“Microsoft: Gefahr für alle Surfer” (pcwelt.de)

Microsoft und andere Computerexperten warnen vor einem ernsten Sicherheitsloch im Internet. Die Bedrohung geht vom sogenannten “cross-site-scripting” aus. Betroffen sind Programme aller Hersteller, da das Problem nicht aus den Anwendungen, sondern aus bestimmten Internet-Standards resultiert.
(…)
Das Problem kann nur durch massive Anstrengungen der Web-Designer unter Kontrolle gebracht werden, sagte dazu ein Sprecher des CERT Coordination Center der Carnegie Mellon Universität. Riediger vom deutschen CERT rät den Anwendern, aktive Inhalte abzuschalten.

“aktive Inhalte abzuschalten” – das wird für den Besucher gar nicht so leicht, denn viele, sehr viele Websites funktionierten ohne JavaScript gar nicht mehr.


Die Meldung ist schon etwas älter… vom 4. Februar… 2000.


Mehr als 10 Jahre ist der Artikel alt und was hat sich geändert?

Die Angriffsmöglichkeiten die Cyberkriminellen zur Verfügung stehen haben sich um ein vielfaches erhöht. Heute findet man kaum noch Websites die ohne dynamische Inhalte daherkommen. Gibt es z.B. eine Sicherheitslücke in einem Content Management System, so sind gleich, je nach Verbreitung, tausende Seiten betroffen, was i.d.R. von den Kriminellen auch sehr schnell ausgenutzt wird.

Die Softwareentwickler und die vielen Websitefrickler, die sich “Webdesigner” nennen und in “Webagenturen” arbeiten, habe kaum bis gar nichts dazugelernt. In neu aufgesetzten Websites und in neuer Software (z.B. CMS) finden sich zu Hauf Sicherheitslücken, bei denen man sieht, da wurden wieder grundlegende Regeln für sichere Anwendungen missachtet.

Ich glaube wir brauchen endlich Standards an die sich Entwickler halten müssen, bevor sie tausendfach ihre Software verteilen, wobei ich jetzt nicht den kleinen Privatfrickler meine, sondern Firmen die mit ihrer Arbeit Geld verdienen. Und wir brauchen Standards wie diese Firmen mit gemeldeten Sicherheitslücken umgehen müssen, in welchem Zeitrahmen – nachprüfbar – gehandelt wurde.

Auch ein Websitebetreiber der Hinweise zu Sicherheitslücken bekommt muss handeln und zwar nachprüfbar. Es kann nicht sein das gemeldete Lücken aus Kostengründen oder Desinteresse ungefixt bleiben und man sich einfach darauf verlässt dass der der den Hinweis gegeben hat schon nichts veröffentlichen wird und kriminelle Hacker die Lücken nicht finden und ausnutzen werden.

Auch in Websites die aktuell 600.000 Besucher pro Tag haben gibt es eklatante Sicherheitslücken, von denen die Betreiber wissen, wo aber nicht gehandelt wird – 600.000 potenzielle Opfer von Cyberkriminellen – täglich – über eine Website! Wer Sicherheitslücken vorsätzlich nicht schließt, sollte haftbar gemacht werden können.

Verstößt jemand gegen den Datenschutz, so gibt es in jedem Bundesland eine Stelle an die man sich wenden kann. Um vorsätzlich ungefixte Lücken kümmert sich niemand, da muss der Handlanger der Cyberkriminellen keine Strafen befürchten – im Gegenteil, der Hinweisgeber wird sogar noch mit Klagen bedroht, um ihn mundtot zu machen.

Mir fällt es schwer hier den Gesetzgeber zum Handeln aufzurufen – aber eine Selbstkontrolle oder Selbstverpflichtung gibt es zu dem Thema leider bisher nicht.


Zu dem Thema noch zwei Links:
“Experten diskutieren über verantwortungsvolle Offenlegung von Sicherheitslücken” (heise.de)

Tim Stanley, CISO bei der Fluglinie Continental Airlines, fand als Kunde der beiden Softwarehersteller deutliche Worte: “Es ist mir egal, in welchem Verhältnis Hacker und Hersteller zueinander stehen. Ich zahle direkt und indirekt die Arbeit von beiden und will, dass die Lücken so schnell wie möglich geschlossen werden.”

