Ich weiß nicht mehr genau wer die Idee eines sogenannten “Datenbriefes” hatte, der jährlich von allen Unternehmen an alle ihre Kunden verschickt werden soll. Ich weiß nur, dass es ein Unionschrist war.

Nicht so ganz, die Idee ist schon ein paar Jahre alt und kommt vom CCC selber:
“Der Chaos Computer Club (CCC) verlangt mehr Transparenz im Umgang mit den persönlichen Daten deutscher Bürger.” (computerwoche.de / 27.12.2008)

Ein jährlicher “Datenbrief”, der jedem Bürger per Infopost zugestellt werden solle und ihn über die Verwendung seiner Daten aufkläre, beschließt die Forderungen der Hacker.

Es ist natürlich durchaus möglich dass auch CCC-Mitglieder ein Parteibuch von der CDU oder CSU haben. ;O)

WELT ONLINE weiß dazu mehr:

Der Chaos Computer Club (…) vertritt eine wertkonservative Bewegung.

Quelle: “Kurze Geschichte der Privatsphäre” (welt.de)


Die Rückkehr der Datenleichen. (pflaumensaft.wordpress.com)
Hier nur der Teaser — auf jeden Fall lesens- und nachdenkenswert:

Wie der Chaos Computer Club längst tote und begrabene Daten wieder zum Leben erwecken will und auch die Politik die Schaufel auspackt um längst verstorbene Datenleichen wieder auszugraben. Warum diese Idee das Zeug dazu hat im datenschutzrechtlichen äquivalent zu Tschernobyl zu enden und ein eklatanter Verstoß gegen das Recht auf Informationelle Selbstbestimmung ist:

Chaos Computer Club gegen Intimssphäre (blogfuerst.de)

Dieses Szenario ist keineswegs extrem oder selten. Ich frage mich nur, ob der CCC so viel Rückgrat besitzt, sich öffentlich einzugestehen, dass der Datenbrief ein Fehler war. Aufgrund der Tatsache, dass gar zwei Bundesminister diese Idee “erwägenswert” fanden, bezweifle ich jedoch, dass dies geschieht. Ist doch der CCC mittlerweile fest als IT-Lobby-Organisation etabliert. Und wer in der Öffentlichkeit steht, neigt eher weniger dazu Selbstkritik zu üben. (Hervorhebung von mir.)

Pflaumensaft hat, im Gegensatz zum CCC, das Datenbrief-Szenario einmal zu Ende gedacht und dem Blogfürst kann ich auch nur beipflichten. Auch ich glaube der CCC hat sich in die Idee verrannt und will nun (in Politikermanier) bei dem einmal gesagten stur festhalten, wobei jegliche Kritik als Majestätsbeleidigung aufgefasst wird.


Fehler zuzugeben ist kein Zeichen von Schwäche, sondern eher eines von Stärke und einem gesunden Selbstbewusstsein — dem Bewusstsein fehlbar zu sein, mit dem Willen aus Fehlern zu lernen.

Microsoft und andere Computerexperten warnen vor einem ernsten Sicherheitsloch im Internet. Die Bedrohung geht vom sogenannten “cross-site-scripting” aus. Betroffen sind Programme aller Hersteller, da das Problem nicht aus den Anwendungen, sondern aus bestimmten Internet-Standards resultiert.
(…)
Das Problem kann nur durch massive Anstrengungen der Web-Designer unter Kontrolle gebracht werden, sagte dazu ein Sprecher des CERT Coordination Center der Carnegie Mellon Universität. Riediger vom deutschen CERT rät den Anwendern, aktive Inhalte abzuschalten.

“aktive Inhalte abzuschalten” – das wird für den Besucher gar nicht so leicht, denn viele, sehr viele Websites funktionierten ohne JavaScript gar nicht mehr.


Die Meldung ist schon etwas älter… vom 4. Februar… 2000.


Mehr als 10 Jahre ist der Artikel alt und was hat sich geändert?

Die Angriffsmöglichkeiten die Cyberkriminellen zur Verfügung stehen haben sich um ein vielfaches erhöht. Heute findet man kaum noch Websites die ohne dynamische Inhalte daherkommen. Gibt es z.B. eine Sicherheitslücke in einem Content Management System, so sind gleich, je nach Verbreitung, tausende Seiten betroffen, was i.d.R. von den Kriminellen auch sehr schnell ausgenutzt wird.

Die Softwareentwickler und die vielen Websitefrickler, die sich “Webdesigner” nennen und in “Webagenturen” arbeiten, habe kaum bis gar nichts dazugelernt. In neu aufgesetzten Websites und in neuer Software (z.B. CMS) finden sich zu Hauf Sicherheitslücken, bei denen man sieht, da wurden wieder grundlegende Regeln für sichere Anwendungen missachtet.

