“Der neue Personalausweis macht die Anmeldung und Registrierung an Online-Portalen sowie Rechtsgeschäfte im Internet, zum Beispiel Einkäufe, sicherer”

Warum sollte für mich als Benutzer die Anmeldung und/oder die Registrierung in einem Shop sicherer werden?

• Registrierung: Der Vorteil ist, ich muss meine Adresse nicht eingeben, weil diese ausgelesen und automatisch übermittelt wird. Da ist der ePerso also dafür gut Tippfehler vorzubeugen.
• Anmeldung: Beim Login besteht der Vorteil darin, dass ich mir keine Benutzernamen und Passwörter merken oder mit geeigneter Software verwalten muss.
• Beim Kauf selber habe ich als ePerso-Nutzer gar keinen Vorteil, gegenüber dem Käufer ohne ePerso.

Das ist ein dramatischer Zugewinn an Sicherheit bei allen Geschäften, die es im Internet gibt.

Sorry Herr Minister, dies stimmt so nicht. Sie sollten mal Ihre Berater wechseln.

Der ePerso kann — sofern man seinen Computer immer mit aktuellen Updates versorgt und mit dem Stück Plastik verantwortungsvoll umgeht — etwas mehr Bequemlichkeit im Umgang mit Benutzeraccounts bringen, nicht mehr und nicht weniger.


Das was Plusminus sendete, wäre mir als CCC eher peinlich, weil lächerlich. Ein Computer auf dem sich Viren, Würmer und Trojaner eingenistet haben, ist nicht speziell nur im Zusammenhang mit dem ePerso und dem Basis-Lesegerät unsicher — solche Computer sollten auch nicht für das Online-Banking benutz werden. Warum gibt es jetzt keinen Aufschrei in der Presse “Online-Banking wurde vom CCC gehackt!”? :O)

Plusminus hätte vielleicht eher über den eigentlichen Skandal, wenn man es denn so nennen möchte, berichten sollen: Die fehlende Aufklärung des Bürgers, welche echten Risiken bestehen und was per Gesetz von ihm verlangt wird, was ich bereits hier “Der (alte) Personalausweis ist sicher” ausgebreitet habe.


Auch meinte der Herr Minister, nach dem Auslesen der PIN:

der Angreifer benötigt immer noch den Ausweis selbst

Sorry Herr Minister, dies stimmt so nicht. Sie sollten mal Ihre Berater wechseln.

Abhängig davon wie lange der ePerso auf dem Basis-Lesegerät liegt, kann Schadsoftware entweder sofort oder beim nächsten Mal wenn er wieder aufliegt, die PIN für dubiose Aktionen nutzen.

Außerdem könne jeder Besitzer des neuen Personalausweises eine neue PIN anfordern…

Sorry Herr Minister, dies stimmt so nicht. Sie sollten mal Ihre Berater wechseln.

Der Besitzer muss eine neue PIN nicht irgendwo anfordern, er kann diese jederzeit, per Software zum Lesegerät, selber ändern.


Wer jetzt schon immer aktuelle Updates für Betriebssystem und Anwendungssoftware einspielt und sorgsam mit seinen Daten umgeht, der wird mit dem ePerso nur etwas Bequemlichkeit gewinnen. Wer aber die eigene Systempflege nicht betreibt und für den 123456 ein Passwort ist, der bekommt noch größere Probleme mit dem ePerso — weil er bei Missbrauch seine Unschuld beweisen muss und selber für Schäden haftet.


die faz bekommt keinen Link von hier, weil sie ernsthaft glauben, ich würde 2 euro für 177 wörter bezahlen, um den kompletten unsinn lesen zu können — mein geschreibsel hier hat (ohne zitate) mehr als doppelt so viele wörter, nur mal so als vergleich. :O)


Update: 18:30 Uhr
“„Der Perso ist sicher“” (faz.net)

Außerdem könne jeder Besitzer des neuen Personalausweises die PIN neu setzen…

Dies hat der Minister also gesagt und nichts von “anfordern”, da hat Heise falsch zitiert. Nur ein unbedeutendes Detail habe ich nun korrigieren, was aber keine 2 Euro wert war. :O)

§ 27
Pflichten des Ausweisinhabers
(…)
(3) Der Personalausweisinhaber soll durch technische und organisatorische Maßnahmen gewährleisten, dass der elektronische Identitätsnachweis gemäß § 18 nur in einer Umgebung eingesetzt wird, die nach dem jeweiligen Stand der Technik als sicher anzusehen ist. Dabei soll er insbesondere solche technischen Systeme und Bestandteile einsetzen, die vom Bundesamt für Sicherheit in der Informationstechnik als für diesen Einsatzzweck sicher bewertet werden.

