Die Konkurrenz des XXX verkrümelt sich

Na das ging aber schnell!

Meine Domain Registrierung von XXX, hat der Konkurrenz vom fickenVZ.net anscheinend eine solche Angst gemacht, dass der Gründer sich sofort von seinem Projekt verabschiedet hat und dieses nun bei eBay zum Kauf anbietet. Locker flockig lautet der Name des entsprechenden Blogs fickenVZ.net – Exit Blog
Interessant finde ich, dass das Projekt angeblich echte Nutzer besitzt, die nicht nur aus Deutschland, sondern auch aus Österreich, der Schweiz und den USA kommen. Der Käufer erwirbt nicht nur eine ganze Reihe an Domains, sondern auch den Programmcode des Projekts und vor allem die Datenbank mit angeblich rund 15200 Nutzern (btw, das wären mindestens das 14-fache von Shoppero in nur 2 Wochen längerer Laufzeit…)

Sicherheitsbedenken

Soweit, so schön. Ich sehe hier aber ein riesiges Problem auf einige Leute zu kommen. Ich gehe mal davon aus, dass die fickenVZ-Nutzer zu den stinknormalen Internetnutzern gehören und demnach dem Motto „One Size Fits All“ huldigen, wobei ich hier nicht von Kondomgrößen spreche, sondern von den Sicherheitsmaßnahmen.

Der Käufer bekommt Zugriff auf die fickenVZ Passwörter

Ich nehme an, dass die meisten fickenVZ-Nutzer auf jeder Webseite den gleichen Nutzernamen und das selbe Passwort verwenden. Kauft nun jemand fickenVZ mit samt der Nutzerdaten, so hat er natürlich auch Zugriff auf die Passwörter.
Gut, wahrscheinlich denkt jetzt jeder an die Mär von den verschlüsselten Passwörtern, etc. Zum einen werden Passwörter meist nicht verschlüsselt, sondern mittels einer Hash-Funktion in einen Hash-Wert verwandelt (das Verfahren nennt man Hashing), der sich mit genügend Zeit und der Kenntnis des Verwendeten Verfahrens errechnen lässt. Zum anderen hat der Käufer ja direkten Zugriff auf die Daten und den Programmcode des Projekts. Nichts hindert ihn also daran, eine kleine Funktion zu schreiben, die jedes Passwort beim einloggen im Klartext in der Datenbank abspeichert, egal ob diese gehasht, verschlüsselt oder anders geschützt sind.

Ist jemand so unvorsichtig und verwendet seine Logindaten des fickenVZ nicht nur dort, sondern zB auch bei eBay, payPal oder seinem Blog, so kann sich der neue fickVZ Benutzer dort gütlich tun und schalten und walten, ganz wie er will.
Natürlich gibt es diese Problematik nicht nur bei kleinen, obskuren Projekten wie fickenVZ. Das selbe gilt auch Amazon oder Digg, falls sie verkauft würden. Der Unterschied liegt aber im Preis. Amazon würde zig Milliarden, Digg etliche zehn Millionen kosten. fickenVZ wird deutlich billiger über den Tisch gehen. Momentan wird 10 Euro geboten, selbst wenn das Gebot auf 1000 Euro stiege, müsste der neue Besitzer bei 15.000 Accounts jedem Nutzer nur 10 Cent klauen, um 500 Euro Gewinn zu machen

Hier zeigt sich, mal wieder, die Problematik des Internets, wenn man es unvorsichtig nutzt. Man sollte für jede Webseite ein anderes Passwort und evtl durchaus auch einen anderen Benutzernamen nutzen. Das Nutzerdaten bei „VZ“ Verzeichnissen aber nicht sicher sind, ist ja schon mehrfach aufgefallen.

