• AdSense
• AdWords
• Alert
• Analytics
• Android Market
• Docs
• Groups
• Mail
• Plus
• YouTube

Würde man nun alle diese Daten zusammentragen und in einem Datenpool zusammenführen und miteinander verknüpfen, so ergäbe sich ein gewisses Nutzerbild, welches von den Daten aus den täglichen Suchanfragen abgerundet würde.


Einzelne Datensätze nach der Zusammenführung meiner Daten bei Google:

• AdSense
• AdWords
• Alert
• Analytics
• Android Market
• Docs
• Groups
• Mail
• Plus
• YouTube

Ich nutze für jeden Dienst eine eigene E-Mail-Adresse und erschwere es Google alle Daten zusammenzutragen und sich ein Bild von mir zu machen. Und fast alle Dienste nutze ich nur zu Testzwecken.

Wenn Google morgen tot umfallen würde, würde mir nur die Suche fehlen, da dies nach wie vor der einzige Dienst ist, den ich jeden Tag nutze. Aber auch über meine Suchanfragen kann Google nicht so einfach Buch führen, da ich täglich die Cookies lösche bzw. löschen lasse und natürlich bin ich bei der Suche nie in einem Google-Account eingeloggt.

Ja, ich bin böse. ;O)


Wer viele Daten im Netz publiziert und ständig seine digitalen Ausdünstungen zum Besten geben muss, für den ist Google natürlich das ideale Schweißband. Wer aber, auch im 21. Jahrhundert, auf seine Privatsphäre achtet, der kann sehr leicht ohne Google leben und trotzdem die volle Bandbreite der Möglichkeiten des Internets nutzen. Dies mag am Anfang etwas mühseliger erscheinen, als “einfach” Google zu nutzen, aber wer sich nicht von einem Anbieter abhängig macht, der kann sehr flexibel auf die Änderungen bei einem Dienst reagieren ohne dabei alles zu verlieren.

Die IT-Sicherheit auf der Website der deutschen Bundeswehr ist offenbar mangelhaft. Zahlreiche sensible PDF-Dokumente, darunter Telefon-Listen und interne Strategie-Papiere, können über eine einfache Google-Suche mit den richtigen Parametern gefunden werden.

Naja, nur weil “VERSCHLUSSSACHE – NUR FÜR DEN DIENSTGEBRAUCH”, “VS – NUR FÜR DEN DIENSTGEBRAUCH” oder “VS – NfD” dransteht, muss der Inhalt nicht wirklich spannend sein. Manchmal wird der Stempel bzw. der Hinweis wohl auch einfach nur der Gewohnheit wegen draufgehauen. Nun werden wieder Horden von Google-Hackern nach geheimen Unterlagen suchen — und enttäuscht werden. :O)


Eine Suche nach site:bund.de ext:pdf dienstgebrauch spuckt u.a. auch folgendes aus:

[PDF] Cyber-Sicherheit in Deutschland (bsi.bund.de)
Auf Seite 3 des PDFs gibt es aber nur ein Bild zu sehen. Was hat Google denn da indexiert?


Schaut man sich die Seite genauer an und verschiebt das Bild etwas…

so sieht man was Google da gefunden hat.


Ein schon klassischer Fehler den man immer wieder findet. Ein altes Dokument wird recycelt, ohne dabei zu bedenken welche Daten unsichtbar weiterverwendet werden.

Dass dem “Bundesamt für Sicherheit in der Informationstechnik” auch solche Fehler unterlaufen ist schon fast wieder beruhigend. Die Schlapphüte vom BND hingegen, sind so paranoid, dass sie sogar ein Stellengesuch für eine “Küchenhilfs- und Reinigungskraft” (bnd.bund.de) als Verschlusssache deklarieren. :O)

Solche JavaScripte könnten schon zu Massen-SQL-Injection wie LizaMoon passen. Da du es aber in der Bildersuche gefunden hast, nehme ich an, dass es eher dazu gedacht ist, einen User direkt, also ohne Umwege über eine SQL-Injection, anzugreifen. Wonach hast du denn gesucht?

Gestern antwortete er mir mit dem Keyword nach dem er suchte. Drei Suchergebnisseiten später fand ich die Malware auf die er gestoßen war und nun weiß ich: In diesem Fall hat es nichts mit SQL-Injection zutun.


Als Windows-User bekomme ich ein sehr umfangreiches JavaScript untergeschoben, wobei eine 404-Fehlermeldung angezeigt wird — das Opfer also erst einmal gar nicht vermutet dass es gerade angriffen wird. Das JavaScript, welches im Hintergrund ausgeführt wird, sucht offensichtlich nach verschiedenen Sicherheitslücken auf dem Computer des Opfers. Es wird in Flash, im Acrobat Reader und auch in Java nach Lücken gesucht. Was bei einem Fund genau passiert, kann ich nicht sagen, da ich kein Spezialist für Malware bin. Mir ist es i.d.R. auch nicht wichtig zu erforschen welche Viren, Würmer und Trojaner sich nun genau einnisten. Schadsoftware ist Schadsoftware, egal ob sie nun HurZelBurzel0815 oder DummZeUch007 heißt. Für die Details, auch der Gegenmaßnahmen, sind die Malware-Spezialisten zuständig. Ich interessiere mich eher für die Verbreitungswege.


