Eine kritische Sicherheitslücke in der weit verbreiteten Forensoftware vBulletin führt dazu, dass Angreifer mit minimalem Aufwand an die Zugangsdaten des MySQL-Servers gelangen.

Dieser minimale Aufwand besteht lediglich in einer Suchanfrage nach “Datenbank” oder “Database”.

Das BSI meinte dazu in “Kurzinfo CB-K10/0285” (cert-bund.de):

Information zu Schwachstellen und Sicherheitslücken
Titel: vBulletin: Schwachstelle ermöglicht Informationsgewinnung
Datum: 23.07.2010
Software: Internet Brands vBulletin 3.8.6
Plattform: UNIX, Linux, Windows
Auswirkung: Ausspähen von Informationen
Remoteangriff: Ja
Risiko: mittel

So bisschen “Ausspähen von Informationen” kann ja nicht so schlimm sein, also nur “mittel”.

Natürlich bin ich da wieder anderer Meinung — wie sollte es auch anders sein. :O)


Da vBulletin auch die verwendete Version im Footer mit ausgibt, ist es per Suchmaschine sehr einfach potentielle Opfer zu finden. Nach nur wenigen Minuten fand ich mehr als zwei dutzend Foren die die MySQL-Zugangsdaten ausplauderten.

Da es weit verbreitet ist phpMyAdmin direkt mit der Domain zu verbandeln, um schneller darauf zuzugreifen,

• http://phpmyadmin.domain.tld/
  oder
• http://domain.tld/phpmyadmin/

bekommt ein Angreifer u.U. leichten Zugang zur Foren-Datenbank und damit evtl. auch zu weiteren Datenbanken, die auf dem gleichen Server laufen.

Bei solch einer Sicherheitslücke von “mittel” zu sprechen halte ich für fahrlässig.

“Kurzinfo CB-K10/0285 Update 1” (cert-bund.de)

Information zu Schwachstellen und Sicherheitslücken
Titel: vBulletin: Schwachstelle ermöglicht Informationsgewinnung
Datum: 26.07.2010
Software: Internet Brands vBulletin 3.8.6
Plattform: UNIX, Linux, Windows
Auswirkung: Ausspähen von Informationen
Remoteangriff: Ja
Risiko: hoch

Der Bug ist immer noch der gleiche nur die Einstufung und das Datum wurden geändert, und dies noch bevor ich meine (unerhebliche) Meinung zum Besten gegeben habe. ;O)

Auch wenn vBulletin weit verbreitet ist ist der eigentliche Knackpunkt hier nicht die Menge der möglichen Opfer, sondern eher das was mit der Lücke für Schaden angerichtet werden kann. Findet ein Angreifer einen Weg in die Administration der Datenbank, so kann er nicht nur Daten auslesen, sondern auch eigene Daten einspeisen. Wie schon erwähnt, liegen meist mehrere verschiedene Datenbanken in einem Account. Da findet sich z.B. jeweils eine Datenbank für die Website, für den Shop, für das Blog und schließlich für das Forum, und auf alles hat der Angreifer Zugriff.

Ein echter Angreifer, also kein Scriptkiddie welches einfach alle erreichbaren Datenbanken löscht, würde wohl damit anfangen Dumps der Datenbanken runterzuladen. Speist der Angreifer anschließend Daten in den Shop ein, so wird das Opfer kaum auf die Idee kommen dass das Einfallstor für den Angreifer das Forum war.

Aus einem einfachen “Ausspähen von Informationen” kann somit sehr schnell eine schwerwiegende Sicherheitslücke werden, die vollkommen andere Systeme betrifft, als das ursprünglich angegriffene.


Es gibt aber auch Sicherheitslücken die einfach nur durch die Anzahl der möglichen Opfer hochgradig gefährlich werden. Wenn zum Beispiel in einer Website die nur wenige Besucher zählt eine XSS-Lücke stecken würde, so wäre diese nicht annähernd so kritisch wie die die vor ein paar Wochen in den Kommentaren von YouTube steckte: “Google schließt Cross-Site-Scripting-Lücke in YouTube-Kommentaren” (heise.de)


Bevor von anerkannten Stellen Risikoeinschätzungen abgegeben werden, sollten diese genau hinschauen wie weitreichend eine Lücke ist. Eine zu geringe Einstufung wie “mittel” kann dazu führen das eine Sicherheitslücke kaum bis gar keine Beachtung findet.

Der Bundesverband Digitale Wirtschaft (BVDW) forderte, im Gesetzentwurf eine einheitliche Kennzeichnung der De-Mails zu verankern,…
Die Deutsche Post weicht allerdings davon ab, hier soll die Adresse «vorname.nachname@epost.de» lauten.

«Zusätzliche Domains bergen ein erhebliches Risiko, die Endnutzer zu verwirren und so die Eindeutigkeit und die Glaubwürdigkeit der De- Mail zu gefährden», erklärte der BVDW.

Ich wollte eigentlich nur etwas genauer schauen wer, was, wann gesagt hatte — denn das was die Deutsche Post anbietet gehört nicht zu De-Mail, sondern ist ein Konkurrenzprodukt — aber soweit kam ich gar nicht:

Safe Browsing Diagnostic page for bvdw.org (google.com) (Screenshot)
Da hat Google also Malware gefunden oder zumindest etwas verdächtiges registriert.