Den Spieß umdrehen

Man kann den Spieß aber auch umdrehen. Was, wenn ein Hacker das Blog eines unvorsichtigen fickenVZ-Nutzers hackt?
Wen wird man zuerst verdächtigen?
Die Chance, dass dies der Käufer des fickenVZs sein könnte, sind nicht unbedingt gering. Wie kann der fickenVZ-Käufer beweisen, dass er die Datenbestände des fickenVZ nicht „entschlüsselt“ und damit Schindluder treibt? Wie könnte der Käufer nachweisen, dass er die Datenbestände sofort nach Übernahme gelöscht hat?
Das wird für den Käufer nicht ganz einfach, da wird er sich etwas überlegen müssen.

Blogs, Sicherheitslücken und Verantwortung

Wie ich gerade bei BlogSecurity lesen musste, wurde gestern Nachmittag das Blog SvenKubiak.de „defaced“, d.h. gehackt und die Startseite durch eine andere ersetzt. Die Ursache fand sich in einer veralteten Version des MyGallery-Plugins.

Software ist fehlerhaft. Punkt. Immer und zu jeder Zeit, den Software wird von Menschen erdacht und erschaffen und so fehlerhaft wie der Mensch so fehlerhaft ist auch Software, im Schnitt bedeutet das 2 Fehler je 1000 Zeilen Programmiercode.
Nun gibt es vielerlei verschiedene Fehler in Software. Manche Fehler treten nie auf, denn die Stelle an der der Fehler gemacht wurde, wird nicht erreicht (zB weil die Stelle nur im Fehlerfall erreicht wird), manche Fehler haben nur kosmetische Auswirkungen (Fehler in der Benutzeroberfläche oder allgemein in der Ausgabe), manche Fehler führen zum Absturz der Software. Manche Fehler aber sorgen für von außen angreifbare Sicherheitslücken, so wie in diesem Falle.

Programmierfehler sind immer ärgerlich, sowohl für den Software-Entwickler als auch für den Nutzer der Software, denn für beide bedeuten Programmierfehler Arbeit. Der Software-Entwickler steht nun vor der Aufgabe, den Programmierfehler zu beheben und dabei möglichst keine neuen Sicherheitslücken aufzureißen. Der Software-Nutzer hingegen steht nun in der Pflicht, dafür sorge zu tragen, dass er möglichst immer die aktuellste Version der Software vorliegen hat.

Software-Anwender haben üblicherweise das alleinige Interesse die Software anzuwenden. Sie wollen sich nicht um Programmierfehler und Software-Wartung kümmern, denn schließlich haben sie ja für die Software bezahlt und sich die Mühe gemacht, das Software-Produkt zu installieren und sich einzuarbeiten. Hier liegt ein gewaltiger Denkfehler.
Jedem Autofahrer ist bewusst, dass er sich um die Pflege und Wartung seines Autos kümmern muss. Das Auto muss gewaschen werden, der Öl-Druck überprüft und defekte Teile ausgewechselt werden. Tut er das nicht, kann das zu teuren Reparaturen und zum stehen bleiben des Fahrzeugs führen.
Bei Software ist dies kaum anders. Zwar gibt es keine Verschleißteile, die regelmäßig gewechselt werden müssen, allerdings ist regelmäßiges putzen (Festplatte aufräumen, nach Viren scannen, Backups anfertigen) und regelmäßige Wartung (va das überprüfen ob neue Versionen vorliegen) nötig, da es sonst zu Rucklern, Abstürzen oder Datenverlust kommen kann.
Dies nenne ich die Verantwortung gegenüber dem Eigentum.

Programmierfehler auf öffentlich zugänglichen Geräten, wozu auf ein Blog gehört, können aber zu deutlich schlimmeren Folgen, als nur zu Rechnerabstürzen führen. Wenn zB die Steuerung einer Ampel versagt und alle Ampeln gleichzeitig auf Grün springen, ist sogar Leib und Leben in Gefahr. Ganz so dicke kann es für Blogger dann doch nicht kommen. Im Idealfall wird eine Sicherheitslücke entdeckt und der Fehler behoben, noch bevor die Sicherheitslücke ausgenutzt wurde, im schlimmsten Fall kann aber der Webserver auf dem das Blog liegt gekapert werden und über ihn strafrechtlich relevante Daten verbreitet, die zu gehörigen Problemen für den Blogger führen können.