Die Malware unterscheidet zwischen Windows und OS-X. Ein Test unter Ubuntu brachte die gleiche Weiterleitung wie unter Windows. Da dies für mich unter Windows etwas unergiebig war, schaute ich es mir als MacLoser an. ;O)

(Ein kleines Video dazu: http://www.youtube.com/watch?v=FuNHSF6xv1U)

Dieser Fake-Antivirus Scanner ist extra für die Fanboys gedacht, die meinen, mit OS-X das sicherste Betriebssystem aller Zeiten zu benutzen. :O)

In dem Video sieht man das ein Download automatisch gestartet werden soll. Hierbei wird eine anti-malware.zip geladen, in der die Installationsdatei MacProtector.mpkg steckt. Der Server hinter der IP-Adresse aus dem Beispiel (69.50.202.201) wurde mittlerweile deaktiviert, aber mit 69.50.201.186 nutzt der Angreifer einen anderen Server, beim gleichen Provider. Zur Zeit startet auf der neuen Maschine noch kein Download.


Aber nun zum Verbreitungsweg.

Ein Blog, in dem es nur drei Einträge gibt, hat offensichtlich eine Sicherheitslücke über die der Angreifer ein eigenes PHP-Script einbringen konnte. Das Blog gehört zu den nutzlosen Seiten im Netz, die nur zum “Linkbuilding” bzw. Suchmaschinen-Zuspammen genutzt wird. Der Betreiber hat es wohl vergessen oder die SEO-Kampagne wurde einfach abgeblasen, denn der letzte Eintrag ist knapp 6 Monate alt.

Angeblich bietet dieses Blog aber mehr als 10.000 Bilder an und diese wurden alle von der Bildersuche von Google aufgenommen. Wird einem ein entsprechendes Bild angezeigt und klickt man darauf, so folgen die nächsten Schritte:

1. PHP-Script des Blogs wird aufgerufen.
   http://opfer.tld/15.php?q=zeuch
[REFERRER] http://www.google.

Wichtig ist hier der Referrer, also die aufrufende Seite. Ist kein oder der falsche Referrer enthalten, wird einfach nur die Startseite des Blogs angezeigt. Gültige Referrer sind: google, bing oder yahoo, aber nicht yandex.

2. Das Blog lädt eine Seite mit drei Zeilen JavaScript, welches nur zur Weiterleitung dient.
3. Eine ce.ms-Subdomain leitet nun weiter, auf den Server der die FakeAV-Seite anzeigt und die Malware zum Download anbietet.

Zum Teil werden die Server die den Fake-Antivirus Scanner anzeigen bereits deaktiviert oder vom Browser als Malware-Schleuder erkannt. Schaut man sich den obigen Punkt 2 etwas genauer an, so bemerkt man: Der Angreifer nutzt verschiedene ce.ms-Subdomains

http://www.utrace.de/?query=npbtfqxt.ce.ms

http://www.utrace.de/?query=vzaynvro.ce.ms

http://www.utrace.de/?query=jxqfkgny.ce.ms
die aber alle auf den gleichen Server zeigen.

Da Google bzw. die Browser und die Antivirus-Spezialisten automatisiert Malware erkennen und blockieren, erkennen sie nur den letzten Punkt, nämlich den, der beim User den angebliche Virenalarm auslöst. Würde man sich etwas mehr Mühe bei der Bekämpfung von Malware geben, so müsste der Server in Rumänien gesperrt werden.


Noch kurz zu den mehr als 10.000 Bildern in dem 3-Seiten-Blog.

Der Angreifer hat es geschafft sehr viele Einträge in der Bildersuche von Google zu hinterlassen, für Bilder die zwar irgendwo gehostet sind, aber nicht in dem Blog. Wie dies genau funktioniert kann ich nicht sagen, BlackHat-SEOs wissen da sicher mehr.

Google sollte mehr gegen diese Manipulationen unternehmen, nicht nur wegen der Malware, sondern auch damit die Qualität der Suchergebnisse endlich wieder steigt und man nicht mit “Linkbuilding”-Mist zugemüllt wird.


Update: 12.05.2011 – 15:56 Uhr

Passend zum Thema: “Google Doodle führt zu Scareware-Seiten” (heise.de)
Was Heise dort schreibt ist nicht so ganz korrekt. Das eigentliche Problem hat nichts mit dem Doodle zutun, sondern mit der fehlerhaften Indexierung in der Bildersuche.

Laut Vertretern der Bundesfinanzagentur ist dieser hochgradig fahrlässige Zustand des Internetauftrittes “schon sehr lange so, die Webagentur habe das so geliefert” (…) Trotz beauftragtem “Sicherheitsberater” und einer Beratung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurden bisher keine Probleme an der Systemimplementierung identifiziert, (…) Auf nochmalige Rückfrage teilte die Bundesfinanzagentur dem CCC mit, daß der Server zwar einmal mit einem Penetrationstest auf Sicherheitsprobleme von außen untersucht wurde, es seien aber keine Mängel gefunden worden.

Eine “Webagentur” kopiert webadmin.php (“a simple Web-based file manager”) ins htdocs-Verzeichnis, benennt es in filedfa.php um (wahrscheinlich damit die Datei nicht gefunden werden kann…) und sagt Suchmaschinen via robots.txt, dass diese PHP-Datei nicht in den Index aufgenommen werden darf. Der Eintrag in der robots.txt sah so oder so ähnlich aus: Disallow: /filedfa.php
Mit anderen Worten — was Google nicht finden soll, das gibt es auch nicht und was Google nicht indexiert, das können Menschen schon gar nicht finden.