“Security update available for Shockwave Player” (adobe.com)

Critical vulnerabilities have been identified in Adobe Shockwave Player 11.5.7.609 and earlier versions on the Windows and Macintosh operating systems

Das BSI ist da geteilter Meinung, um nicht zu sagen etwas schizophren. ;O)

cert-bund.de

“Kurzinfo CB-K10/0360 – Adobe Shockwave Player: Mehrere Schwachstellen” (cert-bund.de)

Risiko: niedrig

buerger-cert.de

“Adobe Shockwave Player Sicherheitsupdate Version 11.5.8.612” (buerger-cert.de)

Risiko: Hoch

(Aus dem Newslketter. Auf der Website ist nur eine Grafik zu sehen.)

Wenn schon verschiedene Stellen des Bundesamtes für Sicherheit in der Informationstechnik sich nicht einig sind, wie eine Sicherheitslücke einzustufen ist, wie soll Otto Normal dies einschätzen können? Glauben das BMI und das BSI ernsthaft das sich Otto Normal besser informiert als Experten, die sich den lieben langen Tag mit nichts anderem als Computerzeugs beschäftigen?

Warum findet man nichts — wirklich kein Wort — zu den “Pflichten des Ausweisinhabers” in den verschiedenen Broschüren oder Websites von BSI und BMI zum neuen Personalausweis, die ausweislich zur Information des Bürgers angeboten werden?

Das der Bund nicht für die Pflege von Otto Normals Computer verantwortlich gemacht werden kann ist klar, aber Otto sollte zumindest darüber aufgeklärt werden, welche Pflichten er übernimmt, wenn er den ePerso nutzt.


“Elektronischer Personalausweis: Wissens- oder Sicherheitsdefizite?” (heise.de)

Bundesdatenschutzbeauftragte Peter Schaar…
Die PIN allein sei nicht kritisch. Wenn der Personalausweis aber in einem Hotel oder auf einem Campingplatz hinterlegt werden müsse, “ist in der Tat Gefahr in Verzug”.

Sehr interessant, dass nicht einmal Herr Schaar das Gesetz gelesen hat. Noch ein Zitat aus dem obigen PDF:

§ 1
Ausweispflicht; Ausweisrecht
(…)
Vom Ausweisinhaber darf nicht verlangt werden, den Personalausweis zu hinterlegen oder in sonstiger Weise den Gewahrsam aufzugeben.

Jens Bender vom BSI wies die Kritik an der Sicherheit der neuen Personalausweise zurück. Die Verbindung von integriertem Chip und zusätzlicher PIN-Abfrage sei bei Online-Transaktionen “ein deutlicher Sicherheitsgewinn gegenüber dem heute üblichen Verfahren von Username und Passwort.”

Ich vergebe für verschiedene Internetdienste auch verschiedene Zugangsdaten. Hätte ich mit dem ePerso einen Sicherheitsgewinn, bei dem es nur eine 6stellige PIN für alle von mir genutzten Dienste gibt?

Ein Basisleser sei für die Online-Authentifizierung in Ordnung. Man müsse natürlich auch dafür sorgen, dass der PC sauber bleibe, sagte der BSI-Experte und verwies auf regelmäßige Updates der Software,

Welche Software muss denn immer aktualisiert werden? Alles! Und dies bedeutet das Otto-Normal-User immer vor der Benutzung irgendwelcher Programme Updates durchführen muss. Das Betriebssystem und, daran denken viel PC-Benutzer nicht, auch die Anwendungssoftware muss immer upgedatet werden. Zum Teil gibt es von nur einem Hersteller mehrere Updates pro Woche. Macht dies wirklich jeder PC-Benutzer oder werden sie es zumindest in Zukunft tun?

die Einrichtung einer Firewall

Das ist doch das Dingsbums was Otto Normal gerne ganz deaktiviert, weil es ihn immer blockiert und nicht arbeiten lässt?! “Ist ja noch nie was passiert, obwohl es abgeschaltet ist.”

und einen aktuellen Virenschutz.

Vor neuer und noch unbekannter Schadsoftware, und neue Variationen davon gibt es täglich unzählige, kann ein Scanner nicht schützen.

Denkbar sei ein klassischer Trojaner-Angriff, bei dem die Tastatureingabe der sechsstelligen PIN mitgeschnitten werden könne. Damit habe man als Angreifer aber noch keinen direkten Zugriff auf die persönlichen Daten. Diese würden nur verschlüsselt übertragen.

Hier stimme ich Herrn Bender zu, es sei denn, es gibt eine Möglichkeit eine Kopie des ePerso anzufertigen, wobei nur der Chip bzw. deren Daten auf eine leere Karte kopiert werden müssten. Ob dies möglich ist weiß ich nicht, aber gänzlich ausschließen möchte ich es nicht.