Im Quellcode auf bvdw.org fand ich dann einen Hinweis:
<!-- Generated by OpenX 2.8.1 -->

“Schwachstelle in OpenX ermöglicht Kompromittierung von Ad-Serern” (buerger-cert.de)

Empfehlung
Das Bürger-CERT empfiehlt Adminstratoren von OpenX Ad-Servern [1] ihre Systeme auf Kompromitterung zu überprüfen. Desweitern empfiehlt das Bürger-CERT eine Aktualisierung auf Version 2.8.5,…

“OpenX Ad Server – SQL Injection on 2.8.4” (developer.openx.org)
Allerdings ist diese Meldung schon ein paar Monate (!) alt:

Created: 03/Mar/10 03:48 PM     Updated: 03/Mar/10 03:48 PM

Mit veralteten Software-Versionen und den anderen Lücken (Cross-Site Scripting, Session Fixation, Information Disclosure, etc.) macht bvdw.org keine gute Figur. Aber ihr Slogan “Wir sind das Netz” passt zu dem was ich so üblicherweise im Netz finde — ich habe also nichts herausragend schlechtes gefunden. ;O)

Die (…) E-Mail-Provider GMX und Web.de haben mit der Vorab-Registrierung von De-Mail-Adressen begonnen. Da die Adressen nach dem Schema Vorname.Nachname@providerxy.de-mail.de gebildet und bei Namensgleichheit derselben Provider-Kunden Nummern an den Nachnamen gehängt werden, erwarten die Provider eine große Nachfrage, …

Ich glaube Heise hat da einen, wie ich finde, wichtigen Punkt nicht erwähnt. In der Pressemitteilung von GMX bzw. Web.de, “Vorab-Registrierung für De-Mail startet” (portal.gmx.net) / (presse.web.de), steht:

Die Verwaltung dieses Postfaches erfolgt bei GMX und WEB.DE innerhalb der bekannten Mail-Umgebung.

Das heißt also, die Zugangsdaten für den GMX- bzw. Web.de-Account sind gleichzeitig auch die Zugangsdaten zu De-Mail.

Wer sich mal mit Benutzer vs. Passworte auseinandergesetzt hat, der weiß wie leicht es sein kann einen E-Mail-Account zu übernehmen. In jedem per Suchmaschine auffindbaren Datenbankdump in dem auch Zugangsdaten enthalten sind, finden sich immer Passwort-Recycler die das gleiche Passwort auch für ihren E-Mail-Account, eBay, PayPal, etc. benutzen.

Wer 123456, geheim oder lassmichrein für Passworte hält, der sollte sich mit De-Mail nicht anfreunden.

<einschub>
Nur zur Klarstellung: Dies hat nichts mit der Qualität von GMX, Web.de oder De-Mail zutun. Das eigentliche Problem ist der Benutzer, der Worte, Zahlen oder Kombinationen daraus, als Passwort benutzt und dieses auch noch recycelt, also mehrfach benutzt.
</einschub>


“De-Mail – So einfach wie E-Mail, so sicher wie Papierpost.” (cio.bund.de / PDF)

Elektronisches Einschreiben
De-Mail bietet verschiedene Versandarten, die mit einem Brief oder einem Einschreiben vergleichbar sind. Besonders wichtig ist die Versandart „De-Mail-Einschreiben“. Hier erhalten Sie eine qualifiziert elektronisch signierte, d. h. quasi vom Provider „unterschriebene“ Bestätigung darüber, wann und an wen Sie die Nachricht verschickt haben und wann sie in das Postfach des Empfängers eingestellt wurde. Damit können Sie den Eingang einer De-Mail beim Empfänger jederzeit nachweisen.d Phishing zu vermeiden.

(…)

Optimierte Prozesse
Unternehmens- und Verwaltungsprozesse zeichnen sich bisher durch Medienbrüche aus. Eine vollständig elektronische Bearbeitung ist vor allem bei juristisch relevanten Arbeitsschritten oft nicht möglich, etwa wenn die fristgerechte Zustellung eines Schriftstücks zweifelsfrei nachgewiesen werden muss.

Der ständige Wechsel von Elektronik zu Papier führt zu erheblichen Prozessverzögerungen und verursacht immensen Aufwand. Mit De-Mail können Unternehmens- und Verwaltungsprozesse ohne Medienbruch elektronisch abgewickelt werden. Die Folge: Sie optimieren Ihre Prozesse und reduzieren Ihre Kosten.

Eine Folge wird hier nicht erwähnt: Der De-Mail-Benutzer muss ständig sein Postfach kontrollieren, denn es könnte ihm eine E-Mail mit einer Fristsetzung zugestellt worden sein, wobei es dem Versender egal sein kann ob die zugestellte E-Mail gelesen wurde oder nicht — die Frist läuft trotzdem ab.

- De-Mail Einschreiben: Bei der Versandart „De-Mail Einschreiben“ sind die Versandoptionen „Versandbestätigung“ und „Zugangsbestätigung“ standardmäßig gewählt. Bei dieser Versandart erhält der Absender Bestätigungen darüber, wann er die Nachricht verschickt hat und wann sie in das Postfach des Empfängers zugestellt worden ist.

Quelle: TR – BP Postfach- und Versanddienst Funktionalitätspezifikation (bsi.bund.de / PDF / S. 18)

Technisch sollte es wohl kein Problem darstellen festzustellen ob und wann ein “De-Mail Einschreiben” wirklich gelesen wurde und nicht nur ungelesen im Postfach liegt — dies wäre dann sozusagen die Option “Rückschein / Eigenhändig”.


Und noch etwas aus dem PDF von cio.bund.de: Finde den Fehler!

De-Mail-Adressen für juristische Personen
(…)
So kann die juristische Person Organisationspostfächer oder auch individuelle Postfächer mit den Namen der Mitarbeiter einrichten. Eine De-Mail-Adresse könnte damit wie folgt lauten: „einkauf@dachdecker-mueller.de-mail.de.“

einkauf@dachdecker-mueller.de-mail.de. ist keine E-Mail-Adresse.
einkauf@dachdecker-mueller.de-mail.de ist eine E-Mail-Adresse.

