Webhoster, PHP und Sicherheitslücken

Vor rund 15 Jahren wurde das, was die meisten heute als „Internet“ bezeichnen würden, erfunden:
Browser, die Grafiken anzeigen konnten

Seit dieser Zeit werden Computer mehr und mehr vernetzt und somit anfälliger für Sicherheitslücken in Software. Niemand würde meinen Computer mit einem Virus verseuchen, wenn er nicht im Internet hinge. Software zu Updaten oder neue Versionen einzuspielen, weil Sicherheitslücken gefunden wurden, ist inzwischen ein alltäglicher Vorgang. Eine Software, die dabei aber kaum jemand beachtet, ist PHP.

Was ist PHP?

PHP ist die Skriptsprache, die euer Blog zum Laufen bringt, die Sprache, mit der WordPress, die Plugins und auch die Themes programmiert werden. Aber auch Serendipity, Joomla, vBulletin oder PHPBB sind nur PHP Skripte. Fast alles, was sich Web2.0 nennt basiert an irgend einer Stelle auf PHP und doch widmet man PHP meist keine Aufmerksamkeit.

Aktuell ist PHP 4.4.7 und 5.2.4

In der Regel wird man auf seinem Webserver entweder PHP 4 oder PHP 5 finden, von beiden gibt es diversen Versionsnummern, aktuell sind 4.4.7 und 5.2.4 , meist wird man aber auf veraltete Versionen stoßen, die mit haufenweisen Sicherheitslücken bestückt sind.
PHP 4 ist noch dazu konzeptionell total veraltet, wurde PHP 4.0 doch schon im Jahre 2000 veröffentlicht. Dies ist auch der Grund, warum der Support für PHP 4 zum Jahresende eingestellt wird. Trotzdem benutzen noch fast 80% aller Webangebote PHP 4, wie nexen.net herausgefunden hat. Der Grund dürfte sein, dass die meisten Applikationen PHP 4 unterstützen und manche nicht kompatibel zu PHP 5 sind, weshalb die Hoster PHP 4 installieren und im Gegenzug damit die Entwickler nicht den Druck verspüren, ihre Anwendungen auf PHP5 zu portieren…
Wordpress, wie viele andere große Anwendungen sind aber inzwischen PHP 5 kompatibel.

Wie finde ich heraus, welche PHP-Version mein Hoster einsetzt?

Mit dem PHP-Befehl phpinfo() wird der PHP Interpreter angewiesen, Systeminformationen über die PHP-Konfiguration anzuzeigen. Ladet einfach die info.php.txt (Nach dem Herunterladen das .txt einfach löschen) und kopiert sie auf euren Webserver. Ruft die Datei auf (zB http://www.mydomain.de/info.php ) und schon seht ihr, welche Version verwendet wird. Löscht aber anschließend die Datei wieder von eurem Webserver, böse Jungs können aus diesen Informationen nämlich einfach erkennen, an welchen Sicherheitslücken sie ansetzen können.

Was kann ich tun, wenn mein Webhoster PHP 4 einsetzt?

Im Gegensatz zu der Blogsoftware gehört das PHP-System zu den Systemdateien und kann darum vom Nutzer nicht einfach ausgetauscht werden, oft bieten die Hoster aber beide PHP Versionen an und der Nutzer kann die Versionen umstellen.
Verwendet euer Hoster noch PHP 4, dann durchsucht mal seine FAQs, so fand ich in den FAQs meines Webhosters 1blu,de nach der Suche mit dem Begriff „PHP5“ eine Anleitung, wie ich ganz einfach von PHP4 auf PHP5 umsteigen kann. Bei Goneo.de kann man die Umstellung einfach im Kundencenter vornehmen.

Was kann ich tun, wenn mein Webhoster veraltete Versionen einsetzt?

Direkt kann man, wie erwähnt, das PHP-System nicht upgraden. Veröffentlichen, wie veraltet die verwendete Version ist, möchte man aus Sicherheitsgründen auch nicht. Somit bleibt einem nichts anderes zu tun, als an den Support des Webhosters zu schreiben und um ein Upgrade bitten und eventuell mit Kündigung zu drohen.

Anregung via sw-guide

Die Konkurrenz des XXX verkrümelt sich

Na das ging aber schnell!