Ich glaube wir brauchen endlich Standards an die sich Entwickler halten müssen, bevor sie tausendfach ihre Software verteilen, wobei ich jetzt nicht den kleinen Privatfrickler meine, sondern Firmen die mit ihrer Arbeit Geld verdienen. Und wir brauchen Standards wie diese Firmen mit gemeldeten Sicherheitslücken umgehen müssen, in welchem Zeitrahmen – nachprüfbar – gehandelt wurde.

Auch ein Websitebetreiber der Hinweise zu Sicherheitslücken bekommt muss handeln und zwar nachprüfbar. Es kann nicht sein das gemeldete Lücken aus Kostengründen oder Desinteresse ungefixt bleiben und man sich einfach darauf verlässt dass der der den Hinweis gegeben hat schon nichts veröffentlichen wird und kriminelle Hacker die Lücken nicht finden und ausnutzen werden.

Auch in Websites die aktuell 600.000 Besucher pro Tag haben gibt es eklatante Sicherheitslücken, von denen die Betreiber wissen, wo aber nicht gehandelt wird – 600.000 potenzielle Opfer von Cyberkriminellen – täglich – über eine Website! Wer Sicherheitslücken vorsätzlich nicht schließt, sollte haftbar gemacht werden können.

Verstößt jemand gegen den Datenschutz, so gibt es in jedem Bundesland eine Stelle an die man sich wenden kann. Um vorsätzlich ungefixte Lücken kümmert sich niemand, da muss der Handlanger der Cyberkriminellen keine Strafen befürchten – im Gegenteil, der Hinweisgeber wird sogar noch mit Klagen bedroht, um ihn mundtot zu machen.

Mir fällt es schwer hier den Gesetzgeber zum Handeln aufzurufen – aber eine Selbstkontrolle oder Selbstverpflichtung gibt es zu dem Thema leider bisher nicht.


Zu dem Thema noch zwei Links:
“Experten diskutieren über verantwortungsvolle Offenlegung von Sicherheitslücken” (heise.de)

Tim Stanley, CISO bei der Fluglinie Continental Airlines, fand als Kunde der beiden Softwarehersteller deutliche Worte: “Es ist mir egal, in welchem Verhältnis Hacker und Hersteller zueinander stehen. Ich zahle direkt und indirekt die Arbeit von beiden und will, dass die Lücken so schnell wie möglich geschlossen werden.”

Und für die die Lücken finden und nicht wissen wie sie damit umgehen sollen:
“CR152 – Responsible Disclosure – Wie man als Hacker am Leben bleibt” (chaosradio.ccc.de)

2 computer verbinden für internet windows 98

Hallo?! Bei dem “98″ könnte man vermuten das es sich um eine Jahreszahl handelt?! Verschrotten – nicht verbinden!

md5 unsicher für passwörter

Ungesalzen ist MD5 genau so unsicher wie anderer Algorithmen, weil es

md5 cracker

gibt.

streng vertraulich type=xls

Also wenn, dann muss es filetype:xls oder ext:xls heißen. Man wird allerdings z.B. vom Bund oder seinen Behörden kaum etwas finden, es sei denn ein frustrierter Beamter will seinem Ärger Luft machen.

robots.txt disallow filetype .txt bnd

suchen? Hier http://www.bnd.de/robots.txt stehts doch!?

mitarbeit bnd
bnd vorstellungsgespräch
bnd braucht mitarbeiter
Vorstellungsgespräch beim BND
einstellungsgespräch beim bnd
inoffizielle Mitarbeiter bnd

absturz firefox 5 warum?

Aktuell sind wir beim Firefox 3.6 – also ist der Trojaner wohl nicht so gut gecodet?!

warum erscheinen meine gespeicherten dateien in der google suchmaschine

Da tipp ich mal auf aktiviertes Directory-Listing – kann und sollte man abschalten.

Was macht ein Linkbuilder?
wie linkbuilder werden
linkbuilding woher links bekommen

Ist Suchmaschinen-Spammer bereits ein erstrebenswerter Beruf?

wo wohne ich

In einer Welt in der verwirrte Menschen leben?!

wie kann ich im studivz den schutz abschalten
hat studivz meine ip adressdaten?
ip adresse nicht anzeigen studivz
können andere meine ip adresse sehen? studivz
studivz ip abschalten

ab wann und wieviel uhr werden bei studivz die ip adresse gespeichert?

Vom 32. Januar bis zum 35. Februar des Folgejahrhunderts und zwischen 6 Uhr 62 und 28 Uhr, bei 1,5 Promille Schweiß-Alkohol… so oder so ähnlich, das macht jeder etwas anders. ;O)

wird facebook account wirklich gelöscht

Nein!

sie hat bei Facebook die google suche aktiviert

Und nun?