Da Sicherheitsberater, das Bundesamt für Sicherheit in der Informationstechnik (BSI) und auch die gemeinen Penetrationstester niemals in die robots.txt reinschauen, gab es für sie keine Chance diese Sicherheitslücke zu finden.

Ein Screenshot von dem Dateimanager findet man bei Heise: “Webserver der Bundesfinanzagentur offen wie ein Scheunentor” (heise.de)


Ich habe ja keine Ahnung von so etwas, aber ich würde einen webbasierten Dateimanager schon mal gar nicht nutzen wollen, sondern nur SFTP und wenn doch, dann nur per Passwort zugriffsgeschützt, aber wie gesagt… ohne Informatikstudium, Diplom, etc. ist dies nur meine unmaßgebliche, unfachmännische Meinung.

Was bin ich froh dass ich kein gelernter Informatiker und Penetrationstester bin, sondern nur ein Autodidakt der als Penntester arbeitet. ;O)


filedfa.php
file
dfa => Deutsche FinanzAgentur

Welche “Webagentur” war da am Werk? Haben die evtl. auch bei ihren anderen Kunden so eine Backdoor hinterlassen?


Update: 12.03.2011 – 19:51 Uhr

“Angriff auf Web-Angebot der Bundesfinanzagentur” (zeit.de)

Die Website «www.bundeswertpapiere.de» sei am Donnerstag «offenbar Ziel einer Webattacke geworden», (…) Bei der Frankfurter Staatsanwaltschaft sei Strafanzeige gegen Unbekannt erstattet worden.

Weiß die Finanzagentur des Bundes nicht mehr welche “Webagentur” sie beauftragt hatte oder warum soll die Staatsanwaltschaft ermitteln und weiter Steuergelder verschwenden? Und die “Webattacke” ist ja wohl kaum am Donnerstag erfolgt, sondern sehr wahrscheinlich, wenn überhaupt, schon vor oder seit mehreren Jahren. Welcher PR-Fritze ist den auf diese grandiose Idee gekommen? Einfach nur ein lächerlicher Versuch die eigene Inkompetenz und die der Beteiligten unter den Teppich zu kehren.

SQL-Injection

SQL-Injection (dt. SQL-Einschleusung) bezeichnet das Ausnutzen einer Sicherheitslücke in Zusammenhang mit SQL-Datenbanken, die durch mangelnde Maskierung oder Überprüfung von Metazeichen in Benutzereingaben entsteht. Der Angreifer versucht dabei, über die Anwendung, die den Zugriff auf die Datenbank bereitstellt, eigene Datenbankbefehle einzuschleusen. Sein Ziel ist es, Daten in seinem Sinne zu verändern oder Kontrolle über den Server zu erhalten.

Quelle: http://de.wikipedia.org/wiki/SQL-Injection


Google indexiert nicht nur das was der Betreiber einer Website gerne unters Netzvolk bringen möchte, sondern auch peinliche oder gar gefährliche Fehlermeldungen, die schwerwiegende Sicherheitslücken anzeigen können.

Folgende Meldung hat jeder, der öfter im Netz unterwegs ist, sicher schon einmal gesehen:

Eine Fehlermeldung die anzeigt dass mit der Datenbank, bzw. dem Script welches auf sie zugreift, etwas nicht in Ordnung ist.

In diesem Fall hat Google eine Seite noch im Index gelistet die es nicht mehr gibt. Anstatt eines Hinweises, dass die Seite gelöscht wurde und eine Weiterleitung zur Startseite folgt, erscheint die Fehlermeldung aus der Datenbank. Ein Angreifer kann nun hoffen hier leichtes Spiel zu haben.


Suchmaschinen haben noch keine Algorithmen parat, die dafür sorgen dass solche Seiten sofort aus dem Index entfernt werden. Alleine das Auftauchen des Textes einer Fehlermeldung in einer Website bedeutet ja nicht unbedingt dass es sich um einen Fehler in der Website selber handelt. In den Suchergebnissen listen die Suchmaschinen auch Foreneinträge auf, in denen jemand fragt was es mit der Fehlermeldung auf sich hat und wie der Fehler behoben werden kann.


Ein Angreifer würde nun als erstes versuche zu ermitteln welches CMS, welcher Shop, etc. auf der Seite benutz wird. Wenn er dies herausfinden kann, dann weiß er unter Umständen welche Struktur die Datenbank hat und kann ganz gezielt versuchen Daten auszulesen.

In einem für ihn unbekannten System wird er versuchen zu klären wie viele Spalten die Tabelle hat, hierfür würde er folgenden Code injizieren:
UNION SELECT 1,2,3,4,5,6,7,8,9,10

Solange die Meldung The used SELECT statements have a different number of columns angezeigt wird, besteht der Datenbankeintrag aus mehr oder auch weniger Spalten.

Einfaches Anhängen eines weiteren Komma und einer Zahl wird solange wiederholt, bis diese Fehlermeldung nicht mehr erscheint. Wurde die Anzahl der Spalten erfolgreich ermittelt, wird auf der Website irgendwo eine oder mehrere der injizierten Zahlen angezeigt:

Eine der Zahlen wird mit SQL-Befehlen ersetzt, die dem Angreifer die entsprechenden Informationen liefern:

Was ein Angreifer mit einer SQL-Injection anfangen kann, ist von dem verwendeten System abhängig. Auf jeden Fall wird er versuchen die Passworte bzw. deren Hash auszulesen, mit samt dem Usernamen. Da leider noch immer in vielen Systemen die Passworte nur aus einem ungesalzenen Hash bestehen, gibt es immer die Gefahr, dass einfache Passworte gecrackt werden können. Das Ziel eines Angreifers in einem Shop können aber auch die in der Datenbank gespeicherte Zahlungsinformationen der Kunden sein, um deren Bankkonto leerzuräumen oder die Kreditkarte zu belasten.


