Ich werde den Fehler natürlich umgehend an unser Technikteam in der *** Zentrale weiterleiten, aber ob und wann dort die Ressourcen zugeteilt werden um diesen Fehler zu beheben…

Den, den ich da angeschrieben habe, war nicht das Hotel um die Ecke oder ein Shop mit fünf Artikeln im System, es ist eine sehr bekannte Publikation die sich mit dem Thema IT-Sicherheit beschäftigt, also musste ich einfach noch einmal Antworten:

ich muss gestehen, Sie haben mich mit Ihrer Antwort verblüfft.

Bei einer Publikation die sich primär dem Thema IT-Sicherheit zuwendet, hatte ich nicht erwartet, dass es bei der Fehlerbehebung um das “ob” geht. :O)

Die Lücke ist nicht schwer zu finden, das heißt: Jedes Scriptkiddie kann sich als großer Hacker aufspielen, um an der Reputation von *** zu kratzen.

Der Cookie-Flag HttpOnly ist nicht gesetzt, weshalb der Session-Cookie per XSS ausgelesen werden kann. Die Session-ID ist nicht an die IP-Adresse des Benutzers gebunden. Das Fehlen dieser beiden Sicherungen, macht es einem Angreifer sehr leicht, per XSS in einen Benutzeraccount einzubrechen.

Das Session-Handling ist komplett fehlerhaft. Beim Übergang von http zu https wird die Session nicht gewechselt, was das Login per https (wegen der fehlenden IP-Bindung) ad absurdum führt. Es fehlt natürlich auch der Cookie-Flag Secure.

Die gleiche XSS-Lücke findet sich auch in den folgenden Seiten:
***.de
***.de
***.de
***.de
***.de

Am nächsten Tag war die XSS-Lücke dann schon gefixt, also hat jemand sehr schnell die “Ressourcen zugeteilt”. Aber die anderen Probleme bestehen weiterhin und es ist so gut wie sicher, dass es in der Seite irgendwo weitere XSS-Lücken gibt.

Das Login, wie es sein sollte per https:

Das Editieren im Benutzeraccount sollte aber auf gar keinen Fall unverschlüsselt erfolgen. Hier der Request bei der Änderung des Passwortes:

Das “Technikteam” weiß nicht so recht warum https verwendet wird. Sie haben wohl mal gehört dass man dieses komische SSL für Logins benutzen sollte, aber warum das gut sein soll? “Keine Ahnung, schadet ja nicht.” Anders ist es nicht zu erklären, warum es nur beim Login eine Verschlüsselung gibt.

Warum wird denn die Kommunikation zwischen Server und Client verschlüsselt?

Ohne Verschlüsselung sind Web-Daten für jeden, der Zugang zum entsprechenden Netz hat, als Klartext lesbar. Mit der zunehmenden Verbreitung von Funkverbindungen, die etwa an WLAN-Hotspots häufig unverschlüsselt ablaufen, nimmt die Bedeutung von HTTPS zu, da hiermit die Inhalte unabhängig vom Netz verschlüsselt werden.

Besser könnte ich es nicht in Worte fassen, deshalb als Zitat aus Wikipedia.
Quelle: http://de.wikipedia.org/wiki/Https

Die Cookie-Flags HttpOnly und Secure werden für den entscheidenden Session-Cookie nicht gesetzt:

Der gesetzte HttpOnly-Flag würde dafür sorgen, dass der Inhalt der Cookies nicht per JavaScript (XSS) ausgelesen werden kann. Liebes “Technikteam”, dies macht ein Angreifer natürlich NICHT per alert(document.cookie), sondern so, dass das Opfer dies nicht bemerkt.

Der gesetzte Secure-Flag würde dafür sorgen, dass Cookies nur per https übertragen werden. Auch ein Man-in-the-middle könnte die Cookies nicht im Klartext lesen, womit diese unbrauchbar wären.

Das was das “Technikteam” da gebastelt hat, ist so unsagbar schlecht, dass in der “Zentrale” sofort einige Stellen neu besetzt werden müssten.