Geheime Google Hacks

… findet man kaum über die Google-Suche – dann wären sie ja nicht mehr geheim.

kann gott mein aussehen verändern?

warum benutzt gott ein buch
Was soll ich mit Gott auf dieser Erde?
Ist Gott eine Notbremse
ist gott ein spielverderber
Meine Identität in Gott
sicherheit bei gott

quellcode gottes
update gott
gott bot internet
internet verglichen mit gott
surft Gott im Internet
Wo ist Gott im Web 2.0
findet gott ballerspiele ok?

gott unmoralisch
dummer gott
gott ist nicht unfähig
wo ist gott auf dieser welt?
gott und erwartungen
wie findet man zu Gott
mein Gott ist richtige Gott

Wie geht mit einem Korinthenkacker um

Einfach zustimmend nicken und schon hat man seine Ruhe. ;O)

Im Firefox kann man das Speichern der Cookies live verfolgen:

Hier habe ich mich nur in einen Hotmail-Account eingeloggt und wieder ausgeloggt. Nach dem Ausloggen wird man automatisch auf de.msn.com weitergeleitet.

Es wurden insgesamt 76 Cookies angelegt, viel Datenmüll, wenn man bedenkt dass es effektiv nur zwei Seiten waren die ich besucht habe. Zum Teil ist das Verfallsdatum der Cookies auf das Jahr 2037 eingestellt. Lässt man keine Drittanbietercookies zu so werden noch immer 46 Cookies gespeichert, aber dann mault Microsoft:

Fehler beim Abmelden.
Sie konnten nicht abgemeldet werden, da Drittanbietercookies offensichtlich von Ihrem Browser blockiert werden

So wirklich glaube ich Microsoft diese Meldung aber nicht, denn wenn man im Browser eine Seite zurück geht, dann ist man abgemeldet. Auch wenn man direkt einen Link in den Hotmail-Account versucht, muss man sich erneut einloggen. Also warum diese Meldung? Will man damit den Werbepartnern helfen ihre Cookies zu speichern?


Zu dem Thema Cookies noch etwas zu Flash:
Ein Flash-Cookie (de.wikipedia.org) wird nicht vom Browser verwaltet und kann nur in den Einstellungen von Flash deaktiviert werden. Der Link dazu findet sich in den Fußnoten von Wikipedia, Hilfe zu Flash Player – Globale Speichereinstellungen (macromedia.com), sowie eine Erklärung wie man bestehende Flash-Cookies löschen kann.

Es gibt auch Websites auf denen man kein Flash sieht, die aber trotzdem Flash-Cookies setzen – eine sehr perfide Art Besucher zu verfolgen.


Update: 20.02.2010 – 17:42 Uhr

Nach dem Kommentar von Alviond, noch die Links zu den Add-ons auf addons.mozilla.org:
BetterPrivacy
Cookie Monster

Vor ein paar Tagen sprach ich mit einem Lehrer. Seine Schülern sollten etwas zum Thema Deutsche Revolution 1848/49 (de.wikipedia.org) im Internet recherchieren.

Hanauer Ultimatum (de.wikipedia.org)

Das Hanauer Ultimatum vom 9. März 1848 war eine Petition Hanauer Bürger an ihren Landesherren im Rahmen der Revolution von 1848/49, um bürgerliche Grund- und Freiheitsrechte zu erlangen.
(…)
Das Hanauer Ultimatum vom 9. März 1848 entstand im Zuge einer Petition an den Kurfürsten: Nachdem eine im Februar 1848 aufgesetzte Petition kurzfristig keine Veränderung bewirkt hatte, wählten Hanauer Bürger, die sich auf dem Marktplatz der Hanauer Neustadt versammelten, eine 24-köpfige „Volkskommission“, der unter anderem August Schärttner, Christian Lautenschläger, Pedro Jung, August Rühl sowie der Bürgermeister Bernhard Eberhard angehörten

Es gab 24 Mitglieder dieser “Volkskommission”, aber nur fünf werden auf Wikipedia erwähnt. Die Aufgabe für die Schüler bestand nun darin, die anderen 19 Mitglieder herauszufinden.

Wie beginnt man üblicherweise mit der Recherche, z.B. per Google?

Wir suchen nach den gegebenen fünf Namen (Schärttner, Lautenschläger, Jung, Rühl, Eberhard), in der Hoffnung, eine Seite zu finden, auf der die restlichen Mitglieder erwähnt werden.

