden die Downloads nicht per direktem Link zu dem Dokument angeboten, sondern über eine Ordner- und eine Dokument-ID, was man üblicherweise benutzt, um zum Beispiel zu gewährleisten, dass nur autorisierte User auf ein Dokument zugreifen können.

Wenn ich mir nun den Link des downloadbaren PDFs genauer anschaue und dort die IDs eines der nicht downloadbaren Dokumente einfüge… na? wir ahnen es schon… Ja, auch diese Dokumente lassen sich runterladen. Das man an Dokumente gelangen kann die nur für autorisierte User zugänglich sein sollten ist ein sehr dummer Fehler in der Software.

Zur Zeit findet man nur technische Richtlinien des BSI, die man auch auf der BSI-Seite selber finden kann, also auch nichts spannendes… bis auf… :O) Ich fand auch eine Excel-Tabelle mit den Bugs im Bürger-Client. Diese Tabelle ist noch fast leer, es handelt sich dabei wohl nur ein Testdokument, denn ich glaube nicht, das der Client nur vier Bugs hat. ;O)


So wie die Website aussieht, wird sie nur benutzt um meist technische Infos zu dem RFID-Perso-Test zwischen den Testteilnehmern auszutauschen. Für die Betroffenen der neuen technischen Errungenschaften gibt es dort sehr wenige Infos. Meine erste Frage wäre nämlich: Wie kann ich dem Chip das unkontrollierte Funken abgewöhnen? Aber dazu gibt es von kompetenter Stelle eine Info: “RFID-Zapper” (events.ccc.de)

Ich bin schon sehr gespannt auf die ersten Testergebnisse des CCC, wenn sie den echten, ab November ausgegebenen, neuen Perso auseinander nehmen. Zur 27C3 werden wir wohl damit rechnen können: “Elektronische IDs und Personalausweise nicht nur für Drachen” (heise.de)


Update: 22.01.2010 – 12:00 Uhr

Wer gerade versucht die ccepa.de aufzurufen, der wird bemerken das die Seite offline ist. Evtl. die Folge meiner Hinweise an die Verantwortlichen dort?


Update: 26.01.2010 – 14:20 Uhr

ccepa.de ist wieder online, allerdings nur als statische MSIE-HTML-Kopie der vorherigen Seiten. Auf die Schnelle war wohl nicht mehr möglich.