Wie man nur mit einer Session-ID bewaffnet in ein Benutzerkonto einbricht zeigt dies kurze Video:

Das Formular nimmt die Session-ID auf, generiert eine URL inkl. Cross-Site Scripting, welche an die anfällige Website geschickt wird. Die Injektion setzt einfach den Cookie für die Session-ID und leitet dann zur Profilseite des Opfers weiter, sehr einfach, deshalb sieht man in dem Video auch nicht viel. :O)

Die XSS-Lücke in Bebo ist nicht neu, die Verantwortlichen kümmert’s nur nicht, wohl weil es Benutzer sind, die nicht direkt Geld bezahlen.
http://xssed.com/mirror/67289/

Date submitted: 17/06/2010
Date published: 18/06/2010

Update: 01.02.2012 – 18:13 Uhr

Der Session-Cookie hat einen HttpOnly-Flag spendiert bekommen:



Noch ein Link passend zum Thema XSS und HttpOnly:
“Apache httpOnly Cookie Disclosure” (fd.the-wildcat.de)


Update: 01.02.2012 – 22:00 Uhr

Wie ich schon erwartete, habe ich eine weitere XSS-Lücke gefunden, aber Dank des HttpOnly-Flags kann nun der Session-Cookie nicht ausgelesen werden.
(Weil es kein Apache ist.)


Update: 07.02.2012 – 10:58 Uhr

Die letzte XSS-Lücke wurde mittlerweile geschlossen, aber es gibt sicher weitere Lücken.

Der Secure-Flag für den Cookie der Session-ID wird noch immer nicht gesetzt und auch das Editieren innerhalb des Benutzerkontos erfolgt noch immer unverschlüsselt.

Hiermit will ich es mal damit bewenden lassen, schließlich kann ich den Verlag nicht zwingen mehr für die Sicherheit seiner Besucher zu tun.

Die eigentlich aufgelösten AnonyPwnies – eine Splittergruppe des Onlinekollektivs Anonymous – wollen es noch einmal wissen und veröffentlichen einen letzten Leak. Dieser betrifft die Die Firma “appia.com”, die Shoplösungen für Smartphone-Software programmiert. Diese Shoplösungen weisen offenbar erhebliche Sicherheitslücken auf und ermöglichten den Pwnies das Kopieren großer Mengen sensibler Daten.

“LEAKS NEED THIS MUCH VOLUME – BY: ANONYPWNIES” http://pastebin.com/1HkZxwS4

2 Wochen lang blieb eine Reaktion auf eine SQL-Injection aus:

http://www.sicherheit-online.org/Aktuelle-Themen/Sicherheitslucke-bei-mobile2day.de-wird-ignoriert.html

Als wir das lasen, entschieden wir uns selbst nach der Lücke zu suchen und kamen mit 40GB SQL Backups, 2 GB PHP Scripten, 2 Rootserver Passwörtern, 2 Paypal Accounts und rund 100 GB Android/Windows Mobile/Symbian Apps zurück…

…nicht mit einem Erfolg zu verzeichnen.

Bitte was? “von Erfolg gekrönt” heißt es.

Wir bedauern, dass es zu diesen Übergriffen kommen musste.

Es musste nicht, aber wer Skriptkiddies Dreck in die Hand drückt, darf sich nicht wundern, wenn damit auch geworfen wird.

Der Verlauf vom ersten Hinweis bis zum heutigen Tag aber, zeugte mehr von Imkompetenz und Ingoranz, sowie von unprofessioneller Hinhaltetechnik von…

sicherheit-online.org ist inkompetent? Dies sehe ich genau so. Übrigens heißt es “Hinhaltetaktik”.

In dieser Nachricht wurde behauptet, dass keine Warnmeldung von Sicherheit-Online dort angekommen sei.

Wenn keine Bestätigung des Empfangs einer E-Mail versendet wurde, ist es nicht möglich, zweifelsfrei festzustellen, ob eine E-Mail empfangen und gar gelesen wurde.

Man wollte uns die Schuld daran geben, dass diverse “Scans” auf das Portal erfolgten und man behauptete, dass wir mit unserem Beitrag einen 0day Exploit veröffentlicht haben.

sicherheit-online.org hat die Schuld, wenn nun Kundendaten verbreitet werden und finanzielle Schäden bei den Kunden eintreten.

Zudem haben wir darauf hingewiesen, dass der Beitrag – sofern es keine Reaktion mehr geben sollte – wieder online geschalten und ein entsprechendes Update veröffentlicht wird.