Einer der acht Treffer führt uns auf die Seiten der Stadt Hanau und dort finden wir zwar “Das Hanauer Ultimatum” (hanau.de), aber darin ist nur ein neuer Name enthalten, Karl Röttelberg. Johann Bernhard Eberhard, der auch Oberbürgermeister war, wird darin nicht erwähnt. Dieser selbst findet sich aber auf der Seite “Oberbürgermeister der Stadt Hanau” (hanau.de), mit dem Hinweis:

Mitunterzeichner des Hanauer Ultimatums vom 9. März 1848

Ähnlich erfolglos bleiben die weiteren Recherchen per Google. Auch mit dem Zusatz “Volkskommission”, “Hanau”, “1848″ und dem Weglassen von einzelnen Namen, kommt man dem Ziel nicht näher. Eine Suche nach “Hanauer Ultimatum” bleibt auch ohne Erfolg, da diese Bezeichnung ganz sicher nicht in der Petition selber zu finden ist.

Die Schüler haben angeblich mehr als 100 Seiten durchforstet und nichts finden können, bis einer auf die Idee kam, auf den Seiten der Deutschen Nationalbibliothek (d-nb.de) nachzuschauen. Nach weiteren Suchanfragen dort, wurde er fündig und fand die Petition inkl. aller 24 Unterzeichner.


Setzt man sich etwas mit dem auseinander, was Suchmaschinen indexieren können und was nicht, so kann man sehr viel schneller gute Ergebnissen bei der Recherche erzielen.


Beginnen wir noch einmal mit der Recherche, nur diesmal berücksichtigen wir, was wir suchen bzw. aus welcher Zeit dies stammt und was Suchmaschinen dazu aufgenommen haben können und was nicht.

Wir schreiben das Jahr 1848. Die meistbenutzte Druckschrift im deutschsprachigen Raum ist zu der Zeit Fraktur (de.wikipedia.org). Dokumente in dieser alten Schriftart, die die meisten Menschen heute kaum noch lesen können, werden wir wahrscheinlich nur als eingescannte Bilder im Internet finden können.

PDF-Dokumente können u.a. Texte und Bilder enthalten. Ein mit einer Textverarbeitung geschriebener Text der als PDF gespeichert wurde, enthält die Textinformation selber, die auch Google in seinen Index aufnehmen kann. Wird hingegen ein Dokument eingescannt und als PDF gespeichert, so fehlt die Textinformation, da nur ein Bild der Vorlage gespeichert wird. Man könnte vor dem Speichern als PDF eine Texterkennung einsetzen, um die Textinformation zu erhalten, diese wird aber bei der Schriftart Fraktur versagen. In der alten Schrift wird u.a. das lange s (de.wikipedia.org) verwendet, welches wie ein f aussieht und da sich wohl kaum jemand die Mühe macht alle gescannten Dokumente entsprechend nachzubearbeiten und Korrektur zu lesen, müssen wir davon ausgehen dass die Petition nur als Bild gespeichert vorliegt. Google nimmt zwar auch Bilder in den Index auf, aber nicht den Text der auf einem Bild zu lesen ist, sondern nur, sofern vorhanden, den alternativen Text und/oder den Titel eines Bildes. Der Dateiname selber wird unter guten Umständen auch vom Google-Bot aufgenommen.

Wir können nicht nach Bestandteilen aus dem Text selber suchen, da wir diesen zum größten Teil nicht kennen und zum anderen annehmen müssen, dass dieser nur als Bild im Internet verfügbar ist (egal ob nun als GIF, TIFF oder PDF), bleibt uns nur die Möglichkeit nach Schlagworten oder Eigennamen zu suchen, nach etwas, was eine geschichtswissenschaftliche Institution in ihre Datenbank aufgenommen hat, wie das Dokument katalogisiert wurde.

Mit diesem Wissen gerüstet, suchen wir nun noch einmal per Google. In dem Text von Wikipedia sticht das Wort “Volkskommission” hervor, da es heute eher ungebräuchlich ist, versuchen wir es mit diesem einen Wort erneut: Volkskommission

Bereits das siebente vierte Suchergebnis sieht sehr vielversprechend aus:

Wenn wir nun auf der verlinkten Seite nach der “Volkskommission” suchen, so finden wir gleich zwei Dokumente:
http://edocs.ub.uni-frankfurt.de/volltexte/2006/5599/
http://edocs.ub.uni-frankfurt.de/volltexte/2006/5595/

Die Seite Zentrales Verzeichnis Digitalisierter Drucke (digitalisiertedrucke.de) kannte ich bisher leider nicht. Sucht man dort nach “Volkskommission”, so wird man sofort mit den zwei Treffern belohnt.


Meist ist es hilfreich mehrere Suchworte in Google einzugeben, da es häufig zu viele Suchergebnisse gibt, wenn man nach zu allgemeinen Wortkombinationen sucht. In diesem Fall sieht man, nur genau das Gegenteil des üblichen Vorgehens führt zum Erfolg. Dies ist bedingt durch die Art bzw. das Alter des gesuchten Dokuments und dem Umstand, dass die Dokumente zwar in digitaler Form vorliegen, aber nicht im Volltext von Suchmaschinen indexiert werden können.