Was ist nun zu tun?

  1. Überlegen einer Backuplösung für das Blog, damit die Daten im Blog nicht verloren gehen können. Ich verwende das WordPress Database Backup Plugin um die Datenbank mit den Artikeln und Kommentaren regelmäßig (einmal am Tag) zu sichern. Desweiteren habe ich alle Dateien, die auf dem Webserver liegen, bei mir lokal gespeichert.
  2. Aktivieren des WordPress Update Monitor Plugins, dass anzeigt, wenn eine neue WordPress-Version erschienen ist, darum ein Update erforderlich ist und dieses Update zeitnah durchführen.
  3. Überprüfung des Blogs durch den WP-Scanner von BlogSecurity. Dieser testet sowohl die Plugins, als auch das verwendete WordPress Theme auf Sicherheitslücken. Die entsprechenden Updates sollten installiert werden.
  4. Überprüfen jedes einzelnen installierten Plugins, ob es eine neue Version gibt und gegebenenfalls das Installieren dieser neuen Version.
  5. Ausarbeitung eines Wartungsplans für das Blog. In meinem Fall bedeutet das, dass ich täglich die WordPress-Datenbank und bei jeder Veränderung der Dateien diese auf meinem Rechner sichere. Desweiteren lege ich vor jedem WordPress-Update eine zusätzliche Komplettsicherung aller Dateien und der Datenbank an. Bei jedem WordPress-Update überprüfe ich JEDES Plugin, ob eine neue Version vorliegt.
  6. Überprüfen des Webservers, denn natürlich kann und wird auch dieser Sicherheitslücken haben. Wenn man nicht gerade selbst Administrators seines eigenen Servers ist, bleibt einem hier nur das Anmahnen von Updates beim Hoster (va Datenbank, PHP-Version, Webserver und Betriebssystem seien hier genannt).

Hat man diese sechs Schritte durchgeführt und hält sich an seinen Wartungsplan, so kann eigentlich nichts mehr schief gehen. Außer natürlich, die verwendeten Passwörter sind nicht optimal

Wie sieht ein sicheres Passwort aus?

Wie neulich erwähnt, sollte man sich etwas Mühe beim Erfinden von Passwörtern geben. Ich wollte einen Artikel schreiben, was ein Passwort sicher macht. Da ich heute über einen Artikel über eben dieses Thema gestolpert bin (bzw vom Blogboten darauf gestoßen wurde) verlinke ich fürs erste mal diesen:
Einmal über die Tastatur gerollt“ von der Netzzeitung
und obligatorisch dazu den Eintrag aus der Wikipedia.

Verschiedene Logins und Passwörter für verschiedene Zwecke – Warum?

Logins, Passwörter, Kundennummern etc. – Sobald wir heutzutage mit jemandem Kontakt aufnehmen, müssen wir uns identifizieren. Ganz selbstverständlich melden wir uns am Telefon mit unserem Namen, hinterlassen beim Pizzaservice unsere Telefonnummer und identifizieren uns bei unserem eMail-Provider per Accountname und Passwort. Eine wahre Flut an Identifikationsmerkmalen strömt auf uns ein und alle sollen möglichst eindeutig und doch verschieden sein. Aber warum?