Mit anderen Worte: Es wurde versucht eine Reaktion zu erzwingen, um nicht zu sagen, zu erpressen.

Die Verantwortlichen bei

sicherheit-online.org

sollten sich für den Vorgang – ernsthaft – schämen.

Dem ist nichts hinzuzfügen.

Uns trifft hier sicherlich keine Schuld, zumal ein Kontaktversuch stattgefunden hat.

Doch! sicherheit-online.org trifft die Schuld, dass die Skriptkiddys die Büchse öffneten, Daten kopierten und diese nun veröffentlichen werden. Wenn einem eine Lücke und die Schließung dieser wichtig ist, dann greift man auch mal zum Telefon, wenn per E-Mail keine Reaktion zu erhalten ist.

Wir möchten an dieser Stelle die “AnonyPwnies” bitten, Abstand davon zu halten, Kundendaten zu veröffentlichen…

Was für ein lächerlicher Appell. Und, im Straßenverkehr sollte man Abstand halten, ansonsten wird von einer Aussage oder Handlung Abstand genommen.

Deutscher Bundestag
Stenografischer Bericht 132. Sitzung Berlin, Mittwoch, den 19. Oktober 2011
http://dipbt.bundestag.de/dip21/btp/17/17132.pdf

Burkhard Lischka (SPD):
Herr Staatssekretär, wie bewerten Sie denn die Aussage eines Beamten Ihres Hauses heute Morgen im Rechtsausschuss, dass ohne Kenntnis des Quellcodes keine komplette Prüfung der Software möglich sei und vor allen Dingen keine Aussage darüber möglich sei, ob in der Software weitere Funktionen vorhanden sind, die nicht aktiviert wurden, oder ob solche Funktionen fehlen?

Dr. Ole Schröder, Parl. Staatssekretär beim Bundesminister des Innern:
Diese Aussage – ich war ja heute, anders als Sie, im Innenausschuss dabei – ist so nicht gemacht worden. Das BKA hat klargestellt, dass selbstverständlich das BKA volle Kontrolle über die Anwendung der Software hat und deshalb das Ganze rechtmäßig abläuft.

Noch einmal: Das Ganze wird auch über eine revisionssichere Protokollierung festgehalten, damit im Nachhinein überprüft werden kann, ob unter Umständen etwas eingesetzt wurde, was vom Richter nicht angeordnet worden war.

Anwesend zu sein reicht aber offensichtlich nicht aus — zuhören und verstehen wäre auch ganz hilfreich.

Jerzy Montag (BÜNDNIS 90/DIE GRÜNEN):
Herr Staatssekretär, ich muss Ihnen vorhalten, dass genau das, was Sie jetzt bestreiten, uns der Vertreter Ihres Hauses im Rechtsausschuss gesagt hat: Erstens. Wir haben keinen Quellcode. Zweitens. Ohne den Quellcode ist eine vollständige Kontrolle nicht möglich.

Ich halte es, ehrlich gesagt, auch für putzig, dass Sie uns hier erklären, das Bundesinnenministerium und die Bundesbehörden könnten diese Trojaner vollständig prüfen; denn der Chaos Computer Club habe es ohne Quellcode auch gekonnt. Das ist eine Antwort mit Chuzpe, aber so kann man, finde ich, Abgeordnete nicht abspeisen. Der Chaos Computer Club hat ja selbst geschrieben, dass er nur eine oberflächliche Prüfung durchführen kann. Dass er dabei so viel herausgefunden hat – so hat er geschrieben –, ist nur deswegen möglich gewesen, weil dieser Trojaner so miserabel gebaut worden ist.

Deswegen in allem Ernst meine Frage an Sie: Halten Sie es für richtig, rechtsstaatlich und möglich, dass staatliche Behörden auf Bundesebene einer privaten Firma gegen Geld den Auftrag erteilen, eine solche Software zu entwickeln, sich aber damit begnügen, dass sie von der Firma keinen Quellcode bekommen und damit eine vollständige Prüfung aller möglicherweise versteckten Funktionalitäten gar nicht vornehmen können?