Da ich den Schülern nicht den Spaß der Recherche nehmen möchte…

In den zwei Dokumenten gibt es verschieden geschriebene Unterzeichner:
Nauh – Rau | Schreer – Schreher | Rühl – Rülh | Weidman – Weidmann

Viel Spaß! ;O)


Update: 27.02.2010 – 17:30 Uhr

Die Links zur Uni Frankfurt, mit den zwei Versionen der Petition, hatte ich auch in den Wikipedia Artikel eingefügt. Ich habe gerade gesehen das diese Links mittlerweile in den Hauptartikel übernommen wurden.

DAS ist für mich Web 2.0!

Er meldete sich bei mir und berichtet von Spameinträgen in seinem Blog, die für die üblichen Medis oder günstige Software warben. Er vermutete seine Zugangsdaten zum Blog oder gar zum Google-Account selber wurden gehackt. Wenn man alle seine Netzaktivitäten über einen Account laufen hat… kann solch ein Einbruch schon zu Herzrhythmusstörungen führen. ;O)

Also Spam gelöscht, neue Passworte vergeben. Ein paar Stunden später waren wieder neue Spameinträge vorhanden. Mist! Was ist da los? Ein Trojaner auf dem Rechner der die neuen Passworte gleich mitgelesen hat?

Nach deaktivieren des Blogs dämmerte ihm woher der Spammer die Zugangsdaten kannte… :O)

Auf blogger.com gibt es, wie auch in WordPress, die Möglichkeit eine E-Mail-Adresse einzurichten über die man einfach einen neuen Blogpost veröffentlichen kann. Man schreibt an diese Adresse eine E-Mail, je nachdem wie man es konfiguriert hat, wird der neue Beitrag entweder sofort veröffentlicht oder als Entwurf gespeichert. Diese E-Mail-Adresse sollte man natürlich auf gar keinen Fall irgendwem geben oder für andere Zwecke benutzen. Diese Adresse ist, wenn man so will, das Passwort um einen Eintrag zu posten.

Mein Freund hatte dieses Mail2Blogger nur ausprobieren wollen und hatte es so eingerichtet, dass der Eintrag sofort veröffentlich wird. Er hatte nur einen Test durchgeführt, also nur einen Blogeintrag per E-Mail geschrieben und diese Funktion dann nicht mehr genutzt — nur leider hatte er dieses Feature nicht wieder deaktiviert.

Den Test hatte er über Facebook gemacht und einfach nur eine Statusmeldung an den eigenen Blog gesendet. Der Eintrag wurde im Blog angezeigt, Test beendet, funktioniert, abgehakt. Facebook war allerdings der Meinung die E-Mail-Adresse zum in-den-Blog-schreiben sollte jeder im Internet kennen und veröffentlichte sie in einer anderen Meldung, die jeder, auch wenn er nicht in Facebook angemeldet ist, sehen kann. Tolle Wurst von Facebook!

Der der nun diese E-Mail-Adresse gefunden hat, war zum Glück so freundlich nur harmlosen Spam an die Adresse zu senden und nicht wirklich böses Zeuch. Ok, Problem erkannt. Einfach dieses Feature bei Blogger wieder daktivieren und schon ist der Spuk vorbei… denkste.

Es tut uns leid, aber… … ihr Computer oder Netzwerk sendet eventuell automatische anfragen.

Diese Meldung bekommt man angezeigt wenn ein Script zu viele Anfrage an die Google-Suche absetzt, aber warum bekommt man diese Meldung auch angezeigt, wenn man nur dieses Feature zum Bloggen per E-Mail wieder abschalten möchte? Tolle Wurst von Google!

Nun half nur noch, einen neuen User anlegen und den User, mit der speziellen E-Mail-Adresse zum Bloggen, zu löschen.

Viel Aufregung wegen einer kleinen Dummheit meines Freundes (das Feature nicht wieder zu deaktivieren), der Plaudertasche Facebook und der Datenkrake Google, die an den Stellschrauben gegen zu viele Anfragen etwas zu viel gedreht hat. :O|

Anlässlich des Safer Internet Day am 9. Februar beantwortet das Bundesamt für Sicherheit in der Informationstechnik (BSI) wieder Fragen rund um das Thema „Ins Internet – mit Sicherheit“. Die kostenlose BSI-Hotline ist von 10.00 bis 17.00 Uhr unter der Rufnummer 0800 274 1000 erreichbar. Außerdem können Interessierte ihre Fragen per E-Mail an fragen[ätsch]bsi-fuer-buerger.de schicken.
(Spamschützchen von mir.)