Von 500 untersuchten Suchergebnissen fand ich in mehr als 80% der Seiten die Fehlermeldung aus der Datenbank, also eine potenzielle Sicherheitslücke zu SQL-Injection. Zum Teil sind es alte Seiten, die wohl schon seit längerer Zeit nicht mehr gepflegt und genutzt werden. Warum diese Seiten nicht einfach gelöscht werden ist mir nicht klar, denn auch und vor allem diese Seiten können für Angreifer sehr interessant sein. Ein Angriff und eine erfolgte Injektion wird in solchen Seiten erst sehr spät, wenn überhaupt, erkannt.

Unter meinen, bzw. Googles, Fundstücken waren neben Shops, Dienstleister für IT-Security, Webagenturen und Programmierer, auch Seiten von Banken und Regierungsorganisationen. Schwachstellen zu SQL-Injection sind sehr weit verbreitet, was schon an der Vielzahl der Ergebnisse in Suchmaschinen abzuschätzen ist.

Das Auswahlfenster ist so gestaltet, dass zunächst nur fünf Webbrowsersymbole mit kurzen Beschreibungen zu sehen sind, und zwar immer nur die der fünf populärsten Programme. Deren Reihenfolge wird zu jedem Aufruf des Auswahlfensters nach dem Zufallsprinzip neu angeordnet. Um die weiteren Alternativen sehen zu können, die auch untereinander mit jedem Neustart umgeordnet werden, muss der Nutzer in dem Auswahlfenster zur Seite scrollen.

Es ist wohl nur Zufall, dass der erste angezeigte Browser auf browserchoice.eu immer der Exploder ist, wenn JavaScript deaktiviert wurde. Es könnte auch daran liegen das es in ASP keine Funktion für Zufallszahlen gibt. ;O)

Aber ist es auch ein Zufall das ein Klick auf “Installieren” unter dem Logo vom “Avant Browser” zu einem mit Malware verseuchten Download führt?

Die “Diagnoseseite für filekicker.net (google.com) ist nicht wirklich hilfreich:

Ein Bestandteil dieser Website wurde in den letzten 90 Tagen 1 mal aufgrund verdächtiger Aktivitäten auf die Liste gesetzt.
(…)
0 Seite(n) von insgesamt 520 Seiten dieser Website, die wir in den letzten 90 Tagen getestet haben, wurde festgestellt, dass Malware (Schadsoftware) ohne Einwilligung des Nutzers heruntergeladen und installiert wurde. Der letzte Besuch von Google auf dieser Website war am 2010-03-15 und verdächtiger Content wurde auf dieser Website zuletzt am 2010-03-15 gefunden.

Na was denn nun? 1 mal oder 0 mal innerhalb der letzten 90 Tage?

Malicious software includes 29 trojan(s), 4 worm(s)

Google ist verwirrt!


Die virustotal.com-Prüfung hat auch nur ein “Suspicious.Insight” von Symantec in der absetup.exe gefunden und viruschief.com findet gar nichts verdächtiges.

Wollen wir mal glauben das die Jungs von Avant Browser (avantbrowser.com) den Jungs von Microsoft einfach nur einen falschen Downloadlink gegeben haben. Vielleicht war es ja auch nur ein Spass und die Avanties wollten Microsoft testen, ob die den komischen Link bemerken. :O)

2 computer verbinden für internet windows 98

Hallo?! Bei dem “98″ könnte man vermuten das es sich um eine Jahreszahl handelt?! Verschrotten – nicht verbinden!

md5 unsicher für passwörter

Ungesalzen ist MD5 genau so unsicher wie anderer Algorithmen, weil es

md5 cracker

gibt.

streng vertraulich type=xls

Also wenn, dann muss es filetype:xls oder ext:xls heißen. Man wird allerdings z.B. vom Bund oder seinen Behörden kaum etwas finden, es sei denn ein frustrierter Beamter will seinem Ärger Luft machen.

robots.txt disallow filetype .txt bnd

suchen? Hier http://www.bnd.de/robots.txt stehts doch!?

mitarbeit bnd
bnd vorstellungsgespräch
bnd braucht mitarbeiter
Vorstellungsgespräch beim BND
einstellungsgespräch beim bnd
inoffizielle Mitarbeiter bnd

absturz firefox 5 warum?

Aktuell sind wir beim Firefox 3.6 – also ist der Trojaner wohl nicht so gut gecodet?!

warum erscheinen meine gespeicherten dateien in der google suchmaschine

Da tipp ich mal auf aktiviertes Directory-Listing – kann und sollte man abschalten.

Was macht ein Linkbuilder?
wie linkbuilder werden
linkbuilding woher links bekommen

Ist Suchmaschinen-Spammer bereits ein erstrebenswerter Beruf?

wo wohne ich

In einer Welt in der verwirrte Menschen leben?!

wie kann ich im studivz den schutz abschalten
hat studivz meine ip adressdaten?
ip adresse nicht anzeigen studivz
können andere meine ip adresse sehen? studivz
studivz ip abschalten

ab wann und wieviel uhr werden bei studivz die ip adresse gespeichert?