Meine Domain Registrierung von XXX, hat der Konkurrenz vom fickenVZ.net anscheinend eine solche Angst gemacht, dass der Gründer sich sofort von seinem Projekt verabschiedet hat und dieses nun bei eBay zum Kauf anbietet. Locker flockig lautet der Name des entsprechenden Blogs fickenVZ.net – Exit Blog
Interessant finde ich, dass das Projekt angeblich echte Nutzer besitzt, die nicht nur aus Deutschland, sondern auch aus Österreich, der Schweiz und den USA kommen. Der Käufer erwirbt nicht nur eine ganze Reihe an Domains, sondern auch den Programmcode des Projekts und vor allem die Datenbank mit angeblich rund 15200 Nutzern (btw, das wären mindestens das 14-fache von Shoppero in nur 2 Wochen längerer Laufzeit…)

Sicherheitsbedenken

Soweit, so schön. Ich sehe hier aber ein riesiges Problem auf einige Leute zu kommen. Ich gehe mal davon aus, dass die fickenVZ-Nutzer zu den stinknormalen Internetnutzern gehören und demnach dem Motto „One Size Fits All“ huldigen, wobei ich hier nicht von Kondomgrößen spreche, sondern von den Sicherheitsmaßnahmen.

Der Käufer bekommt Zugriff auf die fickenVZ Passwörter

Ich nehme an, dass die meisten fickenVZ-Nutzer auf jeder Webseite den gleichen Nutzernamen und das selbe Passwort verwenden. Kauft nun jemand fickenVZ mit samt der Nutzerdaten, so hat er natürlich auch Zugriff auf die Passwörter.
Gut, wahrscheinlich denkt jetzt jeder an die Mär von den verschlüsselten Passwörtern, etc. Zum einen werden Passwörter meist nicht verschlüsselt, sondern mittels einer Hash-Funktion in einen Hash-Wert verwandelt (das Verfahren nennt man Hashing), der sich mit genügend Zeit und der Kenntnis des Verwendeten Verfahrens errechnen lässt. Zum anderen hat der Käufer ja direkten Zugriff auf die Daten und den Programmcode des Projekts. Nichts hindert ihn also daran, eine kleine Funktion zu schreiben, die jedes Passwort beim einloggen im Klartext in der Datenbank abspeichert, egal ob diese gehasht, verschlüsselt oder anders geschützt sind.

Ist jemand so unvorsichtig und verwendet seine Logindaten des fickenVZ nicht nur dort, sondern zB auch bei eBay, payPal oder seinem Blog, so kann sich der neue fickVZ Benutzer dort gütlich tun und schalten und walten, ganz wie er will.
Natürlich gibt es diese Problematik nicht nur bei kleinen, obskuren Projekten wie fickenVZ. Das selbe gilt auch Amazon oder Digg, falls sie verkauft würden. Der Unterschied liegt aber im Preis. Amazon würde zig Milliarden, Digg etliche zehn Millionen kosten. fickenVZ wird deutlich billiger über den Tisch gehen. Momentan wird 10 Euro geboten, selbst wenn das Gebot auf 1000 Euro stiege, müsste der neue Besitzer bei 15.000 Accounts jedem Nutzer nur 10 Cent klauen, um 500 Euro Gewinn zu machen

Hier zeigt sich, mal wieder, die Problematik des Internets, wenn man es unvorsichtig nutzt. Man sollte für jede Webseite ein anderes Passwort und evtl durchaus auch einen anderen Benutzernamen nutzen. Das Nutzerdaten bei „VZ“ Verzeichnissen aber nicht sicher sind, ist ja schon mehrfach aufgefallen.

Den Spieß umdrehen

Man kann den Spieß aber auch umdrehen. Was, wenn ein Hacker das Blog eines unvorsichtigen fickenVZ-Nutzers hackt?
Wen wird man zuerst verdächtigen?
Die Chance, dass dies der Käufer des fickenVZs sein könnte, sind nicht unbedingt gering. Wie kann der fickenVZ-Käufer beweisen, dass er die Datenbestände des fickenVZ nicht „entschlüsselt“ und damit Schindluder treibt? Wie könnte der Käufer nachweisen, dass er die Datenbestände sofort nach Übernahme gelöscht hat?
Das wird für den Käufer nicht ganz einfach, da wird er sich etwas überlegen müssen.