Dr. Ole Schröder, Parl. Staatssekretär beim Bundesminister des Innern:
Entscheidend ist, welche Software im konkreten Fall angewendet wird. Das ist der rechtsstaatliche Maßstab. Das wird durch eine revisionssichere Protokollierung sichergestellt.
(Jerzy Montag [BÜNDNIS 90/DIE GRÜNEN]: Das Verfassungsgericht sieht das ganz anders!)
Wenn der Richter anordnet, dass nur die entsprechende Telekommunikation überwacht werden darf, dann darf auch nur dieses Mittel angewendet werden, und das wird durch die revisionssichere Protokollierung sichergestellt.

Sie unterstellen hier den Beamten, dass sie rechtswidrig gehandelt haben, und Sie tun das, ohne dass Sie dafür Anhaltspunkte haben. Das ist nicht in Ordnung.

Mehrfach wurde von Parlamentariern nachgefragt, ob der Quellcode von Staatstrojanern vorliegt und mehrfach meinte der Parlamentarische Staatssekretär beim Bundesminister des Innern, Dr. Ole Schröder, dass es nicht nötig sei diesen zu kennen, da man ja die “revisionssichere Protokollierung” hätte, die besagt welche Software eingesetzt wird (allerdings ohne zu wissen was sie kann). Hier weiß der Herr Staatssekretär natürlich sehr viel mehr, als Beamte (des BMI, BKA oder BSI) die im Rechtsausschuss behaupten “dass ohne Kenntnis des Quellcodes keine komplette Prüfung der Software möglich sei”.

Das BKA und die LKAs beschäftigen so kompetente Reengineerer (das BSI hat jegliche Tätigkeiten im Bereich Staatstrojaner abgelehnt), dass die am Binärcode sofort sehen können, welche 0 und welche 1 was macht. Die Bugs in dem Staatstrojaner die der CCC seziert hat, wurden dabei wohl einfach übersehen — dies kann jeder 0 mal passieren. ;O)

Die Dummheit muss offensichtlich sehr fortgeschritten sein, um das Amt eines Staatssekretärs bekleiden zu können. Ein Hirn wäre da nur hinderlich, wenn wieder und wieder der Schwachsinn repetiert wird, welcher der Dienstherr gerne verbreitet haben möchte.


Einerseits halte ich Politiker (ab einer höheren Position) generell für korrumpiert, weil, wer an wichtigen Schaltstellen der Macht angelangt ist, hat dafür seine Seele verkauft, ist Kompromisse eingegangen, die ein moralisch einwandfreier Charakter nicht in Betracht zieht, aber andererseits hege ich doch auch eine gewisse Bewunderung, wenn ich sehe wie schwer es ist, ehrlich gegen Dummheit, Lüge und Vetternwirtschaft unter den Kollegen vorzugehen.


Update: 17:28 Uhr

Der Link zu der Auflistung zu den Videos aus der Mediathek des Bundestages zur Fragestunde:
http://forum.gleitz.info/showthread.php?25965-Artikel-zu-allgemeinen-Themen/page167

Der Chaos Computer Club (CCC) hat eine eingehende Analyse staatlicher Spionagesoftware vorgenommen. Die untersuchten Trojaner können nicht nur höchst intime Daten ausleiten, sondern bieten auch eine Fernsteuerungsfunktion zum Nachladen und Ausführen beliebiger weiterer Schadsoftware. Aufgrund von groben Design- und Implementierungsfehlern entstehen außerdem eklatante Sicherheitslücken in den infiltrierten Rechnern, die auch Dritte ausnutzen können.

Nicht nur wegen des “0zapftis” vermute ich, dass es sich um einen Landestrojaner handelt. In “Teurer Spaß mit Bayerntrojaner” hatte ich 2008 kurz über die bayerische Version eines Trojaners und DigiTask geschrieben. Das PDF welches der CCC damals veröffentlicht hatte, fand ich nun bei den Piraten wieder: http://wiki.piratenpartei.de/images/5/54/Bayern-skype-tkue.pdf

Mich wundert dieser Bruch des Grundgesetzes durch Staatsbedienstete in keinster Weise. Das was technisch möglich ist, wird auch umgesetzt. Die dilettantische Umsetzung wundert mich ebenfalls nicht. Gute Software kostet gutes Geld und das haben die Behörden nicht. Bin ich desillusioniert was das Vertrauen zum Staat angeht? Nein, auch dort arbeiten nur Menschen und mit deren Dummheit muss man immer rechnen, wie auch im täglichen privaten oder beruflichen Leben.