Vom 32. Januar bis zum 35. Februar des Folgejahrhunderts und zwischen 6 Uhr 62 und 28 Uhr, bei 1,5 Promille Schweiß-Alkohol… so oder so ähnlich, das macht jeder etwas anders. ;O)

wird facebook account wirklich gelöscht

Nein!

sie hat bei Facebook die google suche aktiviert

Und nun?

Geheime Google Hacks

… findet man kaum über die Google-Suche – dann wären sie ja nicht mehr geheim.

kann gott mein aussehen verändern?

warum benutzt gott ein buch
Was soll ich mit Gott auf dieser Erde?
Ist Gott eine Notbremse
ist gott ein spielverderber
Meine Identität in Gott
sicherheit bei gott

quellcode gottes
update gott
gott bot internet
internet verglichen mit gott
surft Gott im Internet
Wo ist Gott im Web 2.0
findet gott ballerspiele ok?

gott unmoralisch
dummer gott
gott ist nicht unfähig
wo ist gott auf dieser welt?
gott und erwartungen
wie findet man zu Gott
mein Gott ist richtige Gott

Wie geht mit einem Korinthenkacker um

Einfach zustimmend nicken und schon hat man seine Ruhe. ;O)

Vor ein paar Tagen sprach ich mit einem Lehrer. Seine Schülern sollten etwas zum Thema Deutsche Revolution 1848/49 (de.wikipedia.org) im Internet recherchieren.

Hanauer Ultimatum (de.wikipedia.org)

Das Hanauer Ultimatum vom 9. März 1848 war eine Petition Hanauer Bürger an ihren Landesherren im Rahmen der Revolution von 1848/49, um bürgerliche Grund- und Freiheitsrechte zu erlangen.
(…)
Das Hanauer Ultimatum vom 9. März 1848 entstand im Zuge einer Petition an den Kurfürsten: Nachdem eine im Februar 1848 aufgesetzte Petition kurzfristig keine Veränderung bewirkt hatte, wählten Hanauer Bürger, die sich auf dem Marktplatz der Hanauer Neustadt versammelten, eine 24-köpfige „Volkskommission“, der unter anderem August Schärttner, Christian Lautenschläger, Pedro Jung, August Rühl sowie der Bürgermeister Bernhard Eberhard angehörten

Es gab 24 Mitglieder dieser “Volkskommission”, aber nur fünf werden auf Wikipedia erwähnt. Die Aufgabe für die Schüler bestand nun darin, die anderen 19 Mitglieder herauszufinden.

Wie beginnt man üblicherweise mit der Recherche, z.B. per Google?

Wir suchen nach den gegebenen fünf Namen (Schärttner, Lautenschläger, Jung, Rühl, Eberhard), in der Hoffnung, eine Seite zu finden, auf der die restlichen Mitglieder erwähnt werden.

Einer der acht Treffer führt uns auf die Seiten der Stadt Hanau und dort finden wir zwar “Das Hanauer Ultimatum” (hanau.de), aber darin ist nur ein neuer Name enthalten, Karl Röttelberg. Johann Bernhard Eberhard, der auch Oberbürgermeister war, wird darin nicht erwähnt. Dieser selbst findet sich aber auf der Seite “Oberbürgermeister der Stadt Hanau” (hanau.de), mit dem Hinweis:

Mitunterzeichner des Hanauer Ultimatums vom 9. März 1848

Ähnlich erfolglos bleiben die weiteren Recherchen per Google. Auch mit dem Zusatz “Volkskommission”, “Hanau”, “1848″ und dem Weglassen von einzelnen Namen, kommt man dem Ziel nicht näher. Eine Suche nach “Hanauer Ultimatum” bleibt auch ohne Erfolg, da diese Bezeichnung ganz sicher nicht in der Petition selber zu finden ist.

Die Schüler haben angeblich mehr als 100 Seiten durchforstet und nichts finden können, bis einer auf die Idee kam, auf den Seiten der Deutschen Nationalbibliothek (d-nb.de) nachzuschauen. Nach weiteren Suchanfragen dort, wurde er fündig und fand die Petition inkl. aller 24 Unterzeichner.


Setzt man sich etwas mit dem auseinander, was Suchmaschinen indexieren können und was nicht, so kann man sehr viel schneller gute Ergebnissen bei der Recherche erzielen.


Beginnen wir noch einmal mit der Recherche, nur diesmal berücksichtigen wir, was wir suchen bzw. aus welcher Zeit dies stammt und was Suchmaschinen dazu aufgenommen haben können und was nicht.

Wir schreiben das Jahr 1848. Die meistbenutzte Druckschrift im deutschsprachigen Raum ist zu der Zeit Fraktur (de.wikipedia.org). Dokumente in dieser alten Schriftart, die die meisten Menschen heute kaum noch lesen können, werden wir wahrscheinlich nur als eingescannte Bilder im Internet finden können.

PDF-Dokumente können u.a. Texte und Bilder enthalten. Ein mit einer Textverarbeitung geschriebener Text der als PDF gespeichert wurde, enthält die Textinformation selber, die auch Google in seinen Index aufnehmen kann. Wird hingegen ein Dokument eingescannt und als PDF gespeichert, so fehlt die Textinformation, da nur ein Bild der Vorlage gespeichert wird. Man könnte vor dem Speichern als PDF eine Texterkennung einsetzen, um die Textinformation zu erhalten, diese wird aber bei der Schriftart Fraktur versagen. In der alten Schrift wird u.a. das lange s (de.wikipedia.org) verwendet, welches wie ein f aussieht und da sich wohl kaum jemand die Mühe macht alle gescannten Dokumente entsprechend nachzubearbeiten und Korrektur zu lesen, müssen wir davon ausgehen dass die Petition nur als Bild gespeichert vorliegt. Google nimmt zwar auch Bilder in den Index auf, aber nicht den Text der auf einem Bild zu lesen ist, sondern nur, sofern vorhanden, den alternativen Text und/oder den Titel eines Bildes. Der Dateiname selber wird unter guten Umständen auch vom Google-Bot aufgenommen.