Letztendlich liegt die Verantwortung für die Aufrechterhaltung der sicheren Nutzung des neuen Personalausweises bei dem PC-Benutzer selber. Wer heute schon sorgfältig mit seinen Daten und seinen Passworten umgeht und sein System ständig aktualisiert, der wird vermutlich auch mit den Funktionen des ePerso sorgfältig umgehen. Aber ist dies die Mehrheit der PC-Benutzer?


Am meisten Bauchweh bereitet mir der Chip auf dem ePerso.

“Das sicherste Dokument auf dem Planeten” (heise.de)

Hergestellt werden die sogenannten SmartMX-Chips, die sich per Near Field Communication (NFC) kontaktlos auslesen lassen, (…)

Gespeichert werden auf dem Chip Passbild, Name, Vorname, Geburtsdatum, Nationalität, Geburtsort und Adresse. Auf freiwilliger Basis können zusätzlich Fingerabdrücke hinterlegt werden.

Auch wenn bei der “Near Field Communication” (de.wikipedia.org) nur eine “Reichweite von nur 10 Zentimetern” erreicht wird — ein ungutes Gefühl bleibt.

Könnte man einen Metalldetektor (oder Fake, welcher nur so aussieht) der von Security-Leuten am Flughafen oder bei großen Veranstaltungen benutzt wird, so umfunktionieren das er die Daten auslesen kann?

• Wer die eID-Funktion, also das elektronische Identifizieren per Lesegerät, nicht nutzt, der hat keinen Vorteil vom ePerso.
• Wer die eID-Funktion nutzt, der sollte gut auf seinen ePerso aufpassen. Bisher war der Verlust des Persos, egal ob gestohlen oder verloren, eher lästig — neue Bilder machen, zum Amt rennen, vorläufigen Perso abholen, x Wochen warten, zum Amt rennen, neuen Perso abholen — denn gefährlich. Mit den neuen Funktionen könnte der ePerso ein begehrtes Objekt für Kriminelle werden.

Wenn ich am Geldautomaten warten muss weil ein anderer Kunde vor mir an der Reihe ist und der schaut auf einen kleinen Zettel, gerne auch gelben Post-It der vorher auf der Karte selber klebte, da muss ich immer an den ePerso denken und dass sich der gleiche Mensch nun bald noch eine 6stellige Zahl merken/aufschreiben soll. :O)


Nur kurz nach der Einführung des ePersos wird es die ersten Missbrauchsfälle geben, bei denen der echte Besitzer vor dem Problem stehen wird: “Ich war das nicht! Wirklich wirklich nicht!” und dann wird es richtig knifflig für ihn, dies zu beweisen.

Der Otto Normal, der heute Probleme mit Notebook, Handy & Co., dem verzwickten Internet, Spam, Malware und Phishing hat, der wird auch mit dem ePerso nicht glücklicher werden, aber vor allem gläserner und angreifbarer.


Die Einführung des ePerso ist eine rein politische Entscheidung (inkl. etwas Wirtschaftsförderung), die die Gegebenheiten der realen Gesellschaft ignoriert. Nach wie vor glaube ich dass das BSI es eigentlich besser weiß und auch weiß dass dieser Schritt noch viel zu früh für die meisten Bürger kommt.

Computer und Internet haben die Gesellschaft zwar durchdrungen und viele nutzen die Technik auch täglich. Aber ist Otto Normal schon sicher in der Benutzung der Technik? Warum ist Phishing noch immer ein Problem? Warum fallen täglich Surfer auf Abofallen rein? Wie kann es sein dass die Command-and-Control-Server auch Millionen von deutschen Computern in ihrem Botnetz missbrauchen können?

Liebe Politiker, denkt mal ein paar Jahre zurück. Viele von euch haben doch ernsthaft geglaubt, dass das Internet irgendwie wieder weggehen würde. Und heute, bzw. ab 1. November, wollt Ihr jedem Bürger etwas in die Hand drücken, womit die meisten überfordert sind?

Gebt der Gesellschaft noch etwas Zeit zum lernen — sie sind noch nicht so weit!


So wie ihm geht es vielen, auch wenn sie es nicht zugeben mögen. :O)

Update: 21:29 Uhr

Über “Elektronischer Personalausweis: Wissens- oder Sicherheitsdefizite?” (heise.de) stieß ich auf “Übersicht: Der elektronische Personalausweis – neue Pflichten und Regeln” (ferner.ac) und auf die

§ 27 – Pflichten des Ausweisinhabers
(…)
(3) Der Personalausweisinhaber soll durch technische und organisatorische Maßnahmen gewährleisten, dass der elektronische Identitätsnachweis gemäß § 18 nur in einer Umgebung eingesetzt wird, die nach dem jeweiligen Stand der Technik als sicher anzusehen ist. Dabei soll er insbesondere solche technischen Systeme und Bestandteile einsetzen, die vom Bundesamt für Sicherheit in der Informationstechnik als für diesen Einsatzzweck sicher bewertet werden.

