„Qualcomm Germany Hiring“: Öhm ja und Tschüss

Ich hab gerade meinen N800 Browser Switch Artikel bei Digg eingetragen und da ist mir folgende AdSense-Einblendung aufgefallen:

Qualcomm AdSense anzeige bei Digg.com

„Naja, klickst mal drauf“ dachte ich mir. Schließlich ist Qualcomm in Deutschland kein Unbekannter. Wer denkt nicht mit Freuden zurück ans Anfang dieses Jahrtausends, als der Mobilfunkbetreiber Quam mit großer Werbekampagne Milliarden für eine UMTS-Lizenz bezahlte und dann nach kürzester Zeit den Geschäftsbetrieb einstellte.

Ansicht bei Klick auf eine AdSense-Textanzeige bei Digg.com mit dem Text

„Klickst mal drauf, guckst was kommt“, dachte ich mir und konnte nicht ahnen, was sich hinter www.qualcomm.com/careers verbirgt:

Wer will, kann sich den Quellcode im Detail ansehen. Vor allem den Kommentar
# change expiry to +1y after testing
find ich dann doch amüsant: www.qualcomm.com/careers Quellcode

5 Sicherheitslücken in WordPress 2.2.1 mit Fixes

Seit Dienstag sind einige neue Sicherheitslücken in WordPress 2.2.1 bekannt. Der Entdecker hat sich leider dazu hinreißen lassen, die Lücken ausführlich zu beschreiben und zu veröffentlichen, bevor sie durch WordPress gefixt wurden. Stattdessen hat er einen „Wurm“ geschrieben, der eine der Sicherheitslücken ausnutzt und fünf Lücken schließt.

Durch die Veröffentlichung und die Dokumentation der Bugs sind nun alle WordPress Blogs bedroht, denn das ausnutzen der Sicherheitslücken ist einfach und schnell bewerkstelligt. Um sein Blog nun zu schützen gibt es mehrere Möglichkeiten:

  1. Man vertraut dem Endecker der Sicherheitslücken und lässt den Wurm die Lücken schließen. Dies scheint einfach und zuverlässig zu funktionieren.
  2. Man passt die nötigen Stelle im SourceCode von WordPress manuell an, indem man zB der Anleitung bei bueltge.de folgt.
  3. Man vertraut mir und lädt meine Bugfixes WordPress 2.2.1 Datei herunter. In der Zipdatei finden sich vier Dateien, in denen ich die Bugs nach buetges Anleitung behoben habe. Ich übernehme keine Verantwortung für evtl Datenverluste o.ä. Benutzung auf eigene Gefahr!

Sicherheitshalber macht man ein Backup, bevor man die Dateien verändert, eigentlich sollte aber nichts schiefgehen.

[Nachtrag 5. August 2007]
Wordpress hat unter anderem auf die von beNi gefundenen Bugs reagiert und heute mit WordPress 2.2.2 ein Securityupdate veröffentlicht. Die deutsche Version wird sicher im Laufe des Tages erscheinen.

Neue Sicherheitslücke in WordPress 2.2

Gerade ist im gerade mal 2 Wochen alten WordPress eine neue Sicherheitslücke aufgetaucht. Vermutlich sind auch die Vorgängerversionen verwundbar.

Die Sicherheitslücke ist in der xmlrpc.php zu finden, wo es zu einer SQL Injection kommen kann. Einen Proof-of-Concept, der die Userdaten mit den verschlüsselten Passwörtern ausliest liegt vor.

Der Patch ist ganz einfach durchzuführen:
1. Geht ins Wurzelverzeichnis der Wordpress Installation 2. Legt eine Sicherheitskopie der xmlrpc.php an 3. Suche in der xmlrpc.php nach max_results 4. Der erste Treffer sieht wie folgt aus: $max_results = $args[4]; 5. Fügt ein (int) vor $args[4] ein: $max_results = (int) $args[4]; 6. Speichert die Datei ab und ladet sie auf euren Webserver