Kommentarspam – Wetten die Politik wird jetzt aktiv?

Spam ist eine Seuche, über die ich schon mehrmals geschrieben habe. Das Problem ist, dass eMail- und Kommentarspam meist von fernen Landen aus verbreitet wird und kaum einmal ein Schuldiger erwischt wird. Abgesehen davon wird die Spam-Problematik von der hohen Politik geflissentlich ignoriert, doch das wird bald ein Ende haben.

Der Bonner Landtagsabgeordnete Gerhard Lorth (CDU) hat eine Homepage mit Gästebuch. Eröffnet am 14.11.2004 mit dem Wunsch:

Herzlich Willkommen im neuen Gästebuch. Ich freue mich über Ihre Einträge. Diskutieren Sie mit mir.

2 1/2 Jahre später entdeckte ein Spamer das Gästebuch und setzte 2162 Gästebucheinträge in nicht einmal 2 Monaten ab. Trotz der enormen Zahl wurde niemand aktiv, niemanden fiel auf, was sich da tat.
Nun aber ist die Sache bekannt und das Gästebuch geschlossen. Die Staatsanwaltschaft ist eingeschaltet, nun wird alles gut.

Denkste!
Der Oberstaatsanwalt aus Bonn Friedrich Apostel sagte im Gespräch mit Thomas Knüwer:

Das ist der erste uns bekannte Fall.

Nun gut, so ist das halt. Manche Menschen leben in der „realen“ Welt und sind dort so verwurzelt, dass sie nicht mitbekommen, was in der Wirklichkeit geschieht. Es mag sogar durchaus sein, dass die Politiker nicht wissen, was es im Netz an Problemen gibt (wundert mich nicht mehr).
Wahrscheinlich hat Hanno Zulla schon recht mit seiner Aktion Nerdlobbyismus:
Wenn wir den Politikern das Netz nicht erklären, wer dann?

Nachdem die Spam-Problematik auf dem Radarschirm zumindest einiger Politiker aufgetaucht sein dürfte, bin ich mal gespannt, was sie nun unternehmen.

via Thomas Knüwer

Datenschützer gegen den Bundestrojaner

Der Bundesgerichtshof hatte entschieden, dass heimliche Online-Durchsuchungen unzulässig sind, was das Schäubelchen nur dazu anregte Gesetzesänderungen zu fordern. Auf der heutigen Konferenz der Datenschutzbeauftragten war der Bundestrojaner ein wichtiges Thema und die Datenschützer wandten sich „entschieden gegen die Einführung entsprechender Eingriffsgrundlagen sowohl im repressiven als auch im präventiven Bereich“ (via lawblog). Aber ob dies von den entsprechenden Stellen gehört wird, wage ich zu bezweifeln, vor allem wenn man im Schnüffelblog lesen muss, dass der CCC berichtet: „Einige Mitglieder des Clubs arbeiten für Sicherheitsfirmen und berichten regelmäßig von geheimen Gesprächen zwischen staatlichen Stellen sowie Antivirenfirmen und Herstellern von Betriebssystemen“ und das „wenn eine Lücke erst wenigen Leuten bekannt sei, werden die Softwarefirmen manchmal gebeten, diese noch eine kurze Zeit für die Behörden offen zu halten und erst dann zu beseitigen“.
Mir wird ganz schlecht bei dem Gedanken, dass unser Rechtsstaat schon soweit ausgehöhlt wurde, dass die Exekutive gegen den Schutz der eigenen Bürger vorgeht, nur um sich die Möglichkeit offen zu halten, Phantomterroristen zu jagen. Falls das BKA auch nur in einem Fall nachweisen könnte, dass einer der Anschläge der letzten 6 Jahre hätte verhindert werden können, falls man Zugriff auf die Rechner der Terroristen gehabt hätte, dann könnte man sich darüber unterhalten ob man das Grundgesetz so verbiegen sollte. Meines Wissens hatte das BKA aber keinen einzigen der Attentäter auf dem Kieker und hätte darum auch, wenn sie den Bundestrojaner gehabt hätten, nichts ausrichten können. Dies bringt mich wieder zu den 10 Gründen, warum ich gegen den Bundestrojaner bin. Die Gefahr, dass Hacker sich des Bundestrojaners ermächtigen könnten, habe ich in der Liste noch gar nicht erwähnt…

PS: Ein Interview mit dem stellvertretende Leiter des Unabhängigen Zentrums für Datenschutz in Schleswig-Holstein Bizer kann man beim Deutschlandradio nachlesen.