Auch wenn das BKA und das Bundesinnenministerium behaupten, der Trojaner wäre nicht von ihnen, so bin ich davon überzeugt, dass sie genau wissen was in Landeskriminalämtern zum Einsatz kommt und welche Süppchen die Landesinnenministerien im Verborgenen kochen.


Hier noch ein Video, welches relativ einfach erklärt, was dem CCC zugespielt wurde:

Die IT-Sicherheit auf der Website der deutschen Bundeswehr ist offenbar mangelhaft. Zahlreiche sensible PDF-Dokumente, darunter Telefon-Listen und interne Strategie-Papiere, können über eine einfache Google-Suche mit den richtigen Parametern gefunden werden.

Naja, nur weil “VERSCHLUSSSACHE – NUR FÜR DEN DIENSTGEBRAUCH”, “VS – NUR FÜR DEN DIENSTGEBRAUCH” oder “VS – NfD” dransteht, muss der Inhalt nicht wirklich spannend sein. Manchmal wird der Stempel bzw. der Hinweis wohl auch einfach nur der Gewohnheit wegen draufgehauen. Nun werden wieder Horden von Google-Hackern nach geheimen Unterlagen suchen — und enttäuscht werden. :O)


Eine Suche nach site:bund.de ext:pdf dienstgebrauch spuckt u.a. auch folgendes aus:

[PDF] Cyber-Sicherheit in Deutschland (bsi.bund.de)
Auf Seite 3 des PDFs gibt es aber nur ein Bild zu sehen. Was hat Google denn da indexiert?


Schaut man sich die Seite genauer an und verschiebt das Bild etwas…

so sieht man was Google da gefunden hat.


Ein schon klassischer Fehler den man immer wieder findet. Ein altes Dokument wird recycelt, ohne dabei zu bedenken welche Daten unsichtbar weiterverwendet werden.

Dass dem “Bundesamt für Sicherheit in der Informationstechnik” auch solche Fehler unterlaufen ist schon fast wieder beruhigend. Die Schlapphüte vom BND hingegen, sind so paranoid, dass sie sogar ein Stellengesuch für eine “Küchenhilfs- und Reinigungskraft” (bnd.bund.de) als Verschlusssache deklarieren. :O)

Laut einer Allensbach-Umfrage sind
15 Prozent der Unternehmen “häufig” das Ziel solcher Attacken,
20 Prozent “gelegentlich” und
29 Prozent “selten”…

Dass die restlichen 36% keine Attacken festgestellt haben, bedeutet natürlich nicht, dass es keinen Angriff bei ihnen gab.


Vor ein paar Tagen schlug hier die folgende Suchanfrage auf:

bekommen seitenbetreiber sql injection mit?

Ob ein Seitenbetreiber von einem Angriff via SQL-Injection Kenntnis erlangt, hängt davon ab welches Ziel der Angreifer verfolgt.

Automatisierte SQL-Injections werden i.d.R. sehr schnell erkannt, weil bei der Darstellung der betroffenen Seiten Änderungen erkennbar sind. Es tauchen Fehlermeldungen auf, nach dem Aufruf der Seite folgt eine Weiterleitung auf anderer Seiten oder dem Besucher wird ein angeblicher Virenbefall (Fake-AV) des eigenen Computers gemeldet.

Geht es dem Angreifer hingegen um die Gewinnung von Kundendaten, wie z.B. Kreditkartendaten, so wird nur das eigentliche Opfer, der Kreditkartenbesitzer, von dem Missbrauch etwas bemerken. Der Seitenbetreiber wird erst etwas von dem Einbruch erfahren, wenn sich vermehrt Kunden beschweren, dass die Kreditkarte unberechtigt belastet wurde. Geht der Angreifer hier mit Bedacht vor, so wird das Opfer kaum vermuten können, über welchen Shop seine Daten abgeflossen sind, sofern er nicht monogam nur einem Shop vertraut.

Da in sehr vielen Systemen noch immer ungesalzene Hashes von Passworten gespeichert werden oder diese gar im Klartext vorliegen, kann ein Angriff auch das Ziel verfolgen, Zugang zum E-Mail-Konto, Paypal, eBay, etc. des Opfers zu erlangen. Erkannte Passworte aus einem Shop sind meist auch für andere Dienste die der Kunde benutzt gültig, da Passworte sehr oft mehrfach vergeben werden. Auch hier wird der Seitenbetreiber sehr wahrscheinlich nie bemerken, dass er für den Missbrauch des E-Mail-Kontos, etc. seines Kunden verantwortlich ist.