Ich weiß, nur eine Korinthe. Aber die Genauigkeit bei der Schreibweise von E-Mail-Adressen ist entscheidend und kann im ungünstigstem Fall, bei Falschschreibung, sehr unangenehme Folgen haben. Jeder der länger E-Mail nutzt, hat bestimmt schon einmal elektronische Post bekommen, die nicht für ihn bestimmt war. Ich als Empfänger von schwarz.michael@mailprovider.tld habe schon öfter E-Mails, die eigentlich für michael.schwarz@mailprovider.tld bestimmt waren, erhalten. Meinem Namensvetter ist es wahrscheinlich ähnlich ergangen.

Wenn auch die Adresse einkauf@dachdeckermueller.de-mail.de vergeben wird und zwar an eine vollkommen andere Firma, dann wird es auch hier Irrläufer geben, genau so, wie es sie bei der gelben Post, auf echtem Papier, in echten Briefkästen gibt.

• Der Inhaber der Domain
  DE-MAIL.DE
  ist das “Bundesministerium des Innern”.
• Der Inhaber der Domain
  DE-MAlL.DE
  ist nicht das “Bundesministerium des Innern”.

Stichwort: Typosquatting (de.wikipedia.org)
(In meinem Beispiel geht es allerdings weniger um falsch eingetippte Zeichen, sondern eher um verbreitete Links und E-Mails auf die geantwortet wird.)

Diesen Punkt wollte ich erst gar nicht erwähnen, weil:

3.5 Versand und Empfang von Internet-E-Mails über assoziierte Internet-E-Mail-Adressen

Der Versand von Nachrichten aus dem Bürgerportal in das Internet als E-Mails mit einer eBP-A als Absenderadresse ist nicht möglich. Es ist auch nicht möglich, dass E-Mails aus dem Internet an ein Bürgerportal-Postfach zugestellt werden.

aber:

Um für einen Bürgerportal-Nutzer die Erreichbarkeit aus dem Internet zu gewährleisten, kann der Nutzer Internet-E-Mails, die an eine seiner eBP-A adressiert worden sind, vom Bürgerportal an eine assoziierte Internet-E-Mail-Adresse weiterleiten lassen (s. a. [TR BP M AcctMgmt]). Hat ein Nutzer eine assoziierte Internet-E-Mail-Adresse eingerichtet und die Weiterleitungsfunktion aktiviert, so werden vom Bürgerportal aus dem Internet angenommene E-Mails an seine assoziierte E-Mail-Adresse weitergeleitet.

Quelle: TR – BP Postfach- und Versanddienst Funktionalitätspezifikation (bsi.bund.de / PDF / S. 21)

Also ist es möglich von einer “Internet-E-Mail-Adresse” eine E-Mail an eine “eBP-A” (“Elektronische Bürgerportal-Adresse”) zu senden, die an eine “assoziierte Internet-E-Maill-Adresse” weitergeleitet wird.

Kurzform: Hat der Benutzer eine normale E-Mail-Adresse eingerichtet, so kann er auch Spam- und Phishing-Mails empfangen.

Da kann man nur hoffen dass der Otto-Normal-Benutzer zwischen “eBP-A”, “Internet-E-Mail-Adresse” und “assoziierte Internet-E-Maill-Adresse” unterscheiden kann.


Weiter aus dem PDF von cio.bund.de:

E-Mails sind unsicherer als die Papierpost und werden daher für viele Geschäftsvorfälle nicht eingesetzt.

E-Mails können ohne großen Aufwand auf ihrem Weg durch das Internet abgefangen, wie Postkarten mitgelesen und in ihrem Inhalt verändert werden. Absender und Empfänger können nie vollständig sicher sein, mit wem sie gerade kommunizieren und ob die gesendete E-Mail tatsächlich beim Empfänger angekommen ist.

Der Anteil von SPAM …

Auch das Ausspähen von Zugangsdaten zu E-Mail-Konten („Phishing“, Identitätsdiebstahl) wird immer häufiger. Dies alles hat bislang den Durchbruch von E-Mails überall dort verhindert, wo es auf Vertraulichkeit (verschlüsselt), Verlässlichkeit (angekommen) und Verbindlichkeit (eindeutige Identität) ankommt, die zusammen wichtige Voraussetzungen für die Gewährleistung von Rechtsicherheit sind.

Am Markt existierende Lösungen haben sich nicht in der Fläche durchsetzen können, da diese häufig zusätzliche Installationen auf den Rechnern der Nutzer erfordern (Zertifikate, Kartenlesegerät, etc.). Weniger als fünf Prozent des gesamten E-Mail-Aufkommens sind heute verschlüsselt.

Ich glaube hier werden zwei Dinge zusammengeworfen. Den Transportweg verschlüsseln (HTTPS) kann nur der Provider. Wenn aber eine E-Mail selber verschlüsselt werden soll, dann kommt Pretty Good Privacy (de.wikipedia.org) zum Einsatz, was eine Installation auf dem Computer des Benutzers erfordert.

Auch wenn die Übertragungswege per HTTPS verschlüsselt sind, wird meist die E-Mail im Klartext im Postfach bei dem E-Mail-Provider gespeichert und der kann alles mitlesen. Viel wichtiger wäre es also die E-Mails bei den Providern verschlüsselt zu speichern.

5.3.4 Datenspeicherung

Die Speicherung der Daten auf den Systemen des BPDA hat verschlüsselt zu erfolgen. Dies dient der Wahrung der Vertraulichkeit der Nachrichten.