Trojaner in Rechnungen

Computersicherheit – seit einigen Jahren ein großes Thema, dass immer wieder in den Medien, aber eigentlich ein alter Hut. Seit 1972 gibt es diesen Ausdruck im Zusammenhang mit Sicherheitsproblemen am Rechner. Das sich Trojaner in angeblichen Rechnungen in eMail-Anhängen verstecken, sollte inzwischen überall bekannt sein. Warum wird trotzdem über jede Welle an neuen angeblichen Rechnungsversendern berichtet?

31.01.07 BKA
19.02.07 IKEA
21/22.02.07 Amazon und eBay
07.03.07 Single.de und Quelle

Kann jetzt auf diese Berichterstattung verzichtet werden? Wer dumm genug ist, solche Anhänge zu öffnen, hat eh schon ettliche Trojaner auf dem Rechner und der Rest ist vorsichtig genug nicht jeden Scheiß anzuklicken!

Wie sieht ein sicheres Passwort aus?

Wie neulich erwähnt, sollte man sich etwas Mühe beim Erfinden von Passwörtern geben. Ich wollte einen Artikel schreiben, was ein Passwort sicher macht. Da ich heute über einen Artikel über eben dieses Thema gestolpert bin (bzw vom Blogboten darauf gestoßen wurde) verlinke ich fürs erste mal diesen:
Einmal über die Tastatur gerollt“ von der Netzzeitung
und obligatorisch dazu den Eintrag aus der Wikipedia.

Verschiedene Logins und Passwörter für verschiedene Zwecke – Warum?

Logins, Passwörter, Kundennummern etc. – Sobald wir heutzutage mit jemandem Kontakt aufnehmen, müssen wir uns identifizieren. Ganz selbstverständlich melden wir uns am Telefon mit unserem Namen, hinterlassen beim Pizzaservice unsere Telefonnummer und identifizieren uns bei unserem eMail-Provider per Accountname und Passwort. Eine wahre Flut an Identifikationsmerkmalen strömt auf uns ein und alle sollen möglichst eindeutig und doch verschieden sein. Aber warum?

Vor 500 Jahren war die Welt noch in Ordnung. Wir lebten in unserem Dorf, jeder kannte jeden mit Vornamen und falls man über abwesende Personen sprach, gab man ihnen einen Zunamen wie zB die Berufsbezeichnung Müller.
Vor 50 Jahren hatte sich der Aktionsradius der Menschen schon so weit vergrößert, dass der Name alleine nicht mehr aussagekräftig genug war, um jemanden eindeutig zu identifizieren. Also kam das Geburtsdatum und der Wohnort als Merkmal hinzu. Als Nachweis dieser Daten hatte man seinen Ausweis.
Als vor 15 Jahren das World Wide Web seine Pforten öffnete, erweiterte sich der Aktionsradius auf die ganze Welt. Um sich eindeutig auszuweisen waren nun abermals zusätzliche Identifikationsmerkmale nötig. Zum Namen, der Adresse und dem Geburtsdatum kam das Herkunftsland hinzu. Da das Web rein auf der Schriftsprache aufgebaut ist, wäre es arg umständlich sich jedesmal mit all diesen Daten bei einem Dienst einloggen zu müssen. Außerdem sind all diese Daten wenn auch nicht öffentlich einsehbar, dann doch sehr leicht herauszufinden. Um jemanden eindeutig zu identifizieren sind sie also nicht geeignet. Also begann man das bekannte Spielchen mit dem Login-Namen und den Passwörtern.