Wir können nicht nach Bestandteilen aus dem Text selber suchen, da wir diesen zum größten Teil nicht kennen und zum anderen annehmen müssen, dass dieser nur als Bild im Internet verfügbar ist (egal ob nun als GIF, TIFF oder PDF), bleibt uns nur die Möglichkeit nach Schlagworten oder Eigennamen zu suchen, nach etwas, was eine geschichtswissenschaftliche Institution in ihre Datenbank aufgenommen hat, wie das Dokument katalogisiert wurde.

Mit diesem Wissen gerüstet, suchen wir nun noch einmal per Google. In dem Text von Wikipedia sticht das Wort “Volkskommission” hervor, da es heute eher ungebräuchlich ist, versuchen wir es mit diesem einen Wort erneut: Volkskommission

Bereits das siebente vierte Suchergebnis sieht sehr vielversprechend aus:

Wenn wir nun auf der verlinkten Seite nach der “Volkskommission” suchen, so finden wir gleich zwei Dokumente:
http://edocs.ub.uni-frankfurt.de/volltexte/2006/5599/
http://edocs.ub.uni-frankfurt.de/volltexte/2006/5595/

Die Seite Zentrales Verzeichnis Digitalisierter Drucke (digitalisiertedrucke.de) kannte ich bisher leider nicht. Sucht man dort nach “Volkskommission”, so wird man sofort mit den zwei Treffern belohnt.


Meist ist es hilfreich mehrere Suchworte in Google einzugeben, da es häufig zu viele Suchergebnisse gibt, wenn man nach zu allgemeinen Wortkombinationen sucht. In diesem Fall sieht man, nur genau das Gegenteil des üblichen Vorgehens führt zum Erfolg. Dies ist bedingt durch die Art bzw. das Alter des gesuchten Dokuments und dem Umstand, dass die Dokumente zwar in digitaler Form vorliegen, aber nicht im Volltext von Suchmaschinen indexiert werden können.


Da ich den Schülern nicht den Spaß der Recherche nehmen möchte…

In den zwei Dokumenten gibt es verschieden geschriebene Unterzeichner:
Nauh – Rau | Schreer – Schreher | Rühl – Rülh | Weidman – Weidmann

Viel Spaß! ;O)


Update: 27.02.2010 – 17:30 Uhr

Die Links zur Uni Frankfurt, mit den zwei Versionen der Petition, hatte ich auch in den Wikipedia Artikel eingefügt. Ich habe gerade gesehen das diese Links mittlerweile in den Hauptartikel übernommen wurden.

DAS ist für mich Web 2.0!

Er meldete sich bei mir und berichtet von Spameinträgen in seinem Blog, die für die üblichen Medis oder günstige Software warben. Er vermutete seine Zugangsdaten zum Blog oder gar zum Google-Account selber wurden gehackt. Wenn man alle seine Netzaktivitäten über einen Account laufen hat… kann solch ein Einbruch schon zu Herzrhythmusstörungen führen. ;O)

Also Spam gelöscht, neue Passworte vergeben. Ein paar Stunden später waren wieder neue Spameinträge vorhanden. Mist! Was ist da los? Ein Trojaner auf dem Rechner der die neuen Passworte gleich mitgelesen hat?

Nach deaktivieren des Blogs dämmerte ihm woher der Spammer die Zugangsdaten kannte… :O)

Auf blogger.com gibt es, wie auch in WordPress, die Möglichkeit eine E-Mail-Adresse einzurichten über die man einfach einen neuen Blogpost veröffentlichen kann. Man schreibt an diese Adresse eine E-Mail, je nachdem wie man es konfiguriert hat, wird der neue Beitrag entweder sofort veröffentlicht oder als Entwurf gespeichert. Diese E-Mail-Adresse sollte man natürlich auf gar keinen Fall irgendwem geben oder für andere Zwecke benutzen. Diese Adresse ist, wenn man so will, das Passwort um einen Eintrag zu posten.

Mein Freund hatte dieses Mail2Blogger nur ausprobieren wollen und hatte es so eingerichtet, dass der Eintrag sofort veröffentlich wird. Er hatte nur einen Test durchgeführt, also nur einen Blogeintrag per E-Mail geschrieben und diese Funktion dann nicht mehr genutzt — nur leider hatte er dieses Feature nicht wieder deaktiviert.

Den Test hatte er über Facebook gemacht und einfach nur eine Statusmeldung an den eigenen Blog gesendet. Der Eintrag wurde im Blog angezeigt, Test beendet, funktioniert, abgehakt. Facebook war allerdings der Meinung die E-Mail-Adresse zum in-den-Blog-schreiben sollte jeder im Internet kennen und veröffentlichte sie in einer anderen Meldung, die jeder, auch wenn er nicht in Facebook angemeldet ist, sehen kann. Tolle Wurst von Facebook!

Der der nun diese E-Mail-Adresse gefunden hat, war zum Glück so freundlich nur harmlosen Spam an die Adresse zu senden und nicht wirklich böses Zeuch. Ok, Problem erkannt. Einfach dieses Feature bei Blogger wieder daktivieren und schon ist der Spuk vorbei… denkste.