Quelle: http://dipbt.bundestag.de/dip21/btd/16/104/1610489.pdf

Da muss sich der ePerso-Besitzer also beim BSI informieren was Stand der Technik ist und was dieses als “für diesen Einsatzzweck sicher bewertet”!? Das sollte man dem Bürger aber sagen, bevor er sich in die Pflicht nehmen lässt.

Wer sich die Warnmeldungen auf cert-bund.de anschaut… naja… wer kein Nerd ist… “Oh Gott, hab ich so ein TYPO3 auf meinem Notebook? Und bei dem Linux ist die Lebenszeit abgelaufen! Ohgottogottogott, was mach ich nur??”

Wer nun glaubt das bsi-fuer-buerger.de eher für Otto Normal geeignet wäre… auch nicht so wirklich. Die Meldungen können nur per E-Mail abonniert werden und die Infos die verschickt werden sind oftmals mehrere Tage alt, manchmal auch mehr als eine Woche. Da frische Sicherheitslücken epidemisch ausgenutzt werden, ist natürlich schnelles Handeln angesagt.

Ich fürchte: Das kann ja nur in die Hose gehen!

In früheren Zeiten wurde den Leuten Sand in die Augen gestreut, wobei nur geringe Mengen nötig waren, um die Sicht zu verhindern. Heutzutage wird mit der gleichen Methode versucht unerwünschte Informationen im Netz zu bedecken. Nur ist die Datenautobahn so breit und so lang, dass gar nicht so viel Sand heran gekarrt werden kann, um den gewünschten Effekt zu erzielen, wodurch aus dem verdeckenden Sand der bremsende Sand wird — der Streusand.

Den Streusand-Effekt kann man auch sehr effektiv einsetzen um Informationen in die breite Öffentlichkeit zu tragen, wenn man ein offizielles Mitglied der Geheimniskrämer ist. Die etwas einfältigen Mitglieder der Geheimniskrämer sehen nur das Verbot eine Information zu verteilen, und — Verbot == GUT!

Wenn Geheimniskrämer den Streusand-Effekt nutzen, dann weiß ich immer nicht ob sie

1. einfach nur dumm wie 100 Meter Feldweg sind,
2. einmalig eine andere Meinung vertreten oder
3. Spione sind und die Gruppe der echten Geheimniskrämer infiltriert haben.

Ein aktuelles Beispiel für den Streusand-Effekt ist der angebliche Urheberrechtsverstoß eines Blogs, der zur Veröffentlichung von noch mehr Dokumenten zur Loveparde in Duisburg führte.
“Loveparade: Stadt Duisburg untersagt Blog Veröffentlichung von Dokumenten” (netzpolitik.org)
“Loveparade 2010 Duisburg planning documents, 2007-2010” (wikileaks.org)


Ein, ohne Kristallkugel, vorhersehbarer Streusand-Effekt zeichnet sich bei Googles Street View ab. Wer in Zukunft virtuell durch eine der 20 Städte schlendert, der wird ganz sicher stehenbleiben, wenn er ein Haus sieht welches bis zur Unkenntlichkeit verpixelt wurde.

• Was mag es dort geben, was niemand sehen soll?
• Dort muss es sich lohnen einzubrechen, ansonsten würde man es ja nicht verbergen wollen!?
• Wo gibt es unverpixelte Bilder dazu?

Von mir nur die “virtuelle Streifenfahrt” zu dem Thema, über die Udo Vetter kürzlich schrieb: “Verbrecherjagd mit Street View” (lawblog.de)
Ich kann nur hoffen, dass der Herr Polizist nicht mehr im aktiven Dienst tätig ist und nur in der Gewerkschaft ein paar Akten hin und her tragen darf.


Auch bei meinen Penntests (die Suche nach Stellen wo jemand gepennt hat) stoße ich auf den Streusand-Effekt.

Wenn ich nach einer Injektion korrupter Daten (dies sind Daten die man bestechen kann, unerwünschte Dinge zu tun) auf die Startseite weitergeleitet werde, dann geht meine Motivationskurve fast senkrecht nach unten, an dieser Stelle weiter nach Schwachstellen zu suchen. Bekomme ich hingegen eine schöne Fehlermeldung zurück,

XSS per GET-Request ergibt 999-Fehlermeldung…

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN"
"http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html>
<head>
<title>999 Possible Attack Detected!</title>
</head>
<body>
</body>
</html>

aber per POST-Request erfolgreich korrumpiert. Und nein!, POST-Request ist kein Sicherheitsfeature — immer noch nicht, auch wenn ein “Fachinformatiker” von “Sicherheitsgründen” schreibt, weshalb er POST benutzt hat. Bei solchen “Fach” (Welches bloß?) “Informatikern” werde ich nie arbeitslos. <g>

dann bin ich motiviert weitere Injektionen auszuprobieren, um den Filter auf Herz und Nieren zu prüfen.