Die Verschlüsselung der Daten hat unmittelbar nach Eingang auf den Systemen des BPDA zu erfolgen. Die Entschlüsselung hat lediglich zur Prüfung auf Viren oder Malware und zur Auslieferung an den Nutzer zu erfolgen. Alle Nutzerdaten müssen innerhalb des BP verschlüsselt gespeichert werden. Die Verschlüsselung muss so früh wie möglich nach dem Eintreffen der Daten im BP erfolgen.

Quelle: “TR – BP IT-Postfach- und Versanddienst Sicherheit” (bsi.bund.de / PDF / S. 11)

Bislang wird im Regelfall davon ausgegangen, dass Nachrichten über unsichere Kanäle übermittelt werden. (…) Im Gegensatz dazu liegt bei Bürgerportalen ein Hauptaugenmerk auf der sicheren Übermittlung von Dokumenten über abgesicherte Kanäle.

Quelle: “TR – BP IT-Sicherheit Übergeordnete Komponenten” (bsi.bund.de / PDF / S. 18)
(Auf “De-Mail – eine Infrastruktur für sichere Kommunikation” (bsi.bund.de) ist das Dokument als “TR – BP IT-Sicherheit Übergreifende Komponenten” verlinkt.)

Will man hohe Sicherheit, wo niemand mitlesen kann, weder beim Transport, noch bei der Speicherung, so muss etwas mehr Aufwand getrieben werden:

• Der E-Mail-Provider kennt nur den verschlüsselten Inhalt einer E-Mail, weil er sie nur in dieser Form speichert und transportiert.
• Versenden: Der Benutzer schreibt eine E-Mail auf seinem Computer. Vor der Übermittlung an den Provider wird diese von seinem E-Mail-Programm verschlüsselt.
• Empfangen: Der Benutzer lädt eine verschlüsselte E-Mail von dem Provider auf seinen Computer und entschlüsselt sie nach dem Empfang.

Und das gibt es bereits mit dem oben erwähnten Pretty Good Privacy (PGP).


Zum Abschluss noch einmal ein Zitat aus dem PDF von cio.bund.de:

De-Mail ist in der Handhabung so einfach wie die E-Mail.

Die Bedienung von De-Mail durch Bürger und Unternehmen erfolgt im einfachsten Fall durch Webanwendungen, die in der Handhabung den bekannten Angeboten von E-Mail-Providern sehr ähnlich sind und beim Nutzer keine weiteren Installationen von Hardware oder Software erfordern. Unternehmen und Behörden können ihre existierenden (internen) E-Mail-Infrastrukturen über ein sogenanntes „Gateway“ an De-Mail anschließen, sodass vorhandene E-Mail-Clients verwendet werden können.

Genau diese Bequemlichkeit halte ich für einen Fehler. Der Benutzer kann weiterhin mit den alten, u.U. über Jahre hinweg nie geänderten und evtl. bereits Dritten bekannten, Zugangsdaten seine De-Mail nutzen.

Sinnvoller und sicherer wäre eine eigens für die De-Mail eingerichtete Infrastruktur, die höhere Anforderungen an die vergebenen Passworte erfüllen muss und nicht auf alte Zugangsdaten aufbaut.

• Es müssen sichere Passworte vergeben werden. Zu einfache Eingaben wie 12345678 oder passwort werden nicht als Passwort akzeptiert.
• Der Benutzer wird regelmäßig, z.B. alle drei Monate, aufgefordert sein Passwort zu ändern.
• Von ersetzten Passworten wird der gesalzene Hash gespeichert und mit dem neuen Passwort verglichen. Bereits in der Vergangenheit verwendete Passworte werden nicht akzeptiert, damit der Benutzer nicht einfach immer wieder die gleichen Passworte vergeben kann.

Ich weiß, DAS wäre lästig — aber wer sicher kommunizieren will/muss der muss auch etwas dafür tun.


Unterm Strich kann man dem Otto-Normal-Benutzer wohl nur von der De-Mail abraten, denn er begibt sich da in Verantwortlichkeiten, deren Folgen er kaum abschätzen kann.

Das Treiber-Download-Portal des Hardware-Herstellers Lenovo hat vorübergehend Schadcode verteilt.
(…)
Im Lenovo-Forum tauchten erste Hinweise auf die IFrames am vergangenen Samstagmittag auf.

Der Link von Heise führt nicht zum Forum von Lenovo selber, sondern hierher:
“Trojaner-Alarm in der Lenovo Edge Treibermatrix!” (thinkpad-forum.de)

Heise hätte also anstatt “Lenovo-Forum” richtigerweise “Thinkpad-Forum” schreiben müssen.

Der Finder (aus dem “Thinkpad-Forum”) hat aber auch im Lenovo-Forum eine Meldung hinterlassen:
“Warning – Lenovo download-site is infected by trojan downloader” (forum.lenovo.com)


Googles Safe-Browsing-Info zu der Domain, von der etwas per IFrame nachgeladen wird: volgo-marun.cn (google.com)

Wer nun diese Website aufruft (und die Warnung ignoriert) könnte annehmen das die Malwareschleuder abgeschaltet wurde, dem ist aber nicht so:

Den Link zu der PDF-Datei habe ich von einem der Screenshots im “Thinkpad-Forum”. Laut VirusTotal steckt in der allv7.pdf (virustotal.com) auch etwas unerwünschtes drin.


Interessant an dieser Geschichte finde ich, dass nicht Lenovo selber den Einbruch bemerkt hat und dass bis zum regulären Arbeitsbeginn der Admins am Montag nichts unternommen wird. Wenn dies nicht so traurig wäre, dann könnte man sich vor Lachen am Boden wälzen.