StudiVZ Bashing – ich mache mit

StudiVZ – Das Studentenverzeichnis

2004 wurde in Cambridge, Massachusetts Facebook gegründet. Facebook ist ein klassischer Vertreter des Web 2.0 nach dem AAL (Andere Arbeiten Lassen) Prinzip. Die Idee ist, eine Plattform zu erschaffen, wo sich Studenten, Professoren und Alumni treffen und über Universitätsgrenzen hinweg Kontakt halten, sich über ihre Interessen austauschen und nach gleichgesinnten suchen. Man könnte es als die informelle Variante von XING (OpenBC) bezeichnen. Wie das bei solchen Netzwerken, die auf der Kommunikation zwischen Menschen beruhen, nun mal so ist, muß man zuerst die Plattform mit persönlichen Daten füttern, bevor man sich auf die Suche nach Gleichgesinnten macht. Die Daten, die Abgefragt werden, beginnen mit dem eigenen Namen (nicht Pseudonym oder Nickname, sonder Vor- und Nachname) und dem Geburtsdatum, werden aber schnell um Adressen, Schul- und Universitätslaufbahn, Hobbies, Fotos und ähnlichem angereichert. Facebook wurde ein riesen Erfolg, aber vor allem im Englisch-Sprachigen Raum. Und wie das mit erfolgreichen Geschäftsideen nun mal so ist, werden diese oft und fleißig kopiert.
Die deutsche Variante von Facebook nennt sich StudiVZ. Ob die Ursprüngliche Idee wirklich den Aufbau und Betrieb einer solchen Seite war oder ob man auf ein flottes gekauft werden wie damals bei Alando setzte ist leider nicht klar und inzwischen auch egal. Holtzbrinck hat sich StudiVZ Anfang des Jahres für über 50 Millionen gekauft und somit sind die Gründer zwar finanziell fein raus, aber der Betrieb der Plattform hängt ihnen noch an der Backe. Nun könnte man Fragen, was den die Schwierigkeit am Betrieb einer solchen Plattform sei und schnell würden sich drei zentrale Probleme herauskristallisieren:

  1. Finanzierung
  2. Performanz
  3. Sicherheit

Und in dieser Reihenfolge haben sich die Gründer des StudiVZ an die Probleme gesetzt. Schnell wurde Gründerkapital aufgetrieben und die Seite aufgebaut. Zu Anfangs noch mit dem selben Design von Facebook (blaue Farbe) und gleichlautenden Skriptnamen (ob da jemand den Sourcecode von Facebook verwendet hat?), aber schnell mit eigenständigem Getue („Gruscheln“ als Bezeichnung für das ansprechen anderer Nutzer). Als nächstes wurde massives Marketing betrieben, um der Plattform Nutzer zu zu führen. Im Herbst letzten Jahres gings dann richtig los mit stark steigenden Nutzerzahlen. Jetzt kümmerte man sich auch etwas um den zweiten Punkt aus der Liste, die Performanz. Aber natürlich erst, als es erste Probleme gab. Das Thema Sicherheit spielte aber noch keine Rolle. Stichpunkthaft nun Sicherheitsprobleme aller Arten bei StudiVZ in chronologischer Reihenfolge der Entdeckung:
(Yamb.Beta ist nicht mehr, der Autor Jörg-Olaf Schäfer hat das Blog geschlossen)

  • Profilbilder von außen ohne Login einsehbar (Yamb.Beta)
  • Bilder aus „privaten“ Fotogalerien von außen ohne Login einsehbar (Yamb.Beta)
  • „private“ Freundesliste von jedem Nutzer einsehbar (Yamb.Beta)
  • Stalking im größeren Stil (Yamb.Beta)
  • Suchen in privaten Daten geschützter Profile (Yamb.Beta)
  • Mehrere Cross-Scripting-Lücken (heise newsticker)
  • Berechnung der Nutzer IDs, Adressen von Fotos und Fotoalben geknackt (Yamb.Beta)
  • Abrufen der Nutzerdaten sämtlicher Nutzer per kleinem Skript möglich (Yamb.Beta)
  • Sich selbst in geschlossene Nutzergruppen einladen (Yamb.Beta)
  • etc. etc. etc

Diese ganze Liste an Sicherheitslücken, die zT auch extrem ausgenutzt wurden (Auslesen der Nutzerdaten in externe Datenbanken) fanden sich in dem kurzem Zeitraum von nur 2 Wochen Ende November. Es wurde anschließend wieder ruhiger, es wurden aber weiterhin Lücken gefunden.
Jetzt aber, genauer gesagt Gestern, wurde aus den Lücken ein Loch. Ein Hacker hat es geschaft, die Login-Daten der Nutzer auszulesen, d.h. die Login-Daten, eMail-Adressen und die Freundschaftslisten (Yamb.Beta). Nun ist das natürlich ein riesen Problem, doch eingrenzbar. Denkt man sich so. Als erfahrener Nutzer, der für verschiedene Webseiten verschiedene Logins verwendet. Sieht man sich aber die stoische Ruhe an, die die Nutzer bisher an den Tag legten und mit welcher Ignoranz sie über die Probleme von StudiVZ hinweg sehen, so nehme ich an, daß viele der Nutzer auf vielen Webseiten die selben Login-Daten wie bei StudiVZ verwendet haben werden. Ich möchte mir die Welle der Amazon oder eBay-Betrügereien gar nicht ausmalen, die in der nächsten Zeit auf uns zurollen wird. Ganz abgesehen davon, daß der Hacker nun 1,4 Millionen eMail-Adressen in der Hand hat, deren Nutzerprofil recht klar umrissen werden kann: 18-30 Jahre alt, Abitur oder Studienabschluß, offen für allerlei Webspielereien. Selbst wenn rund ein Drittel der eMail-Adressen inzwischen ungültig (einmal Adressen für Fake-Accounts, etc) sind, haben alleine die verbliebenen 1 Mio Adressen einen nettern Wert bei den Herren und Damen Spamversendern.