Zum Teil ist es auch ohne SQL-Injection möglich auf fremde Datenbanken bzw. der darin gespeicherten Daten zuzugreifen.

Eine Googlesuche beispielsweise nach phpMyAdmin (Administrationsoberfläche von MySQL-Datenbanken), fördert unzählige ungeschützte Datenbanken zutage. In den Suchergebnissen findet man auch Shopsysteme und darin natürlich auch wieder Kundendaten. Auch über eine Suche nach SQL-Dumps (Backups) kann ein Angreifer sehr leicht an vertrauliche Informationen gelangen.

Von solchen Zugriffen bemerkt der Seitenbetreiber auch wieder nichts, sofern der Angreifer nicht zu unvorsichtig mit den gewonnenen Daten umgeht.


Zum Abschluss noch ein krasses Beispiel für die grenzenlose Dummheit die im Netz immer öfter anzutreffen ist, weil jeder eine Seite ins Netz schubst, auch ohne jegliches Fachwissen.

Da betreibt jemand eine statische Website, die nur HTML benutzt, ohne dynamische vom Server generierte Inhalte und ohne Datenbank. Sein Hoster stellt ihm auch eine Datenbank inkl. phpMyAdmin zur Verfügung. Er fühlt sich sicher, weil ja alles statisch ist und ihm gesagt wurde, dass da nichts passieren kann.

Der Zugang zu phpMyAdmin ist nicht per Passwort geschützt. Da die Website nicht auf die Datenbank zugreift, scheint der fehlende Schutz unwichtig zu sein.

Mit etwas MySQL und phpMyAdmin kann ein Angreifer aber ohne Probleme selber Dateien ins System schreiben:

use mysql;
DROP TABLE IF EXISTS `temptab`;
CREATE TABLE temptab (codetab text);
INSERT INTO temptab (codetab) values ('<?php phpinfo(); ?>');
SELECT * INTO OUTFILE '/kunde/htdocs/info.php' from temptab;
DROP TABLE temptab;
FLUSH LOGS;

Je nach Konfiguration des Servers, kann ein Angreifer, auch außerhalb des Accounts der angegriffenen Website, Dateien schreiben.

Und zum Auslesen kann auch wieder MySQL genutzt werden:

LOAD DATA INFILE '/kunde/htdocs/config.php' INTO TABLE `hacker`

Wer nun glaubt, er wäre für Angreifer uninteressant, weil er keinen

Jahresumsatz von mehr als 500 Millionen Euro

hat, der wird früher oder später auch zum Opfer werden.

Und wie reagiert der Kunde?

Nach dem ersten Hack wurde das Netzwerk für einige Wochen abgeschaltet, weshalb sich die Gamer eher darüber beschwerten, dass sie nicht mehr zocken konnten und darüber, dass sie ihr Passwort auch für andere Diensten ändern mussten — der Otto Normal ist halt ein Gewohnheitstier und ändert sein Standardpasswort nur sehr ungern.

“Nach PSN-Hack: Sony ernennt Chief Information Security Officer” (zdnet.de)

Seit der Wiedereröffnung des PlayStation Network habe Sony 3 Millionen neue Kunden gewonnen, und die Verkäufe seien jetzt höher als vor den Cyberangriffen.

“Zwei Dinge sind unendlich, das Universum und die menschliche Dummheit, aber bei dem Universum bin ich mir noch nicht ganz sicher.“ Albert Einstein


Müssen Kunden vor ihrer eigenen Dummheit geschützt werden?


Update: 13.09.2011 – 17:06 Uhr

“LG Landshut beurteilt Eingabe von 100 TAN als nicht grob fahrlässig” (a-i3.org)

Das LG Landshut hat in einem Urteil vom 14.7.2011 geurteilt, dass die Eingabe von 100 Transaktionsnummern (TAN) auf einer gefälschten Internetseite nicht als grob fahrlässig zu beurteilen sei.
(…)
Das LG Landshut sprach ihm einen Anspruch in entsprechender Höhe gegen seine Bank zu.