Es tut uns leid, aber… … ihr Computer oder Netzwerk sendet eventuell automatische anfragen.

Diese Meldung bekommt man angezeigt wenn ein Script zu viele Anfrage an die Google-Suche absetzt, aber warum bekommt man diese Meldung auch angezeigt, wenn man nur dieses Feature zum Bloggen per E-Mail wieder abschalten möchte? Tolle Wurst von Google!

Nun half nur noch, einen neuen User anlegen und den User, mit der speziellen E-Mail-Adresse zum Bloggen, zu löschen.

Viel Aufregung wegen einer kleinen Dummheit meines Freundes (das Feature nicht wieder zu deaktivieren), der Plaudertasche Facebook und der Datenkrake Google, die an den Stellschrauben gegen zu viele Anfragen etwas zu viel gedreht hat. :O|

Jeweils nach nur wenigen Sekunden fand ich… irgendwie wird es ja fast langweilig, wenn es wirklich nur Defacement wäre und man per XSS nicht auch an die Session-ID gelangen würde.

50% der Websites sind betroffen. Am Freitag habe ich noch allen eine E-Mail gesendet. Einer hat auch schon geantwortet und meinte, dass er mit einer Nominierung nicht gerechnet hat, da die Website selber erstellt wurde ohne Hilfe einer Agentur.

Nur weil eine Agentur, überbezahlte Entwickler,… ok, ich sag ja schon nichts mehr.


Vor ein Paar Tagen las ich auf gulli: “Symantec-Website gehackt” (gulli.com)

Ausgerechnet die Website der japanischen Niederlassung des Sicherheitssoftware-Herstellers Symantec wies offenbar bis heute massive Schwachstellen auf. Das berichtet ein rumänischer Hacker namens “Unu”.
(…)
Offenbar waren die Passwörter von Kunden im Symantec Online-Shop im Klartext gespeichert…

Die Quelle auf die sich gulli.com bezieht: “Symantec exposed passwords,serials… SQL Injection, full database access” (unu123456.baywords.com)

Symantec… Passworte im Klartext… bidde?

Die Jungs und Mädels von Symantec beschäftigen sich zwar eher mit Viren, Würmern und Trojanern, aber Passworte im Klartext zu speichern ist wohl eines der peinlichsten Fehler die man machen kann… obwohl…


Mit etwas krimineller Energie kann man auch fast ohne Aufwand an Passworte gelangen. Man setze einfach eine Website auf, eine Social Community zum Thema xyz. Die Software kann etwas sein was die Opfer kennen, da ein Cracker nun auch keine Zeit hat, etwas eigenes zu entwickeln. An diese Software flanscht man eine kleine Pipeline an, die die Passworte gleich nach dem Registrieren und jedem Login im Klartext in einer zweiten Datenbank speichert. Da ca. 37% (zu der Zahl komme ich gleich noch) Passwort-Recycling betreiben, also das gleiche Passwort in verschiedenen Diensten benutzen, kann sich der Cracker ein Gesamtbild von seinem Opfer machen. Diese Crackommunity lässt man eine Zeit lang laufen. Wenn man keine zu offensichtlichen Fehler macht, so sollte man in relativ kurzer Zeit mehrere tausend User im System haben.

Die Leute im Netz sind ja soooo vertrauensselig… “Oh, eine neue Website, gleich mal registrieren und natürlich mit meinen echten Daten und dem Passwort was ich immer verwende.”

Hat der Cracker keine Zeit oder auch einfach keine Lust, eine eigene Social Community aufzubauen, so kann er auch recht einfach bestehende Seiten anzapfen.


Am vergangenen Sonntag stolperte ich per Google-Hacking über etwas…

Eine Website, über die Freelancer Jobs finden können, speichert offensichtlich die Dateien die der Auftraggeber dem Auftragnehmer gibt, damit dieser den Job erledigen kann. Da findet man natürlich alle möglichen und unmöglichen Dateiendungen, von .doc über .pdf und .php bis zu .example ist alles dabei. In den Dateien gibt es dann auch Zugangsdaten der verschiedensten Art.

In einer Word-Datei schrieb die Auftraggeberin gleich die Zugangsdaten zum FTP-Server und dem Domain-Dealer-Account mit auf, damit es der Freelancer (und der Cracker) einfacher haben. Wie nicht anders zu erwarten ist, findet man auf der Website bereits ein Unterverzeichnis mit einem kleinen Tool, um die Datenbank nach SQL-Injection abzuklopfen.

In einer PHP-Datei stehen, obwohl es nur ein Eingabeformular ist, die Zugangsdaten zur Datenbank. Da dort nun nicht einfach nur “localhost” zu finden ist, sondern eine IP-Adresse, stellt es kein Problem dar, den dazugehörige Datenbankserver zu finden. Gibt man nur die IP-Adresse in den Browser ein, so findet man eine Website, auf der der Hoster seinem Kunden den Link zu phpMyAdmin anbietet. Mit den Zugangsdaten loggt man sich dann in die Datenbankadministration ein und in der Tabelle der User findet man natürlich auch die Hashes der Passworte. Die Passworte sind zwar per MD5 codiert, aber leider ohne Salz. Gleich der erste Hash, der des Admin des Systems, ist in einer Datenbank eines MD5-Cracker zu finden. Und der Datenbankname ist so einzigartig… Googles erstes Suchergebnis war die Website zu der Datenbank und dort gibt man die Zugangsdaten des Admin ein. Tja.. Backend des CMS… buff!