Vor 500 Jahren war die Welt noch in Ordnung. Wir lebten in unserem Dorf, jeder kannte jeden mit Vornamen und falls man über abwesende Personen sprach, gab man ihnen einen Zunamen wie zB die Berufsbezeichnung Müller.
Vor 50 Jahren hatte sich der Aktionsradius der Menschen schon so weit vergrößert, dass der Name alleine nicht mehr aussagekräftig genug war, um jemanden eindeutig zu identifizieren. Also kam das Geburtsdatum und der Wohnort als Merkmal hinzu. Als Nachweis dieser Daten hatte man seinen Ausweis.
Als vor 15 Jahren das World Wide Web seine Pforten öffnete, erweiterte sich der Aktionsradius auf die ganze Welt. Um sich eindeutig auszuweisen waren nun abermals zusätzliche Identifikationsmerkmale nötig. Zum Namen, der Adresse und dem Geburtsdatum kam das Herkunftsland hinzu. Da das Web rein auf der Schriftsprache aufgebaut ist, wäre es arg umständlich sich jedesmal mit all diesen Daten bei einem Dienst einloggen zu müssen. Außerdem sind all diese Daten wenn auch nicht öffentlich einsehbar, dann doch sehr leicht herauszufinden. Um jemanden eindeutig zu identifizieren sind sie also nicht geeignet. Also begann man das bekannte Spielchen mit dem Login-Namen und den Passwörtern.

Eine Eigenschaft des Menschen ist es, sich Dinge die eine Bedeutung haben leichter Merken zu können als Bedeutungslose. Um es den Nutzern zu erleichtern, sich ihre Login-Namen und Passwörter zu merken, gab man den Nutzern die Möglichkeit diese selbst zu wählen. Dabei wies man sie aber nicht darauf hin wie Login-Namen und vor allem Passwörter beschaffen sein sollten. So kam es zu den bekannten Beispielen von Login-Namen wie „Michael1982“ oder „Rambo111“ mit Passwörtern wie „123456“ oder „Hallo“ (Quelle: heise newsticker). Das alleine wäre schon schlimm genug, leider kommt nun aber noch eine weitere Eigenschaft des Menschen ins Spiel: Die Faulheit!
Viele Nutzer benutzen den gleichen Login und das selbe Passwort für viele verschiedene Seiten. Zwar ist es natürlich praktischer, bei eBay, Amazon und der Lieblings-Porno-Seite die selben Daten zu benutzen, sind sie doch so viel leichter zu merken, doch über die Gefahren machen sich die Meisten keine Gedanken.
Ein aktuelles Beispiel für die Gefahren einer solchen Faulheit ist der Diebstahl der Daten beim StudiVZ. Zwar sind die Passwörter verschlüsselt abgespeichert (näheres bei Passwort-Hashing) aber wie Jörg-Olaf schreibt in diesem Fall nicht gesalzen. Dies bedeutet, dass aus den verschlüsselten Daten mit Verhältnismäßig wenig Aufwand die Passwörter errechnet werden können und somit der Hacker sowohl das Passwort als auch den zugehörigen Login-Namen kennt. Der Hacker kann jetzt lustig versuchen bei den bekanntesten Webseiten mit diesen Daten einzuloggen und gegebenenfalls shoppen zu gehen. Hat sogar das eMail-Postfach die selben Zugangsdaten, kann er auch die private Korrespondenz mitlesen und ggf. eMails, die auf sein tun hinweisen löschen.

Darum sollte man folgendes tun:
– Für möglichst viele Verschiedene Dienste verschiedene Benutzernamen und Passwörter verwenden. Vor allem für Dienste, die finanziellen Schaden anrichten können (Amazon, eBay, Online-Banking, Mobilfunkprovider, Telekommunikationsanbieter, eMail-Provider).
– Eine Liste über die verwendeten Benutzernamen und Passwörter anlegen und diese an einem sicheren Ort verwahren. Der Computer ist kein sicherer Ort, auch unter der Tastatur, der Maus, etc nicht. Im privaten Bereich bietet es sich an, die Liste in ein Buch oder einen Ordner zu stecken.
– Die Passwörter regelmäßig ändern.
– Sichere Passwörter verwenden (dazu werde ich noch einen Artikel schreiben)