Die Meldestelle Internet Fraud Alert soll als zentraler Anlaufpunkt für Sicherheitsspezialisten, Internet Provider, Behörden und andere gelten, um im Internet gefundene, abgephishte Zugangsdaten von Anwendern zu melden.

“Innenministerium legt Studie zum Identitätsdiebstahl vor” (heise.de)

Das Bundesministerium des Innern (BMI) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) haben eine Studie zum Identitätsdiebstahl und -missbrauch im Internet veröffentlicht.

Hier nur ein Zitat aus der mehr als 400 Seiten starken Studie:

Nutzung fremder E-Mail-Accounts
Der Zugang zu E-Mail-Accounts ist in der Regel durch Nutzername/Passwort geschützt. Durch Phishing-Angriffe kann sich somit ein Unbefugter Zugang zu diesen Accounts verschaffen, und sie z. B. zum Versenden von SPAM E-Mails benutzen.

(Quantität != Qualität)


Wer auf Phishing (de.wikipedia.org) reingefallen ist und dies irgendwann bemerkt, der hat evtl. noch Beweise für die Tat des Kriminellen. Um an Zugangsdaten für einen E-Mail-Account zu kommen braucht es aber kein Phishing, eine Findmaschine und ein MD5-Cracker reichen aus. Bei dieser Herangehensweise wird ein Opfer erst relativ spät, wenn überhaupt, bemerkten, dass der E-Mail-Account oder auch andere genutzte Dienste einen Mitbenutzer haben.

Mit der richtigen Query lassen sich viele SQL-Dumps im Netz finden. Dies können Backups sein oder auch Überbleibsel des letzten Serverumzugs. Auch einfach vergessene, mittlerweile ungenutzte, alte Systeme können noch immer brauchbare, also funktionierende, Zugangsdaten enthalten.

Da nach wie vor viele, sogar sehr viele Systeme ungesalzene MD5-Hashs der Passworte in der Datenbank speichern, können einfache Passworte auch sehr leicht geknackt werden. Je nach SQL-Dump kann die Erfolgsquote für das Cracken der Hashs mehr als 95% betragen.

Viele User verwenden ein und dasselbe Passwort für die verschiedensten Dienste. Mit nur einem geknackten Passwort hat der Kriminelle u.U. vielfache Zugriffsmöglichkeiten, auf E-Mail, eBay, PayPal, Twitter, Facebook, etc. Um so mehr Dienste ein User benutzt, um so weniger wird er überall ein anderes Passwort vergeben wollen, einfach weil ihm dies lästig ist.

Für verschiedene Dienste auch verschiedene Passworte zu nutzen ist genauso lästig wie:

• Updates für das Betriebssystem und
• anderer Software einzuspielen,
• regelmäßige Backups der eigenen Daten zu erstellen,
• die Signaturen für den Virenscanner, sofern überhaupt einer installiert ist, zu aktualisieren oder auch
• Passworte immer wieder mal zu ändern.

User die beispielsweise viele der von Google angebotenen Dienste in einem Account nutzen, sind für einen Kriminellen eine wahre Freude. Er kann mit dem Zugang nicht nur die fremden E-Mails lesen, sondern evtl. auch Texte und Tabellen, den gesamten Datenbestand und die Kommunikation einsehen. Für den Kriminellen sind User die all ihre geschäftlichen Aktivitäten im Google-Account verwalten sehr interessant. Nutzt der Kriminelle die gewonnenen Daten geschickt, wird das Opfer den heimlichen Fan wahrscheinlich niemals bemerken. Nur plumpe Eierdiebe werden anfangen über einen geknackten Google-Account Spam zu versenden, um damit in kürzester Zeit aufzufliegen.


Ich behaupte: Viele Opfer von Cyberkriminellen wissen gar nicht dass sie bereits Opfer sind.

In der alten, realen Welt wurde wahrscheinlich jeder von uns schon einmal bestohlen, sei es nun der Bleistiftanspitzer in der Grundschule oder das Auto während des letzten Urlaubs. Jedes Mal wurde etwas gestohlen was auch wirklich weg war, was real nur einmal existiert und deren Diebstahl erkannt werden kann. Wenn von Datendiebstahl die Rede ist, dann ist dies etwas vollkommen anderes, weshalb ich diese Bezeichnung schon für irreführend halte.

Den Diebstahl von Daten frühzeitig zu erkennen ist sehr schwer, bis unmöglich, denn es kommt nichts weg in der digitalen Welt, es wird sogar noch etwas hinzugefügt — der Dieb macht sich seine Arbeitskopie.

Wenn bekannt wird das Daten unberechtigt kopiert wurden, dann beeilen sich die für den Murks verantwortlichen Firmen zu beteuern, dass es keinen Missbrauch der Daten gab, obwohl sie dies nicht wissen und auch gar nicht wissen können. Dies PR-Sprech ist so vorhersehbar wie das: “Zu keinem Zeitpunkt bestand eine Gefährdung der Bevölkerung.” wenn mal wieder aufgefallen ist, dass irgendwo eine Atomanlage durch die Gegend strahlt (wahrscheinlich aus Freude über die langen Laufzeiten).


Wann bemerkt ein User dass seine Zugangsdaten nicht nur von ihm genutzt werden?

• Wenn Rechnungen ins Haus flattern, für Ware die er weder selber bestellt noch erhalten hat.
• Wenn Freunde sich beschweren, dass man ihnen Malware geschickt hat.
• Wenn der Provider den Mail-Hahn abdreht, weil zu viel Spam versendet wurde.
• etc. etc.