Dummheit schützt also doch vor Strafe.

Die Amazon-Shopping-Community BuyVIP mit 6 Millionen Nutzern ist gehackt worden. Das Unternehmen hat Kunden per E-Mail über den Einbruch informiert.
(…)
Die Passwörter seien in verschlüsselter Form abgespeichert gewesen.

Ich bin sicher: Die Passworte werden nicht verschlüsselt gespeichert. Es wird ein Hashwert von dem Passwort erzeugt und dieser wird in der Datenbank gespeichert. Ein Hashwert ist keine Verschlüsselung. Aber wozu den Kunden mit technischen Schnickschnack verwirren — es geht am Ende doch nur um eins: “Gib mir all dein Geld!”

Der Anschein der Exklusivität wird gewahrt, indem nur von Mitgliedern Eingeladene dem Einkaufsklub beitreten können.

Dies war mal so, aber aktuell kann sich jeder anmelden, sogar ich, damit ich mal etwas in der Wunde bohren kann. ;O)


Mal abgesehen davon, dass ich solches Markengebimsel für überteuert halte, für keine Firma dieser Welt als Litfaßsäule herhalte und die Ausbeutung via Swetshops nicht unterstütze (nein, nicht alle, aber einige), würde ich auch aus sicherheitstechnischen Erwägungen nie in diesem Shop einkaufen.

• Verschlüsselung

  Als erstes fiel mir die fehlende Verschlüsselung auf. Weder bei der Registrierung, noch beim Login oder der Kaufabwicklung, werden die Daten verschlüsselt übertragen. Nur beim abschließenden Zahlungsvorgang per Paypal oder Keditkarte (adyen.com) werden Daten verschlüsselt, aber hierfür ist eben nicht BuyVIP zuständig.

  Ruft man https://de.buyvip.com/ auf, so wird einem nur eine Fehlermeldung angezeigt. Das Zertifikat ist für a248.e.akamai.net ausgestellt. Nach “Trotzdem fortfahren” bekommt man auch nur

  An error occurred while processing your request.
  Reference #97.7f4f9a50.1315652277.13bbfcb

  angezeigt.

• Passwort

  Es gibt nur eine Richtlinie bei der Vergabe des Passwortes:

  Das Passwort muss mindestens vier Zeichen lang sein

  Dies darf man durchaus wörtlich nehmen, denn auch vier Leerzeichen sind als Passwort zulässig, sowie auch die E-Mail-Adresse, die beim Login benutzt wird.

  Im Zusammenhang mit dem fehlenden Schutz gegen Brute-Force-Angriffe auf das Login, ist dies natürlich ein gefundenes Fressen für Kriminelle.

• Cookies

  Mit der Laufzeit der Cookies ist man sehr großzügig und plant bereits für die kommenden Jahrzehnte.

  Wählt der Besucher beim Login “Benutzerdaten speichern” aus, dann bekommt er einen Cookie mit 1000 Jahre Laufzeit und als Schmankerl wird darin die E-Mail-Adresse und der MD5-Hash des Passwortes gespeichert.

  Wer sich einmal mit MD5 beschäftigt hat, der wird sofort erkennen welches Passwort hinter e10adc3949ba59abbe56e057f20f883e steckt.

• Session

  Die Session-ID ist nicht an die IP-Adresse des Benutzers gebunden — dies wäre für einen Kriminellen auch höchst unerfreulich.

• Google Analytics

  In dem Scriptcode für Analytics fehlt natürlich der Teil, der für die Anonymisierung der IP-Adresse des Besuchers sorgt (sorgen soll, denn nachprüfen kann man Googles Versprechen natürlich nicht).

• Cross-Site Scripting

  Es gibt natürlich eine Anfälligkeit für XSS, um z.B. die Zugangsdaten aus dem Passwort-Manager des Browsers auszulesen.

Wer nicht bereit ist die minimalen Anforderungen an Sicherheit und Datenschutz zu erfüllen, dem sollte man für kein Geld der Welt seine Daten überlassen.

Zusammenfassend kann man wohl nur sagen: Finger weg!

Wie erst jetzt bekannt wurde, ist das Mitgliedernetz der CDU schon im August 2009 Opfer eines Angriffs geworden.
(…)
Der Hackerangriff 2009 sei zwar registriert worden, zum damaligen Zeitpunkt konnte aber kein Datenverlust festgestellt werden, erklärte ein CDU-Sprecher im Gespräch mit heise online.