Auch Fehlermeldungen die Auskunft über die verwendete Scriptsprache, Datenbank und/oder absolute Serverpfade ausspucken, werden von mir immer wieder gerne entgegengenommen. Während der Entwicklungs- und Testphase sind Fehlermeldungen sehr hilfreich und absolut notwendig, aber in produktiven Systemen sollten diese abgeschaltet werden. Fast jede Fehlermeldung birgt die Gefahr eines Streusand-Effektes, denn ein Angreifer bekommt Informationen, die ihn gerade erst richtig anstacheln weiter zu bohren.


Ein (angeblicher) Streusand-Effekt kann aber auch nur eine geschickte Methode von viralem Marketing sein, um ein stinklangweiliges Produkt interessant erscheinen zu lassen. Von der Unattraktivität des Produktes ist der Hersteller selber überzeugt, weshalb er diese Methode der Reklame gewählt hat.


Die Wikipedia kennt den Streisand-Effekt (de.wikipedia.org), welcher im Grunde das gleiche Phänomen beschreibt.

Leider finden sich auch Lücken zu Cross-Site Scripting (de.wikipedia.org) in der Seite, was im Zusammenspiel mit der Anfälligkeit für Session Hijacking (de.wikipedia.org) zu einer schwerwiegenden Sicherheitslücke wird.


Mit JavaScript ist es auch möglich einen bestehenden Cookie zu überschreiben. Gibt es in einer Website eine XSS-Lücke, so können auch die Cookies überschrieben werden, auf die der Browser laut Same Origin Policy (de.wikipedia.org) gar keinen Zugriff hat.

Ein Angreifer verteilt den Link zu seiner präparierten Seite, in der per unsichtbarem Iframe die anfällige Unterseite aufgerufen wird. Ist ein Opfer in der Website angemeldet so wird ein weiterer Cookie geschrieben. Der Angreifer richtet sein Script so ab, dass er nur dann eine Meldung bekommt wenn dieser zusätzliche Cookie gefunden wurde. Und da er die abgefangene Session-ID gleich in seine eigene Session übernehmen kann, kann er sich automatisch in den fremden Account einloggen.


Wenn es beispielsweise um SQL-Injection geht, da verstehen mittlerweile auch die die sich weniger mit der Sicherheit von Websites beschäftigen, dass es gefährlich werden könnte. Ein Angreifer kann dabei nicht nur Informationen aus einer Datenbank auslesen, sondern auch editieren, neu einfügen oder löschen.

Nach wie vor wird Cross-Site Scripting unterschätzt, was wohl der Grund dafür ist, dass es noch immer sehr einfach und schnell möglich ist entsprechende Lücken zu finden. Auch der Betreiber der populären Website scheint XSS nicht zu verstehen und nur an die üblichen Beispiele (Verunstaltung: “Hacked by Scriptkiddie”) zu denken.

Gestern konnte in den Input-Feldern noch
"><script>alert(123)</script>
ausgeführt werden, heute noch immer
">Nur Text nach dem Input-Tag.
aber auch
" onmouseover=alert(123) "

Erwartungsgemäß wurde wieder am Textarea gar nichts geändert, dieser HTML-Tag wird sehr sehr häufig vergessen, wenn es um Eingabefilterung geht — warum auch immer?! Dort ist weiterhin die Injektion von
</textarea><script>alert(123)</script>
möglich.


An dem Handling mit der Session wurde noch nichts geändert. Es ist Sonntag! <g>


Vielleicht wird sich in den nächsten Tagen jemand um das Fixen der Lücken kümmern, der mehr Kompetenz mitbringt, als die Wochenendaushilfe.

Die Website gehört zu den Kandidaten bei denen es mir wieder sehr schwer fällt den Betreiber nicht zu nennen, denn durch die Bekanntheit der Seite gibt es sehr viele mögliche Opfer.


Update: 16.08.2010 – 16:42 Uhr

Die Aushilfe hat Verstärkung bekommen. Jetzt werden alle Felder, auch das Textarea, korrekt gefiltert, wodurch kein XSS mehr möglich ist. Nun fehlen noch Maßnahmen gegen Session Hijacking.

Mal davon abgesehen dass ich das Logo einfach nur hässlich finde (Über Geschmack kann man nicht streiten oder vielleicht doch? <g>), hat das “SVG Export Plug-In . SVG Version: 6.00 Build 14948)” von “Generator: Adobe Illustrator 13.0.0″ keine gute Arbeit geleistet.

Denn am Ende der Datei müsste dies stehen:
...
</g>
</svg>

Schaut sich denn niemand mehr das Material an, welches veröffentlicht und zur Verfügung gestellt wird?


das logo selber habe ich hier nicht eingefügt – weil ich es ja so hässlich finde. :O)

Um die Antwort vorweg zu nehmen: Nein!