Verhält sich der Kriminelle aber ruhig und liest einfach nur die E-Mails des geknackten Accounts mit, wird das Opfer kaum Verdacht schöpfen. Viele Dienste senden nach der Registrierung eine E-Mail als Bestätigung, in der auch das gewählte Passwort enthalten ist. Der Mitleser kann auch in diese Dienste leicht einbrechen, wenn ausschließlich ein Webmailer benutzt wird.


Gegen Zugriffe durch Kriminelle hilft u.a. die Beachtung der folgenden Punkte:

• Gehirn einschalten!
  (Jetzt wird der eine oder anderer lachen oder mit dem Kopf schütteln. Wenn man sich allerdings anschaut wie schnell neue, unbekannte, nicht per se vertrauenswürdige Dienste eine große Anzahl von Neuregistrierungen generieren, ist dieser Hinweis schon berechtigt.)
• “Kostenlos” bedeutet nicht dass ein Dienst nichts kostet, sondern i.d.R. nur dass kein Geld bezahlt werden muss. Facebook z.B. kostet kein Geld, ist aber nicht kostenlos. Hier wird mit den persönlichen Daten, der Aufmerksamkeit oder auch dem Hochladen oder Erstellen von Content bezahlt.
• Es sollten Passworte vergeben werden.
  12345 ist kein Passwort.
  Martin89 ist ebenfalls kein Passwort.
  F6.299%.4[s]Hk wäre ein Passwort, ist aber jetzt durch die Veröffentlichung verbrannt.
• Für jeden Dienst ein eigenes Passwort vergeben.
• Passworte mehrmals im Jahr ändern.
• Zugangsdaten eines Dienstes niemals einem anderen Dienst zur Verfügung stellen.
• Immer mit der Unfähigkeit der Betreiber einer Website rechnen und sich niemals auf deren Beteuerungen zur eigenen Verschwiegenheit verlassen.
• Gespeicherte Daten können und werden missbraucht, also nur die nötigsten Daten angeben und ggf. Fakedaten verwenden.
• Dienste die unverhältnismäßig viele Daten fordern, sollten gemieden werden. Verhältnismäßig ist das was für den Betrieb eines Dienstes erforderlich ist. Beispielsweise die Forderung nach der vollständigen Postanschrift für die Registrierung zu einem Newsletter ist vollkommen überzogen und abzulehnen.

Soll ich jetzt jeden SQL-Dump melden?

@Kleinweich: Benutzt einfach selber die Findmaschine Nr. 1 — nein ich meinte jetzt nicht Bing, das ist eine Suchmaschine. ;O)

Doch angesichts des Niedergangs von Bebo gilt es als sicher, dass die Summe nur einen Bruchteil der 850 Millionen US-Dollar beträgt, die AOL selbst vor zwei Jahren berappen musste.

Der Niedergang von bebo.com in einer Kurve kondensiert:



“News Corporation kauft Spyware-Verbreiter Intermix Media” (heise.de)

Der global agierende Medienkonzern News Corporation übernimmt das kalifornische Online-Unternehmen Intermix Media für 580 Millionen US-Dollar (479 Mio Euro) oder zwölf US-Dollar je Aktie in bar.
(…)
In einer separaten Transaktion hat Intermix Media zudem eine Option zum Kauf der 47 Prozent Restanteile an dem stark wachsenden Internet-Portal MySpace.com genutzt, …

Damals (2005) arbeitet ich für jemanden der nach dem MySpace-Verkauf aus seinen feuchten Träumen nicht wieder aufwachte und nur noch von Ferrari, Lamborghini & Co. schwafelte. Er glaubte ernsthaft dass ein Investor eine dreistellige Millionensumme für seinen SocialMurks zahlen würde, um es zu übernehmen. Sein Gönner dampfte das Budget für den Betrieb der Website von Monat zu Monat auf das Allernötigste ein, wo kaum Geld für Entwicklungen und kein Geld für Werbung zur Verfügung stand. Wenn ich sage “kein Geld für Werbung” dann meine ich auch “kein”. Der Geldgeber ist der Meinung dass sich ein Produkt ohne Werbung verkaufen muss. Mit der Denke hat er schon andere Projekte an die Wand gefahren — aber leider nie etwas daraus gelernt. Nach insgesamt sieben Jahren und einer zweistelligen Millionensumme die sein Geldgeber verbraten hatte, wurde die SocialSite dichtgemacht. Das Leiden hat endlich ein Ende.

Hier mal bebo.com und myspace.com im Vergleich:



2003 habe ich mit jemanden zusammengearbeitet der mal im Management für eine Firma arbeitete, die auch ein paar Milliarden für die UMTS-Lizenzen im Jahr 2000 ausgegeben hatte. Ich sagte ihm dass ich damals lachen musste wie ich von den knapp 100 Milliarden Mark hörte, die für… (Was eigentlich? War ja nicht einmal Berliner Luft in Flaschen.) dem Finanzminister in die Hand gedrückt wurden. Er sagte mir:

Das war für mich nicht zum Lachen. Ich habe meine Kollegen gefragt ob sie denn noch bei Verstand wären und die meinten nur: “Sie haben keine Ahnung Herr …!”

Flächendeckend ist UMTS auch nach 10 Jahren noch nicht verfügbar und nun wurden schon wieder ein paar Milliarden verbraten:
“Frequenzauktion bringt 4,4 Milliarden Euro” (heise.de)


Und nun noch der aktuelle Star am Social-Network-Himmel:

Ob Facebook die nächsten zehn Jahre überleben wird? Dies kann wohl niemand genau vorauszusagen, aber ich glaube eher nicht daran. Das Geschäft in diesem Segment ist sehr fragil und kann fast über Nacht zusammenbrechen. Schiere Größe ist kein Garant für Beständigkeit.