Und für die die Lücken finden und nicht wissen wie sie damit umgehen sollen:
“CR152 – Responsible Disclosure – Wie man als Hacker am Leben bleibt” (chaosradio.ccc.de)

Ein Freund nutzt neben den Diensten die Google so anbietet, E-Mail, AdWords, AdCents, Docs, etc. auch blogger.com, um die Welt an seinem Gott und seiner Welt teilhaben zu lassen. Vorgestern gab es ein bisschen Panik bei ihm.

Er meldete sich bei mir und berichtet von Spameinträgen in seinem Blog, die für die üblichen Medis oder günstige Software warben. Er vermutete seine Zugangsdaten zum Blog oder gar zum Google-Account selber wurden gehackt. Wenn man alle seine Netzaktivitäten über einen Account laufen hat… kann solch ein Einbruch schon zu Herzrhythmusstörungen führen. ;O)

Also Spam gelöscht, neue Passworte vergeben. Ein paar Stunden später waren wieder neue Spameinträge vorhanden. Mist! Was ist da los? Ein Trojaner auf dem Rechner der die neuen Passworte gleich mitgelesen hat?

Nach deaktivieren des Blogs dämmerte ihm woher der Spammer die Zugangsdaten kannte… :O)

Auf blogger.com gibt es, wie auch in WordPress, die Möglichkeit eine E-Mail-Adresse einzurichten über die man einfach einen neuen Blogpost veröffentlichen kann. Man schreibt an diese Adresse eine E-Mail, je nachdem wie man es konfiguriert hat, wird der neue Beitrag entweder sofort veröffentlicht oder als Entwurf gespeichert. Diese E-Mail-Adresse sollte man natürlich auf gar keinen Fall irgendwem geben oder für andere Zwecke benutzen. Diese Adresse ist, wenn man so will, das Passwort um einen Eintrag zu posten.

Mein Freund hatte dieses Mail2Blogger nur ausprobieren wollen und hatte es so eingerichtet, dass der Eintrag sofort veröffentlich wird. Er hatte nur einen Test durchgeführt, also nur einen Blogeintrag per E-Mail geschrieben und diese Funktion dann nicht mehr genutzt — nur leider hatte er dieses Feature nicht wieder deaktiviert.

Den Test hatte er über Facebook gemacht und einfach nur eine Statusmeldung an den eigenen Blog gesendet. Der Eintrag wurde im Blog angezeigt, Test beendet, funktioniert, abgehakt. Facebook war allerdings der Meinung die E-Mail-Adresse zum in-den-Blog-schreiben sollte jeder im Internet kennen und veröffentlichte sie in einer anderen Meldung, die jeder, auch wenn er nicht in Facebook angemeldet ist, sehen kann. Tolle Wurst von Facebook!

Der der nun diese E-Mail-Adresse gefunden hat, war zum Glück so freundlich nur harmlosen Spam an die Adresse zu senden und nicht wirklich böses Zeuch. Ok, Problem erkannt. Einfach dieses Feature bei Blogger wieder daktivieren und schon ist der Spuk vorbei… denkste.

Es tut uns leid, aber… … ihr Computer oder Netzwerk sendet eventuell automatische anfragen.

Diese Meldung bekommt man angezeigt wenn ein Script zu viele Anfrage an die Google-Suche absetzt, aber warum bekommt man diese Meldung auch angezeigt, wenn man nur dieses Feature zum Bloggen per E-Mail wieder abschalten möchte? Tolle Wurst von Google!

Nun half nur noch, einen neuen User anlegen und den User, mit der speziellen E-Mail-Adresse zum Bloggen, zu löschen.

Viel Aufregung wegen einer kleinen Dummheit meines Freundes (das Feature nicht wieder zu deaktivieren), der Plaudertasche Facebook und der Datenkrake Google, die an den Stellschrauben gegen zu viele Anfragen etwas zu viel gedreht hat. :O|