Wenn ich eine neue Seite besuche dann kann ich nicht anderes, da muss ich einfach mal irgendwo ein '">xss eingeben… :O)

Weiteres reflexives Cross-Site Scripting findet sich noch auf den folgenden Seiten: Passwort vergessen, Suche, Registrierung und Login.

Es gibt aber auch die Möglichkeit persistent eigenen Code im Shop zu speichern. Eine Seite die zum Pagemanagement aus dem Backend gehört kann von nicht angemeldeten Besuchern des Shops aufgerufen werden. Auf der Seite können bestehende Einträge editiert, gelöscht und neue hinzugefügt werden.


Seiten aus dem Backend die für jeden Besucher aufrufbar sind, und nicht nur für Shopadmins, gibt es noch weitere:

• Ausgabe der phpinfo()-Seite.
• Export aller Produktdaten im Excel-, XML-, CSV- oder TAB-Format.
• Export aller Kundendaten im Excel-, XML-, CSV- oder TAB-Format.
• Löschen der Aktivitäten des Admins, die in einer Tabelle gelistet werden.
• Anzeige der letzten Bestellungen der Kunden, inkl. Name und E-Mail-Adresse.

Nach der Registrierung im Demoshop testete ich auch die Passwort-vergessen-Funktion und wunderte mich gar nicht mehr, dass das von mir vergebene Passwort in der E-Mail stand. Dafür gibt es zwei mögliche Gründe: Entweder wird das Passwort direkt im Klartext in der Datenbank gespeichert oder es wird so kodiert, dass es wieder dekodiert werden kann.

Ich habe mir die Software runtergeladen und kurz in den Quellcode reingeschaut. Die Passworte werden per base64_encode() kodiert und nicht per MD5 oder SHA1 gehasht. Das bedeutet dass alle Passworte die in der Datenbank stehen per base64_decode() dekodiert, also in Klartext umgewandelt werden können.

Hier ein Beispiel für das Kodieren und Dekodieren:


Und hier kann man dies online ausprobieren: “Base64 Kodierer / Base64 Generator” (php-einfach.de)


Und, natürlich fand ich auch noch an vielen Ecken Cross-Site Request Forgery.

Würde dies in eine Seite als unsichtbares Iframe eingebaut und der Shopadmin besucht die Seite während er eingeloggt ist, bekommt er einen weiteren Admin ins System gepflanzt:
http://domain.tld/admin/
?do=subadminmgt&action=insert
[POST]
subadminname=adminb
&subadminpassword=123456
&subadminemail=adminb%40domain.tld
&insert=Add


Noch ein paar Infos für die die sich diese Software anschauen möchten:

Backend: http://ajdemos.com/demo/zeuscart/v3/admin/
User Name: demoadmin
Password: demo123

Frontend: http://ajdemos.com/demo/zeuscart/v3/
User Name: demouser@domainname.com
Password: demouser

Download: http://www.zeuscart.com/download/Zeuscart3.zip


Ich bin sicher dass es noch weitere Schwachstellen gibt, beispielsweise zu SQL-Injection, aber die gefundenen Lücken sind schon vollkommen ausreichend, um die Nutzung abzulehnen. Wer nun noch ernsthaft überlegt dieses Stück Schrott einsetzen zu wollen — dem ist nicht mehr zu helfen.

Vielleicht ist dies auch nur Teil einer Studie, so nach dem Motto: “Wie schrottig darf eine Software sein, bis sie niemand mehr benutzen mag?” ;O)


Eigentlich schreibe ich ja nicht so kritisch über eine Software, aber dieses Teil ist so schlecht und hat so viele Schwachstellen, dass man nicht davon ausgehen kann, dass die Entwickler (immerhin schon Version 3) auf diese noch nie hingewiesen wurden. Eine Google-Recherche nach “Zeuscart” förderte nur Testinstallationen oder bereits gehackte Shops zutage

Safe Browsing Diagnoseseite für trigami.com (google.com) (Screenshot)


Die Empfehlung von Trigami von heute 12:04 Uhr:

Zur Zeit empfehlen wir unseren Bloggern, die Trigami Berichte weiterhin online zu halten. Sollte wieder erwartet unsere Seite nicht in wenigen Stunden online sein, werden wir weitere Anweisungen aussprechen.

Quelle: GOOGLE BLOCKT MOMWORX! MIT BESTEN DANK AN TRIGAMI! (momworx.de)

Da die trigami.com bei Google zur Zeit noch immer als Malwareschleuder eingestuft ist,

Diese Website ist als verdächtig eingestuft. Das Aufrufen dieser Website kann schädlich für Ihren Computer sein!

glaube ich, dass dies ein schlechter Rat von Trigami ist.