Wir erinnern uns noch an die Fusion von Time Warner und AOL im Jahr 2000?
“AOL und Time Warner fusionieren” (heise.de)

AOL wird an der Börse momentan mit etwa 163 Milliarden US-Dollar bewertet, Time Warner mit 83 Milliarden.

Kaum zu glauben, wenn man sich AOL heute anschaut.

Erkennt der Safari einen Artikel, so zeigt er nach einem Klick auf den “Reader”-Button in der Adresszeile

oder der Tasten-Kombination

den Text und die Bilder ohne die Navigationselemente oder die Werbung der Seite an.

Aus der normalen Ansicht

wird mit der “Reader”-Funktion folgendes:

Die Readeransicht kann verkleinert/vergrößert, als E-Mail versandt (nur mit Mail, nicht mit Thunderbird), gedruckt oder geschlossen werden.

Ein über die Druckfunktion erstelltes PDF, enthält auch nur die wesentlichen Inhalte:



Werden die Verlage nun auch wieder frohlocken? Welcher Besucher wird sich nun noch die Reklame der Zeitungen und Magazine anschauen?

Was hat Apple für die nächsten Versionen für Überraschungen vorbereitet?

• Bilder und Videos gleich nach amerikanisch-puritanischen Anstandsregeln filtern?
• Bei Texten mit Badwords wird auf eine Warnseite von Apple weitergeleitet?
• Eigene Werbung in alle Websites einfügen?
• …

Was würden wohl für Kampagnen im Web angezettelt wenn Microsoft ähnliches tun würde? Apple ist mittlerweile schlimmer als Microsoft je war. Die Zeiten von Apple == gut und Microsoft == böse sind lange vorbei.

In dem (…) System existiert offenbar eine Sicherheitslücke, (…) dass die im Link enthaltenen Zeichen ordnungsgemäß interpretiert werden (nämlich eine Escape-Sequenz durchlaufen). Das ermöglicht (…) das Einschleusen von aktivem HTML- oder JavaScript-Code.

Etwas verklausuliert von gulli beschrieben. Es handelt sich einfach um Cross-Site Scripting.

Man kann geteilter Meinung zu den VZ-Netzwerken sein. Ob man sie nun gut oder weniger gut findet, sollte einen aber nicht davon abhalten, als erstes den Betreiber über eine Sicherheitslücke zu informieren. Wenn der 16jährige Finder der Lücke (noch) nicht weiß wie verantwortungsvoll mit Sicherheitslücken umgegangen wird, kann ich dies durchaus nachvollziehen — aber gulli weiß das.

Sollte ein Betreiber nach einem Hinweis zu Sicherheitslücken nicht reagieren, sollte er die Lücke also nicht schließen, so kann immer noch die Öffentlichkeit darüber informiert werden. In diesem Fall ist, meiner Meinung nach, die Sicherheit der VZ-Benutzer höher zu bewerten, als der kleine Peak in der Besucherstatistik von gulli.

(…) Flattr kann dann beobachten, wer ihr seid und wo ihr bei mir klickt. Das finde ich nicht akzeptabel vom Datenschutz her. (…)

(Dies kann wohl zum Teil auch verhindert werden: http://blog.fefe.de/?ts=b2f8a4f7 Ich habe keinen Flattr-Account, weshalb ich es nicht nachprüfen konnte.)

Jedes Bild, jedes Video, jedes eingebundene API-Script, etc., alles was von einem fremden Servern nachgeladen wird, telefoniert nach Hause.

Ein Bild welches von einem fremden Server nachgeladen wird, hinterlässt folgende Daten im Logfile:

• IP-Adresse des Besuchers
• Uhrzeit des Abrufs
• URL von der nachgeladen wurde
• Version des Browsers

Für den Firefox gibt es das Add-on “View Dependencies” (addons.mozilla.org) mit dem schön aufgelistet wird, woher welche Inhalte geladen werden.

Kurzbeschreibung:
Fügt den Seiteninformationen einen Tab hinzu, in dem alle seitenbildenden Elemente (Grafiken, Skripte, Stylesheets etc.) nach ihrer Domain und ihrem Dateityp gruppiert werden.

Quelle: erweiterungen.de (Leider… erweiterungen.de stellt laufenden Betrieb ein)

Für Fefes Blog sehen die Abhängigkeiten folgendermaßen aus:

Es wird also nichts von anderen Servern nachgeladen.


Hier habe ich diese Abhängigkeiten für einige Online-Publikationen zusammengetragen.

Interessant in diesem Zusammenhang sind auch die populärsten deutschen Blogs. Aus “deutsche blogcharts (ausgabe 22/2010 vom 02.06.2010)” (deutscheblogcharts.de) habe ich mir die Top-10 rausgesucht und die Abhängigkeiten zusammengestellt.


<einschub>
Bemerkung am Rande: Keine der untersuchten Seiten, die Google-Analytics nutzen, nutzen die Möglichkeit die IP-Adresse des Besuchers nur anonymisiert an Google zu übertragen. Es ist recht einfach etwas Datenschutz zu betreiben:
“Möglichkeit IP Adressen zu anonymisieren” (google.de)
Wobei man aber eingestehen muss, ob Google dabei wirklich keine vollständigen IP-Adressen bekommt, kann niemand nachprüfen.