Also anrufen und Fragen stellen bis die Ohren glühen! :O)


<einschub>
Cross-Site Request Forgery (de.wikipedia.org)

Eine Cross-Site Request Forgery (zu deutsch etwa „Site-übergreifende Aufruf-Manipulation“, meist XSRF oder CSRF abgekürzt) ist ein Angriff auf ein Computersystem, bei dem der Angreifer unberechtigt Daten in einer Webanwendung verändert. Er bedient sich dazu eines Opfers, das ein berechtigter Benutzer der Webanwendung sein muss. Mit technischen Maßnahmen oder zwischenmenschlicher Überredungskunst wird hierzu aus dem Webbrowser des Opfers ohne dessen Wissen und Einverständnis ein kompromittierter HTTP-Request an die Webanwendung abgesetzt. Der Angreifer wählt den Request so, dass bei dessen Aufruf die Webanwendung die vom Angreifer gewünschte Aktion ausführt.

</einschub>


“CERT-Bund — Das Computer-Notfallteam des BSI” (cert-bund.de)

CERT-Bund hat das Ziel als zentrale Anlaufstelle für präventive und reaktive Maßnahmen mit Bezug auf sicherheits- und verfügbarkeitsrelevante Vorfälle in Computersystemen zu wirken.

Leider wird dort kein RSS-Feed mit den News angeboten, aber zumindest einen Newsletter gibt es. Also flux angemeldet und geschaut was noch an Services angeboten wird. Naja, einen Service hatte ich nicht erwarten — die Möglichkeit mit nur einem Klick den Account wieder zu löschen. ;O)

Wenn man dort seinen Account wieder löschen möchte:

Wenn Sie sich vom WID-Portal deregistrieren, werden sämtliche in Ihrem Profil enthaltenen Daten (persönliche Daten, Suchprofile & Abonnements) gelöscht.

Aber…

Ist jemand eingeloggt und würde auf eine präparierte Website surfen, so könnte er — ohne es zu wollen — seinen Account löschen, denn es gibt vor dem Löschen keine Nachfrage oder Warnung. So etwas nennt sich dann Cross-Site Request Forgery. In diesem Fall ist es nicht ganz so gefährlich… es sei denn… das Opfer verlässt sich auf die Meldungen zu Sicherheitslücken nur aus dieser einen Quelle.

Hier habe ich mal wieder einen Screencast (diesmal zu groß um es hier in den Blog einzufügen) dazu erstellt:
http://meingottundmeinewelt.de/wp-content/videos/cert-bund_de-csrf.html

In dem Screencast sieht man:

• Wie ich mit einer Wegwerf-E-Mail-Adresse einen Account erstelle.
• Mich einlogge um die Registrierung abzuschließen und dabei ein neues Passwort vergebe.
• Mich wieder auslogge und wieder einlogge, damit man sieht dass der Account auch wirklich besteht.
• Dann rufe ich, während ich eingeloggt bin, ein HTML-Formular auf, welches den Account löscht.

Das Formular zum löschen sieht etwas sonderbar aus, da ausser der URL in action= keine Parameter an die Webseite übermittelt werden. Aber der Aufruf nur der URL alleine in einem Link führt nicht zur Löschung des Accounts.


Lücken zu CSRF werden von Angreifern gerne benutzt um z.B. Zugangsdaten zu ändern, Passworte und/oder E-Mail-Adressen. Administratoren könnten über solch eine Lücke auch ungewollt neue Administratoren im System anlegen. Die Möglichkeiten CSRF auszunutzen sind je nach System sehr erschreckend bzw. für einen Angreifer sehr verlockend.


Die Jungs vom BSI sind irgendwie humorlos. :O)

Im vergangenen Jahr habe ich dutzende von E-Mails zu Sicherheitslücken versendet u.a. auch an fast alle Bundesministerien. Meine Beispiele habe ich zum Teil mit einem JavaScript versehen, welches die Lücken demonstrierte. Immer wenn eine Website vom Bund betroffen war, kamen die Jungs vom BSI und schauten sich an was ich da wieder ausgebrütet hatte. Wahrscheinlich waren die schon genervt wenn sie mal wieder eine weitergeleitete E-Mail bekamen und mich als ursprünglichen Absender erkannten. “Oh nein, nicht der schon wieder!” Naja, auf jeden Fall haben sie dann eines der JavaScripte immer und immer wieder aufgerufen, wo ich nicht verstanden habe warum?! Sie hätten nun einfach nachfragen können, wenn es irgendwelche Unklarheiten gibt, aber nein, wieder und wieder aufrufen und grübeln… ;O)

Wenn ich glaube das meine Hinweise angekommen sind und meine Beispiele nicht mehr benötigt werden, dann lösche ich diese, damit da nicht doch mal irgendwelche Suchmaschinen… Es gibt da nämlich auch so Spezialisten, die haben offensichtlich eine Erweiterung oder Toolbar oder was auch immer, von Alexa installiert und dann kommt plötzlich der Bot und kennt den eigentlich nicht auffindbaren Link zu meinem Beispiel.