Wenn man davon ausgeht dass die Malware mittlerweile entfernt wurde, so kann man zwar die Hinweise von Google zu trigami.com ignorieren, aber so lange Googles Safe Browsing das nicht gefressen hat, könnten Blogs die die Reviews inkl. dem Ref-Link von Trigami anbieten, ebenfalls im Safe Browsing landen. Da niemand weiß wie lange Google für die erneute Prüfung braucht, kann die Empfehlung zur Zeit nur lauten: Reviews auf Entwurf stellen.

Im gleichen Blogeintrag antwortet Trigami auf Kritik an der Empfehlung:

Alle Blogger aus dem Trigami Netzwerk (über 12’000) zu bitten, die Beiträge offline zu stellen, wäre doch unverhältnismäßig.

Die Blogger deren Seite, aufgrund der Empfehlung, auch von Google blockiert werden sehen das evtl. etwas anders.


Irgendjemand hatte am Wochenende geschrieben dass er Trigami für seriös hält und die Malware-Meldung wohl eher ein Fehler von Google sei. Trigami hatte bereits heute Vormittag eingeräumt:

Unser AdServer hat über einige Banner Schadcode ausgelöst…

Quelle: http://twitter.com/trigami/status/20126839109
(Gemeint ist wohl “ausgeliefert”, aber egal.)

Es hat wohl niemand ernsthaft geglaubt, Trigami würde wissentlich Malware über die Seiten der Blogger verteilen wollen?! Das Problem bei AdServern ist eben die zentrale Lage. Ein AdServer beliefert hunderte oder tausende von Websites mit Bannern, Scriptcodes, etc. Solche AdServer sind für Angreifer natürlich immer sehr interessant, da sie mit nur einem geknackten Server sehr viele Server dazu missbrauchen können Malware zu verteilen. AdServer sollten besonders gut geschützt und gepflegt werden.


Was bei diesem Fall wirklich voll in die Hose gegangen ist, ist dass es knapp zwei Tage gedauert hat, bis eine Reaktion von Trigami folgte. Ok, es war Wochenende und am Sonntag war der Nationalfeiertag der Schweiz, aber trotzdem sollte es ein Notfallteam geben, welches ständig erreichbar ist. Nach eigenen Angaben hat Trigami 12.000 Blogger im Netzwerk, was auch ein gewisses Maß an Verantwortung mit sich bringt. Ich weiß nicht wie groß Trigami ist, wie viele Mitarbeiter, wie viel Umsatz/Gewinn, etc. aber zumindest eine Person sollte es doch geben, die mal, auch am Wochende, nach dem Rechten schaut.


Ich denke Trigami wird aus diesem Unfall lernen und besser werden, aber da das Netz nichts vergisst, wird dieser Fall lange Zeit an der Reputation knabbern. Bei vielen passenden oder auch unpassenden Gelegenheiten wird irgendwer das Thema wieder ausgraben und aufwärmen, vor allem wenn es wieder gegen die Kommerzialisierung von Blogs geht.

Der Anwalt hat nun auch einen Mandanten der mit dem BtMG (Betäubungsmittelgesetz) in Konflikt geraten ist. Ich weiß natürlich nicht ob sein neue Kunde ein paar Gramm Mario zu viel dabei hatte oder 10 Tonnen Schnee importieren wollte — auf jeden Fall ist sein Einspruch gegen den Strafbefehl zwei Tage zu spät bei Gericht eingegangen, weshalb dieser abgelehnt wurde.

Mittlerweile habe ich eine Standardantwort gespeichert, die ich jedem sende, mit dem Hinweis, dass ich nicht der richtige Adressat bin.


Kann die De-Mail oder der E-Postbrief solche Irrläufer verhindert? Nein!

Begünstigt De-Mail und E-Postbrief solche Irrläufer? Ja!


Die De-Mail hat den folgenden Aufbau:
vorname.nachname.[nr]@[anbieter].de-mail.de

Und der E-Postbrief ist dem ganz ähnlich:
vorname.nachname.[nr]@epost.de

Bei dem E-Postbrief gibt es bereits mindestens viermal einen “Hans Meier”, weshalb der nächste z.B. hans.meier.5@epost.de bekommen kann, aber auch hans.meier.007@epost.de, wenn er Bond-Fan ist. Es gibt sogar schon drei “Angela Merkel”. :O)

angela.merkel.1@epost.de
angela.merkel.2@epost.de
angela.merkel.3@epost.de
Und welche Adresse gehört nun der Bundeskanzlerin? Wahrscheinlich keine, denn sie wird bestimmt angela.merkel.1@telekom.de-mail.de bekommen.


“R.A.” für Rechtsanwalt ist noch verständlich und naheliegend. Wer heute schon Schwierigkeiten hat ein “R.A.” vor dem ÄT zu schreiben, der wird in Zukunft mit Zahlen noch mehr Probleme haben.