“Chef, is noch alles da, der Hacker ist ohne Erfolg weitergezogen.”

Auch ich habe ab 2009 die CDU mehrfach auf verschiedene Sicherheitslücken hingewiesen, aber bisher habe ich nie eine Antwort bekommen. Wenn es mir wirklich wichtig wäre, dann hätte ich natürlich mehrfach zu jeder Lücke nachgehakt, aber bei den Konservativen, die die Asche weitertragen wollen und nicht das Feuer, mache ich da eine Ausnahme. Früher oder später werden auch sie die Lücken feststellen — auf die eine oder andere Art. :O)


“Volkswagen anfällig für Angriffe” (golem.de)

VW sei nur schlecht gegen Attacken über das Internet gesichert. (…) in die Produktion eingreifen, (…) vertrauliche Unterlagen etwa über künftige Automodelle entwenden.
(…)
Bisher war VW noch keinen Angriffen über das Internet ausgesetzt.

“Chef, is noch alles da, wir hatten noch nie Besuch von einem Hacker.”

Was glauben diese Ei-Tea-Spezial-Expert? Nur weil Daten nicht gelöscht wurden oder ein Angriff nicht an die große Glocke gehängt wurde, gab es keine Angriffe?

Wie dämlich muss man sein, um in solchen Firmen einen gut bezahlten Job zu bekommen? Tja, ich werde wohl nie reich werden. :O)


Um hier nicht einen falschen Eindruck zu verbreiten, solche Experten werkeln nicht nur in Organisationen und Firmen, die nicht direkt mit dem Internet ihr Geld verdienen.

“Neue Hacker-Gruppe stiehlt 840.000 Kundendaten bei K&M – Elektronik” (gulli.com)

Vor zwei Monaten…

“Achtung! Phishing-Mails im Umlauf!” (kmelektronik.de)

Mittlerweile sind unsere Server wieder online und die entsprechende Sicherheitslücke wurde behoben. Unsere Recherchen haben bisher folgendes ergeben:

Am gestrigen Abend (21.06.2011) erhielten viele Kunden unseres Shops eine E-Mail mit dem Betreff „K&M Elektronik Gutschein“, die wie folgt aussah:

Ein Angreifer hatte sich damals Zugang zu E-Mail-Adressen und Namen der Kunden verschafft, um echt wirkende E-Mails versenden zu können. Es wurden per SQL-Injection auch im Shop selber Inhalte hinterlegt, was K&M in der Meldung natürlich verschwieg.

“Gezielter Angriff auf Kunden von K&M-Elektronik” (heise.de)

Die Kriminellen nutzen offenbar eine SQL-Injection-Lücke im Webshop von K&M, um einen Verweis auf das extern gehostete Java-Applet in den Quelltext der Shop-Seite beim Aufruf einzubetten.

Und nun ist es wieder SQL-Injection, über die die Hacker ins System vordrangen, um alle Daten der Kunden, inkl. der Passworte, die natürlich im Klartext in der Datenbank gespeichert wurden, zu kopieren.

K&M hatte damals bereits einen Experten zum Schließen der Sicherheitslücken hinzugezogen. Über die Güte des Experten kann ich natürlich nichts sagen, aber wenn ich (aktuell noch immer) über eine einfache Google-Suche SQL-Fehlermeldungen finde und somit auch weitere potenzielle Lücken zu SQL-Injection… naja, evtl. auch ein Ei-Tea-Spezial-Experte?

U.a. wieder Datenbank… wieder Passworte im Klartext…

Anbei sind sämtliche Daten einiger Server der Bundespolizei hinterlegt. Darunter z.Bs. GPS Daten und Karte von verdächtigen Fahrzeugen, GPS Tracking Software der Behörden, Dokumente und Verschlüsselungsalgorithmen im Source Code der Bundespolizei. Denn es kann nicht sein, dass wir alle dauerhaft überwacht werden. Wer das Tracking system nutzen möchte, sollte sich das htdocs Verzeichniss + die dazugehörende SQL Datenbank installieren. Die Benutzerdaten der Einsätze + Username + Passwort (wie immer in Plain Text) findet ihr in der .sql Datei.