Der Besucher kann aber auch selber aktiv werden, wieder unter der Annahme… (Naja, “Don’t be evil”…):
“Ein bisschen Datenschutz für Google Analytics” (heise.de)
</einschub>


Nach wie vor bin ich der Meinung, dass eine bloße IP-Adresse noch kein personenbezogenes Datum (Singular von Daten) ist, da diese i.d.R. dynamisch, täglich wechselnd, vergeben werden (Ausnahmen sind Firmen mit fester IP-Adresse). Bekommt ein Anbieter allerdings eine große Anzahl von Datensätzen mit einer IP-Adresse und dies aus den verschiedensten Quellen, so kann er Bewegungsprofile erstellen. Sobald ein User eine Aktion durchführt bei der er sich identifiziert, kommt zur IP-Adresse evtl. sogar eine komplette Anschrift mit allen Personendaten hinzu.

Wer nun, der Bequemlichkeit wegen, ständig in einen Dienst eingeloggt ist, der hinterlässt ein eindeutig personenbezogenes Bewegungsprofil und — auch wechselnde IP-Adressen können dann einem Benutzer zugeordnet werden. Was die Betreiber mit den Daten anfangen, kann niemand überprüfen.


Für den Firefox gibt es Add-ons mit denen Cookies automatisch gelöscht werden können, beispielsweise beim Schließen des Browsers.

• “selectivecookiedelete” (addons.mozilla.org) für “normale” Cookies und
• “BetterPrivacy” (addons.mozilla.org) für Flash-Cookies, sogenannte “Super-Cookies”.

Update: 11.06.2010 – 17:45 Uhr

In diesem Zusammenhang ist der heute erschienene Artikel von Marc Ruef (computec.ch) “Labs: Facebook Like Tracking verhindern” (scip.ch) erwähnenswert.

Wie jedes erfolgreiche Unternehmen versucht auch Facebook ihren Erfolg zu vergrössern, (…) Like-Button (…)

Wie sich früh herausgestellt hat, hat Facebook einen denkbar unfreundlichen technologischen Ansatz gewählt, (…) So muss der Button über ein iFrame auf der Seite eingebunden werden. Dies führt dazu, dass jeder Seitenzugriff ebenso durch Facebook protokolliert und ausgewertet werden kann.

Die Freiheit der Internetnutzung ist nur dann von Wert, wenn der Bürger dabei sicher sein kann, dass seine personenbezogenen Daten und die Integrität seiner Informationstechnik geschützt sind. Tatsächlich ist dies heute nicht gegeben. Oft erkennen die Nutzer gar nicht, wenn ihr PC durch ein Schadprogramm infiltriert wurde, das seine persönlichen Daten abgreift oder seinen PC fernsteuert. Internetkriminalität und die Herausforderungen für die Gefahrenabwehr und Strafverfolgung sind zu diskutieren als auch die Verantwortung der Wirtschaft für sichere digitale Identitäten. Dabei kann es jedoch nicht darum gehen, das Internet insgesamt zu „kriminalisieren“. Ziel eines sicheren Internets muss die freie Nutzung und Nutzbarkeit durch die Bürgerinnen und Bürger sein.

Von der gesamten Veranstaltung gibt es auch wieder einen Audiomitschnitt:
http://e-konsultation.de/netzpolitik/sites/default/files/2010-06-01.mp3
(Länge: 03:07:03 | Größe: 74,9 MByte)

2010-06-01-frage1 from E-Konsultation Netzpolitik on Vimeo.

2010-06-01-frage2 from E-Konsultation Netzpolitik on Vimeo.

Zu den vorherigen Veranstaltungen gibt es auch Videos und MP3s. Hier habe ich jetzt nur die MP3s verlinkt, da der eine oder andere evtl. etwas länger, auf “Perspektiven deutscher Netzpolitik” (e-konsultation.de) danach suchen würde. Ich finde die Seite nicht gut umgesetzt, dieses auf- und zuklappen der einzelnen Bereiche und das automatische rauf- und runterscrollen ist doch sehr gewöhnungsbedürftig. Diese Technik kann man sehr gut für kurze, kleine Seiten benutzen, aber bitte nicht für so viel Inhalt.

Hier jeweils der Link zu den einzelnen Veranstaltung und zu dem Audio-Mittschnitt. Die MP3s sind hier alle so verlinkt, dass diese sofort abgespielt werden können. Zum Abspielen einfach auf den Pfeil am Ende des Links klicken. Rechtsklick, “Speichern unter…” ist auch klar. :O)

1. “Datenschutz- und sicherheit im Internet” (e-konsultation.de)
   http://www.e-konsultation.de/netzpolitik/sites/default/files/audio_gesamtkonferenz.mp3
   (Länge: 03:07:35 | Größe: 171,8 MByte)
2. “Internet als Mehrwert erhalten” (e-konsultation.de)
   http://www.e-konsultation.de/netzpolitik/sites/default/files/2010-03-24.mp3
   (Länge: 03:13:02 | Größe: 66,3 MByte)
3. “Staatliche Angebote im Internet” (e-konsultation.de)
   http://e-konsultation.de/netzpolitik/sites/default/files/netzpolitik3audio.mp3
   (Länge: 02:32:23 | Größe: 74,9 MByte)
4. “Schutz der Bürger vor Identitätsdiebstahl und sonstiger Kriminalität im Internet” (e-konsultation.de)
   http://e-konsultation.de/netzpolitik/sites/default/files/2010-06-01.mp3
   (Länge: 03:07:03 | Größe: 74,9 MByte)

Nachdem ich mir alle Audio-Mittschnitte angehört habe, habe ich ein vollkommen anderes — sehr positives — Bild vom Innenminister. Denn man hört ihn vollkommen ungefiltert sprechen, nicht so wie im Fernsehen oder Radio, wo man nur das hört was der Redakteur für wichtig oder passend zum Thema hält.

Knapp 12 Stunden Audio… :O) Viel Zeuch, ich weiß, aber wirklich interessant. Man muss es ja nicht alles am Stück hören.