Ein relativ langer Weg:

1. Freelancer-Website wirft sensible Dateien den Suchmaschinen zum Fraß vor.
2. Auftraggeber schiebt Freelancer Datei mit DB-Zugangsdaten rüber.
3. IP-Adresse anstatt “localhost”.
4. Auswahlmenü vom Hoster zu phpMyAdmin.
5. Administrator des Systems verwendet crackbares Passwort.
6. Datenbankname ist einzigartig, womit man die Website findet und den Zugang zum Backend des CMS.

Nebenbei finden sich auch noch mehr als 1000 weitere User in der Datenbank. Nicht sehr groß diese Community – von Quantität sollte man aber nicht auf Qualität schließen!


Und dies alles nur weil die Freelancer-Website Dateien, die nicht für die Öffentlichkeit bestimmt sind, öffentlich macht? Bevor ich da jemandem, der angeblich zu den Marktführern in diesem Segment gehört, mit solchen Anschuldigungen komme, klopfe ich meine Vermutung noch einmal ab, versuche es wasserdicht zu machen. Also habe ich noch einmal genau nach den Dateinamen gesucht und fand dann auch den wahren Schuldigen.

Nicht die Betreiber der Website habe da einen Fehler gemacht – nein! Die Auftraggeber haben beim Einstellen ihrer Gesuche die Möglichkeit den potenziellen Auftragnehmern auch Dateien zur Verfügung zu stellen. Es gibt Auftraggeber die dort Dateien hinzufügen in denen Daten stecken… Oh mein Gott, wirf Hirn vom Himmel. :O)


Ich habe mir die mehr als 1000 Hashes bzw. die Passworte dann noch etwas genauer angeschaut:

• 60% lassen sich per MD5-Cracker ermitteln.
• 33,8% / 6 Zeichen lang
• 23,7% / 7 Zeichen lang
• 26,1% / 8 Zeichen lang
• 10,3% / 9 Zeichen lang
• 6,1% / länger als 9 Zeichen
• 4,6% / nur Ziffern
• 50,6% / nur Buchstaben
• 44,8% / Ziffern und Buchstaben
• 1,5% der Passworte kommen mehrmals vor.

Als Passwort kommt “password” und “123456″ gar nicht vor und “12345678″ nur zweimal.

Die statistischen Werte der Passworte sind relativ gut, auch wenn sie per MD5-Cracker zu ermitteln sind, was wohl an dem Alter der User liegt. Laut den Usernamen wie z.B. purzel61 und dem was ich in Hotmail gesehen habe, sind die User eher alte Säcke, so jenseits der 45 bis 55 Jahre und älter.

25,8% der crackbaren Passworte gehören zu einem hotmail.com-Account. Da Microsoft keine Captchas einsetzt, wenn man sich mehrfach einloggt, habe ich der Einfachheit halber nur diese Passworte nachgeprüft. Mit 37% der Passworte kann man sich in den Webmail-Account einloggen. Dies sind die 37% die ich oben schon im Zusammenhang mit dem Passwort-Recycling erwähnte. Man kann wohl davon ausgehen, dass sich der Hang zum Passwort-Recycling von Hotmail-Usern nicht signifikant von anderen Usern unterschiedet.

<einschub>
Google macht es dem Cracker etwas schwerer. Dort muss man, egal ob das Passwort nun stimmte oder nicht, nach einigen Anmeldungen, ein Captcha lösen und die Google-Captchas lassen sich manchmal kaum entziffern. So etwas verdirbt dem Cracker den Spaß, da geht er doch lieber zur Konkurrenz.

Man muss kein Microsofthasser sein, aber das Verhalten von Google finde ich in diesem Fall mal wieder sehr viel durchdachter. Microsoft, warum sollte es legitim sein, sich mit hunderten von verschiedenen Zugangsdaten, innerhalb von wenigen Minuten, bei Hotmail anzumelden?
</einschub>

Ich habe nun zwar die eigentlichen Schuldigen angeschrieben, aber weiß noch nicht ob ich die mehr als 1000 User auch anschreiben soll, dass sie ihr Passwort ändern müssen. Manchmal gibt es schon von den Verantwortlichen mehrfach Rückfragen, wo denn das Problem liegt, aber dies nun einem Enduser, der schon froh ist, dass er seine E-Mail einigermaßen heil senden und empfangen kann, zu erklären?! Und dann auch noch auf Auswärts?


Unter denen, die auf der Freelancer-Website Dateien veröffentlichen, die man eigentlich nicht öffentlich machen sollte, gibt es auch bekannte Firmen. Zum Beispiel SEO-Firmen die für ihr “Link Building” (man kann auch Spam sagen) Leute suchen, die auf irgendwelchen Websites Links setzen, Kommentare hinterlassen, Foreneinträge schreiben, etc. In den Excel-Dateien gibt es dann neben den Kunden-URLs auch gleich die Zugangsdaten zu den Social Bookmarks, Foren, etc., etc.

Damit komme ich dann noch einmal zum Anfang zurück und schließe den Kreis.

Nur weil man eine Agentur für einen Job bezahlt, bedeutet dies noch lange nicht, dass der Job auch professionell erledigt wird. Viele Agenturen sind zwar professionell im Sinne von: sie verdienen ihr Geld damit – aber vollkommen unprofessionell, was die Qualität ihrer Arbeit angeht.