Wenn man nicht für jeden Dienst verschiedene Daten verwenden will, dann sollte man die Dienste in verschiedene Kategorien einteilen und diesen Kategorien jeweils verschiedene Benutzernamen und Passwörter zuweisen. Ein Beispiel für eine Kategorisierung wäre:
– Kostenlose Dienste ohne Schreibrechte, zB Online-Programmzeitschrift
– Kostenlose und vertrauenswürdige Dienste mit Schreibrechten, zB Youtube, Flickr, Onlineforen
– Kostenlose und vertrauensunwürdige Dienste mit Schreibrechten, zB Onlineforen, Chat-Seiten, StudiVZ, SchülerVZ
– Kostenpflichtige vertrauenswürdige Dienste, zB Blogs, Zeitschriftenarchive
– Kostenpflichtige vertrauensunwürdige Dienste, falls es so etwas gibt
– Unverzichtbare Dienste, zB eBay, Amazon, Blogs, Onlineforen, Chat-Seiten, etc
Den Unverzichtbaren Diensten sollte man auf jeden Fall jeweils verschiedene Daten zuweisen.
Zusätzlich sollte man je Kategorie ein Limit an Diensten setzen, die die selben Daten haben. Dies ganze dient natürlich nur dem verringern des potentiellen Schadens, für den Fall, dass einer der Dienste gehackt wird.
Natürlich kann man darauf verzichten und darauf vertrauen, dass keiner der Dienste gehackt wird oder gar einer der Dienstbetreiber damit Schindluder treibt. StudiVZ Nutzer die bisher dieses Vertrauen aufgebracht haben, haben nun den Salat und dürfen mühsam die Passwörter jedes einzelnen Dienstes ändern und sind selbst dann nicht mehr sicher, solange sie den Benutzernamen nicht ändern können.

StudiVZ Bashing – ich mache mit

StudiVZ – Das Studentenverzeichnis

2004 wurde in Cambridge, Massachusetts Facebook gegründet. Facebook ist ein klassischer Vertreter des Web 2.0 nach dem AAL (Andere Arbeiten Lassen) Prinzip. Die Idee ist, eine Plattform zu erschaffen, wo sich Studenten, Professoren und Alumni treffen und über Universitätsgrenzen hinweg Kontakt halten, sich über ihre Interessen austauschen und nach gleichgesinnten suchen. Man könnte es als die informelle Variante von XING (OpenBC) bezeichnen. Wie das bei solchen Netzwerken, die auf der Kommunikation zwischen Menschen beruhen, nun mal so ist, muß man zuerst die Plattform mit persönlichen Daten füttern, bevor man sich auf die Suche nach Gleichgesinnten macht. Die Daten, die Abgefragt werden, beginnen mit dem eigenen Namen (nicht Pseudonym oder Nickname, sonder Vor- und Nachname) und dem Geburtsdatum, werden aber schnell um Adressen, Schul- und Universitätslaufbahn, Hobbies, Fotos und ähnlichem angereichert. Facebook wurde ein riesen Erfolg, aber vor allem im Englisch-Sprachigen Raum. Und wie das mit erfolgreichen Geschäftsideen nun mal so ist, werden diese oft und fleißig kopiert.
Die deutsche Variante von Facebook nennt sich StudiVZ. Ob die Ursprüngliche Idee wirklich den Aufbau und Betrieb einer solchen Seite war oder ob man auf ein flottes gekauft werden wie damals bei Alando setzte ist leider nicht klar und inzwischen auch egal. Holtzbrinck hat sich StudiVZ Anfang des Jahres für über 50 Millionen gekauft und somit sind die Gründer zwar finanziell fein raus, aber der Betrieb der Plattform hängt ihnen noch an der Backe. Nun könnte man Fragen, was den die Schwierigkeit am Betrieb einer solchen Plattform sei und schnell würden sich drei zentrale Probleme herauskristallisieren:

  1. Finanzierung
  2. Performanz
  3. Sicherheit

Und in dieser Reihenfolge haben sich die Gründer des StudiVZ an die Probleme gesetzt. Schnell wurde Gründerkapital aufgetrieben und die Seite aufgebaut. Zu Anfangs noch mit dem selben Design von Facebook (blaue Farbe) und gleichlautenden Skriptnamen (ob da jemand den Sourcecode von Facebook verwendet hat?), aber schnell mit eigenständigem Getue („Gruscheln“ als Bezeichnung für das ansprechen anderer Nutzer). Als nächstes wurde massives Marketing betrieben, um der Plattform Nutzer zu zu führen. Im Herbst letzten Jahres gings dann richtig los mit stark steigenden Nutzerzahlen. Jetzt kümmerte man sich auch etwas um den zweiten Punkt aus der Liste, die Performanz. Aber natürlich erst, als es erste Probleme gab. Das Thema Sicherheit spielte aber noch keine Rolle. Stichpunkthaft nun Sicherheitsprobleme aller Arten bei StudiVZ in chronologischer Reihenfolge der Entdeckung:
(Yamb.Beta ist nicht mehr, der Autor Jörg-Olaf Schäfer hat das Blog geschlossen)

  • Profilbilder von außen ohne Login einsehbar (Yamb.Beta)
  • Bilder aus „privaten“ Fotogalerien von außen ohne Login einsehbar (Yamb.Beta)
  • „private“ Freundesliste von jedem Nutzer einsehbar (Yamb.Beta)
  • Stalking im größeren Stil (Yamb.Beta)
  • Suchen in privaten Daten geschützter Profile (Yamb.Beta)
  • Mehrere Cross-Scripting-Lücken (heise newsticker)
  • Berechnung der Nutzer IDs, Adressen von Fotos und Fotoalben geknackt (Yamb.Beta)
  • Abrufen der Nutzerdaten sämtlicher Nutzer per kleinem Skript möglich (Yamb.Beta)
  • Sich selbst in geschlossene Nutzergruppen einladen (Yamb.Beta)
  • etc. etc. etc

Diese ganze Liste an Sicherheitslücken, die zT auch extrem ausgenutzt wurden (Auslesen der Nutzerdaten in externe Datenbanken) fanden sich in dem kurzem Zeitraum von nur 2 Wochen Ende November. Es wurde anschließend wieder ruhiger, es wurden aber weiterhin Lücken gefunden.
Jetzt aber, genauer gesagt Gestern, wurde aus den Lücken ein Loch. Ein Hacker hat es geschaft, die Login-Daten der Nutzer auszulesen, d.h. die Login-Daten, eMail-Adressen und die Freundschaftslisten (Yamb.Beta). Nun ist das natürlich ein riesen Problem, doch eingrenzbar. Denkt man sich so. Als erfahrener Nutzer, der für verschiedene Webseiten verschiedene Logins verwendet. Sieht man sich aber die stoische Ruhe an, die die Nutzer bisher an den Tag legten und mit welcher Ignoranz sie über die Probleme von StudiVZ hinweg sehen, so nehme ich an, daß viele der Nutzer auf vielen Webseiten die selben Login-Daten wie bei StudiVZ verwendet haben werden. Ich möchte mir die Welle der Amazon oder eBay-Betrügereien gar nicht ausmalen, die in der nächsten Zeit auf uns zurollen wird. Ganz abgesehen davon, daß der Hacker nun 1,4 Millionen eMail-Adressen in der Hand hat, deren Nutzerprofil recht klar umrissen werden kann: 18-30 Jahre alt, Abitur oder Studienabschluß, offen für allerlei Webspielereien. Selbst wenn rund ein Drittel der eMail-Adressen inzwischen ungültig (einmal Adressen für Fake-Accounts, etc) sind, haben alleine die verbliebenen 1 Mio Adressen einen nettern Wert bei den Herren und Damen Spamversendern.