Ich geb’s ja zu, irgendwie hoffe ich dass mein Namensvetter mal einen hochrangigen Politiker als Mandant bekommt, aber vielleicht hat er dann auch das Geld um sich eine eigene Domain zu besorgen und endlich auf den Freemailer verzichtet. ;O)

Eine kritische Sicherheitslücke in der weit verbreiteten Forensoftware vBulletin führt dazu, dass Angreifer mit minimalem Aufwand an die Zugangsdaten des MySQL-Servers gelangen.

Dieser minimale Aufwand besteht lediglich in einer Suchanfrage nach “Datenbank” oder “Database”.

Das BSI meinte dazu in “Kurzinfo CB-K10/0285” (cert-bund.de):

Information zu Schwachstellen und Sicherheitslücken
Titel: vBulletin: Schwachstelle ermöglicht Informationsgewinnung
Datum: 23.07.2010
Software: Internet Brands vBulletin 3.8.6
Plattform: UNIX, Linux, Windows
Auswirkung: Ausspähen von Informationen
Remoteangriff: Ja
Risiko: mittel

So bisschen “Ausspähen von Informationen” kann ja nicht so schlimm sein, also nur “mittel”.

Natürlich bin ich da wieder anderer Meinung — wie sollte es auch anders sein. :O)


Da vBulletin auch die verwendete Version im Footer mit ausgibt, ist es per Suchmaschine sehr einfach potentielle Opfer zu finden. Nach nur wenigen Minuten fand ich mehr als zwei dutzend Foren die die MySQL-Zugangsdaten ausplauderten.

Da es weit verbreitet ist phpMyAdmin direkt mit der Domain zu verbandeln, um schneller darauf zuzugreifen,

• http://phpmyadmin.domain.tld/
  oder
• http://domain.tld/phpmyadmin/

bekommt ein Angreifer u.U. leichten Zugang zur Foren-Datenbank und damit evtl. auch zu weiteren Datenbanken, die auf dem gleichen Server laufen.

Bei solch einer Sicherheitslücke von “mittel” zu sprechen halte ich für fahrlässig.

“Kurzinfo CB-K10/0285 Update 1” (cert-bund.de)

Information zu Schwachstellen und Sicherheitslücken
Titel: vBulletin: Schwachstelle ermöglicht Informationsgewinnung
Datum: 26.07.2010
Software: Internet Brands vBulletin 3.8.6
Plattform: UNIX, Linux, Windows
Auswirkung: Ausspähen von Informationen
Remoteangriff: Ja
Risiko: hoch

Der Bug ist immer noch der gleiche nur die Einstufung und das Datum wurden geändert, und dies noch bevor ich meine (unerhebliche) Meinung zum Besten gegeben habe. ;O)

Auch wenn vBulletin weit verbreitet ist ist der eigentliche Knackpunkt hier nicht die Menge der möglichen Opfer, sondern eher das was mit der Lücke für Schaden angerichtet werden kann. Findet ein Angreifer einen Weg in die Administration der Datenbank, so kann er nicht nur Daten auslesen, sondern auch eigene Daten einspeisen. Wie schon erwähnt, liegen meist mehrere verschiedene Datenbanken in einem Account. Da findet sich z.B. jeweils eine Datenbank für die Website, für den Shop, für das Blog und schließlich für das Forum, und auf alles hat der Angreifer Zugriff.

Ein echter Angreifer, also kein Scriptkiddie welches einfach alle erreichbaren Datenbanken löscht, würde wohl damit anfangen Dumps der Datenbanken runterzuladen. Speist der Angreifer anschließend Daten in den Shop ein, so wird das Opfer kaum auf die Idee kommen dass das Einfallstor für den Angreifer das Forum war.

Aus einem einfachen “Ausspähen von Informationen” kann somit sehr schnell eine schwerwiegende Sicherheitslücke werden, die vollkommen andere Systeme betrifft, als das ursprünglich angegriffene.


Es gibt aber auch Sicherheitslücken die einfach nur durch die Anzahl der möglichen Opfer hochgradig gefährlich werden. Wenn zum Beispiel in einer Website die nur wenige Besucher zählt eine XSS-Lücke stecken würde, so wäre diese nicht annähernd so kritisch wie die die vor ein paar Wochen in den Kommentaren von YouTube steckte: “Google schließt Cross-Site-Scripting-Lücke in YouTube-Kommentaren” (heise.de)


Bevor von anerkannten Stellen Risikoeinschätzungen abgegeben werden, sollten diese genau hinschauen wie weitreichend eine Lücke ist. Eine zu geringe Einstufung wie “mittel” kann dazu führen das eine Sicherheitslücke kaum bis gar keine Beachtung findet.