Zurück zu dem JavaScript und dem BSI. Mittlerweile hatte ich das Beispiel gelöscht, aber trotzdem kam da noch immer der Mensch vom BSI und suchte nach dem Script… Jaja, ich gebe es ja zu, ich bin frech! :O) Also habe ich das komplette Beispiel inkl. dem JavaScript gezippt und an das BSI per E-Mail geschickt. Am darauf folgenden Tag und auch an den nächsten Tagen kam niemand mehr vom BSI um das Script zu suchen, also war auch diese E-Mail an den richtigen Mitarbeiter weitergeleitet worden. Ob ich eine Antwort bekam? Nein, natürlich nicht. Ich nehme es mit Humor. Bei den BSI-Jungs muss ich immer an die Men in Black denken: “Wir haben keinen Humor, von dem wir wüssten.”

Wer in der IT-Security arbeitet und keinen Humor hat, der sollte sich einen anderen Job suchen! :O)

Mein Beispiel ist natürlich offensichtlich eine Manipulation, aber was hält einen Kriminellen davon ab seine Scareware (de.wikipedia.org) über diese Lücke unters Volk zu bringen? NICHTS!

“Symantec: Cyberkriminelle verschrecken Nutzer, um ihnen dann gefälschte Sicherheitssoftware anzudrehen” (symantec.com)

München, 20. Oktober 2009 – Spiel mit der Angst um des Profits willen – Cyberkriminelle schüren die Furcht bei Anwendern vor einer Malware-Infektion und verleiten sie dadurch zum Kauf gefälschter oder bösartiger Sicherheitssoftware. Dies belegt der neue Symantec-Sicherheitsbericht, der Schadprogramme unter die Lupe nimmt, die sich als seriöse Sicherheitssoftware ausgeben. Diese gefälschten Programme bringen oft gar keinen Nutzen. Im Gegenteil – sie infizieren den Rechner unter Umständen mit neuem Schadcode. Die Daten für den aktuellen Report hat Symantec zwischen Juli 2008 und Juni 2009 erhoben.

Diese XSS-Lücke ist alt. Bereits im April letzten Jahres habe ich Symantec Hinweise dazu geschickt. Damals wurde auch dafür gesorgt, dass meine Beispiele nicht mehr funktionierten. Zwar kam keine Rückmeldung, aber die zeitliche Nähe zwischen meinen Hinweisen und dem Versuch die Lücke zu schließen lässt mich vermuten, dass meine Hinweise der Grund waren. Sollte dieser Versuch nur dafür sorgen dass ich Ruhe gebe? Da muss ich Symantec enttäuschen, ich werde nicht müde mit dem Finger so lange in der Wunde zu bohren, bis das Loch wirklich geschlossen wird.

Wenn ich so etwas sehe… da bekomme ich soooooo einen Hals…

Ok, dann gebe ich eben Fakedaten ein und eine der vielen Wegwerf-E-Mail-Adressen, die es genau für solche Fälle gibt. Nun erwarte ich entweder direkt einen Link zum Download oder eine E-Mail in der der Link enthalten ist. In Ausnahmefällen wird auch schon mal an die versendete E-Mail das gewünschte Dokument angehängt. Njet! Es gab zwar gleich drei E-Mails, einen Dank und zwei Abwesenheitsnotizen, aber keinen Link zum Download!

(Wird JavaScript im Browser deaktiviert, so reicht es auch aus nur die E-Mail-Adresse einzugeben, um nichts sinnvolles zugesendet zu bekommen. <g>)

Wenn ich mir das E-Mail-Formular genauer anschaue, dann sehe ich u.a. ein hidden-Feld mit dem Namen “emailto” und darin sind drei E-Mail-Adressen enthalten. Die HTML-Seite des Formulars kann ich natürlich auch bei mir abspeichern und dann das Feld “emailto” mit einer E-Mail-Adresse meiner Wahl bestücken… :O)

So sieht also die E-Mail aus die die morgen sehen werden…

Da in dem Formular auch die anderen Bestandteile der E-Mail (Betreff und Inhalt) in hidden-Feldern enthalten sind, könnte man dieses auch zum Versenden eigener Nachrichten verwenden.


Wer ist das denn überhaupt, der da so viele Dummheiten begeht?

ÜBER WESTCON SECURITY
Westcon Security, ein Unternehmensbereich der Westcon Group, ist führender Spezialdistributor von hochentwickelten Security-Lösungen.
Westcon Security bietet genau die Services, Trainings, Support und das Lösungs-Programm, um unsere Kunden dabei zu unterstützen noch profitabler und wettbewerbsfähiger zu werden.