Eine Eigenschaft des Menschen ist es, sich Dinge die eine Bedeutung haben leichter Merken zu können als Bedeutungslose. Um es den Nutzern zu erleichtern, sich ihre Login-Namen und Passwörter zu merken, gab man den Nutzern die Möglichkeit diese selbst zu wählen. Dabei wies man sie aber nicht darauf hin wie Login-Namen und vor allem Passwörter beschaffen sein sollten. So kam es zu den bekannten Beispielen von Login-Namen wie „Michael1982“ oder „Rambo111“ mit Passwörtern wie „123456“ oder „Hallo“ (Quelle: heise newsticker). Das alleine wäre schon schlimm genug, leider kommt nun aber noch eine weitere Eigenschaft des Menschen ins Spiel: Die Faulheit!
Viele Nutzer benutzen den gleichen Login und das selbe Passwort für viele verschiedene Seiten. Zwar ist es natürlich praktischer, bei eBay, Amazon und der Lieblings-Porno-Seite die selben Daten zu benutzen, sind sie doch so viel leichter zu merken, doch über die Gefahren machen sich die Meisten keine Gedanken.
Ein aktuelles Beispiel für die Gefahren einer solchen Faulheit ist der Diebstahl der Daten beim StudiVZ. Zwar sind die Passwörter verschlüsselt abgespeichert (näheres bei Passwort-Hashing) aber wie Jörg-Olaf schreibt in diesem Fall nicht gesalzen. Dies bedeutet, dass aus den verschlüsselten Daten mit Verhältnismäßig wenig Aufwand die Passwörter errechnet werden können und somit der Hacker sowohl das Passwort als auch den zugehörigen Login-Namen kennt. Der Hacker kann jetzt lustig versuchen bei den bekanntesten Webseiten mit diesen Daten einzuloggen und gegebenenfalls shoppen zu gehen. Hat sogar das eMail-Postfach die selben Zugangsdaten, kann er auch die private Korrespondenz mitlesen und ggf. eMails, die auf sein tun hinweisen löschen.

Darum sollte man folgendes tun:
– Für möglichst viele Verschiedene Dienste verschiedene Benutzernamen und Passwörter verwenden. Vor allem für Dienste, die finanziellen Schaden anrichten können (Amazon, eBay, Online-Banking, Mobilfunkprovider, Telekommunikationsanbieter, eMail-Provider).
– Eine Liste über die verwendeten Benutzernamen und Passwörter anlegen und diese an einem sicheren Ort verwahren. Der Computer ist kein sicherer Ort, auch unter der Tastatur, der Maus, etc nicht. Im privaten Bereich bietet es sich an, die Liste in ein Buch oder einen Ordner zu stecken.
– Die Passwörter regelmäßig ändern.
– Sichere Passwörter verwenden (dazu werde ich noch einen Artikel schreiben)

Wenn man nicht für jeden Dienst verschiedene Daten verwenden will, dann sollte man die Dienste in verschiedene Kategorien einteilen und diesen Kategorien jeweils verschiedene Benutzernamen und Passwörter zuweisen. Ein Beispiel für eine Kategorisierung wäre:
– Kostenlose Dienste ohne Schreibrechte, zB Online-Programmzeitschrift
– Kostenlose und vertrauenswürdige Dienste mit Schreibrechten, zB Youtube, Flickr, Onlineforen
– Kostenlose und vertrauensunwürdige Dienste mit Schreibrechten, zB Onlineforen, Chat-Seiten, StudiVZ, SchülerVZ
– Kostenpflichtige vertrauenswürdige Dienste, zB Blogs, Zeitschriftenarchive
– Kostenpflichtige vertrauensunwürdige Dienste, falls es so etwas gibt
– Unverzichtbare Dienste, zB eBay, Amazon, Blogs, Onlineforen, Chat-Seiten, etc
Den Unverzichtbaren Diensten sollte man auf jeden Fall jeweils verschiedene Daten zuweisen.
Zusätzlich sollte man je Kategorie ein Limit an Diensten setzen, die die selben Daten haben. Dies ganze dient natürlich nur dem verringern des potentiellen Schadens, für den Fall, dass einer der Dienste gehackt wird.
Natürlich kann man darauf verzichten und darauf vertrauen, dass keiner der Dienste gehackt wird oder gar einer der Dienstbetreiber damit Schindluder treibt. StudiVZ Nutzer die bisher dieses Vertrauen aufgebracht haben, haben nun den Salat und dürfen mühsam die Passwörter jedes einzelnen Dienstes ändern und sind selbst dann nicht mehr sicher, solange sie den Benutzernamen nicht ändern können.