Aha, zum Glück haben die nichts mit IT-Security zutun, ich dachte schon…


Und natürlich finde ich dort auch weitere Hinweise zu meinem Lieblingsthema…

Noch ein Hinweis zur Datenschutzerklärung: BVDW: Einsatz von Google Analytics nur mit Datenschutzhinweis rechtmäßig (heise.de)


Irgendwie tun mir ja die Mitarbeiter dort leid, die die Berge an E-Mails bekommen die wertlos sind, und dies nur weil irgendwer der Meinung ist, Adressdaten generieren zu müssen, die natürlich auch wertlos sind. Das mit den Fakedaten in solchen Formularen mache ja nicht nur ich so. Jeder der schon einmal irgendwo seine echten Daten angegeben hat und dieses Geschmeiß dann über Jahre nicht abschütteln konnte, wird es gewiss genau so machen wie ich.


Ich habe auch eine “normale” E-Mail-Adresse benutzt, da es manchmal mit den Wegwerf-E-Mail-Adressen Probleme gibt, wenn es Dateianhängen gibt. Dabei bin ich dann auf eine kuriose Fehlermeldung von Microsoft gestoßen, die den Normaluser wahrscheinlich verunsichern wird: “Sie konnten nicht abgemeldet werden, da Drittanbietercookies offensichtlich von Ihrem Browser blockiert werden.” Und wieder ein sehr schöner Beitrag von Microsoft zum Datenschutz…


Und dies alles nur, weil mal wieder jemand zu dumm ist einen Download korrekt anzubieten. :O)

Ein Angriff per Remote File Inclusion (de.wikipedia.org), kurz RFI, zielt hingegen auf den Server direkt ab und in der Folge natürlich auch auf die Besucher.

Der Begriff Remote File Inclusion beschreibt eine Sicherheitslücke in Skript-basierten Webanwendungen, die es einem Angreifer ermöglicht, unkontrolliert Programmcode in den Webserver einzuschleusen und dort auszuführen.

Wurde ein Server über solch eine Schwachstelle kompromittiert, so hat ein Besucher kaum die Möglichkeit dies zu erkennen oder sich gar dagegen zu schützen.

Über die WordPress-Scripte wird hier z.B. ab und an versucht ein PHP-Script zu injiziert. In diesen Scripten stecken unglaublich viele Funktionen. Ohne nun ins Detail zu gehen: Es ist alles möglich was eine serverseitige Scriptsprache wie PHP bietet. Ich glaube jedem ist klar was ein Angreifer mit einem solchen Script auf einem Server ausspähen, verändern, löschen oder hinzufügen kann.

Das lokale Gegenstück dazu nennt sich Local File Inclusion (LFI). Hier werden lokale Dateien, also die bereits auf dem Server liegen, injiziert. Im ersten Moment denkt man vielleicht: “Wo ist dabei die Schwachstelle?” Darüber kann man z.B. Dateien auslesen in denen Zugangsdaten gespeichert sind oder Informationen darüber, wie der Server konfiguriert ist, was u.U. für weitere Angriffe nutzbar ist. Aber…

Über eine LFI-Schwachstelle können, unter schlechten Umständen, auch neue Dateien auf dem Server erstellt werden!

Zugriffe von Websitebesuchern werden in verschiedenen Logfiles protokolliert. Wird z.B. eine URL aufgerufen die es nicht gibt, so wird ein Eintrag in dem Logfile für Fehler geschrieben, in der die fehlerhafte URL protokolliert wird. Wird nun die nicht existente URL geschickt gewählt, so kann ein Angreifer eine Zeile im Logfile schreiben lassen, die für einen Angriff nutzbar ist. Diese Zeile selber tut noch nichts gefährliches am Server, da es nur eine Datei im Textformat ist. Wird nun aber dieses Logfile per LFI selber aufgerufen, so wird das injizierte Script ausgeführt. Über diesen kleinen Logfile-Umweg kann ein Angreifer, obwohl keine RFI-Schwachstelle vorliegt, sein eigenes Script vom Server ausführen lassen und dieses kann auf dem Server dann auch neue Dateien abspeichern.

Hier mal wieder ein kleines Video:

Mein kleines Beispielscript mag auf den ersten Blick konstruiert wirken, aber dies täuscht nur…

Das Aufbohren der LFI-Schwachstelle zu einer sehr schwerwiegenden Lücke ist nicht neu und warum mache ich mir dann so viel Arbeit? Weil es (angebliche) IT-Security-Fachleute gibt, die LFI als eine Schwachstelle erklären, über die man “nur” Daten auslesen könnte.