Posts Tagged ‘Sicherheit’

Dienstag, 16. Oktober 2007

Partyguide versendet unkonforme Mails

Link zu diesem Artikel

Gestern Abend kam ich aus einem mir unerklärlichen Grund auf die Idee, den Quellcode eines von Partyguide automatisch versandten Mails unter die Lupe zu nehmen (in Apple Mail: Apfel + Alt + U):

Return-Path: <partyguide@partyguide.ch>
Received: from all01.mx.genotec.ch (unknown [IPv6:2001:1b50::82:195:224:51])
 by gmc-pop-bsd-014.genotec.ch (Postfix) with ESMTP id 94C481739A51
 for <spam@emeidi.com>; Tue, 16 Oct 2007 00:34:09 +0200 (CEST)
Received: from partyguide.ch (defiant.partyguide.ch [217.150.245.69])
 by all01.mx.genotec.ch (Postfix) with ESMTP id C634B558B8E
 for <spam@eMeidi.com>; Tue, 16 Oct 2007 00:31:23 +0200 (CEST)
Received: (qmail 3397 invoked from network); 15 Oct 2007 22:33:57 -0000
Received: from unknown (HELO nebula.partyguide.ch) (192.168.0.13)
  by defiant.partyguide.ch with SMTP; 15 Oct 2007 22:33:57 -0000
Received: by nebula.partyguide.ch (Postfix, from userid 507)
 id 238C850D831; Tue, 16 Oct 2007 00:33:57 +0200 (CEST)
To: spam@eMeidi.com
Subject: ******* hat heute Geburtstag!
From: noreply@partyguide.ch<noreply@partyguide.ch>
X-Mailer: PHP/5.2.3
X-Sender-IP: 
Content-Type: text/html
Message-Id: <20071015223357.238C850D831@nebula.partyguide.ch>
Date: Tue, 16 Oct 2007 00:33:57 +0200 (CEST)
X-GIC-MailScanner-SpamCheck: not spam, SpamAssassin (not cached,
 score=-0.045, required 10, BAYES_00 -2.60, FORGED_RCVD_HELO 0.14,
 HTML_30_40 0.37, HTML_MESSAGE 0.00, HTML_MIME_NO_HTML_TAG 1.08,
 MIME_HEADER_CTYPE_ONLY 0.00, MIME_HTML_ONLY 0.00, NO_REAL_NAME 0.96)

<font face="verdana" size="2">Hallo mad4you!
 <br><br>
 Dein PartyGuide.ch myFriend ******* hat heute Geburtstag!<br>
 Vergiss nicht zu gratulieren :-)
 <br><br>
 Hier gehts zum Profil von *******:<br>
 <b><a href="http://my.PartyGuide.ch/*******">http://my.PartyGuide.ch/*******</a></b>
 <br><br> 
 Dies ist ein automatisch generiertes eMail...
 <br><br>
 Liebe Grüsse<br>
 PartyGuide.ch Team
 </font>

Einige Bemerkungen:

  • Fangen wir mit der einzigen vorbildlichen Eigenschaft des Mails an: Return-Path ist gesetzt. Tritt beim Versand des Mails ein technisches Problem auf, kriegt dies Partyguide über die Adresse partyguide@partyguide.ch mit.
    Würde man diese Adresse als Absender einsetzen, würden wohl täglich unzählige unerwünschte Antworten von Endbenutzern auf die erwähnte Adresse eintrudeln, die gedankenlos den Antworten-Knopf drücken. Deshalb noreply@partyguide.ch im From:-Feld.
  • Irgendwie sieht aber genau dieses From-Feld nicht ganz koscher aus: From: noreply@partyguide.ch<noreply@partyguide.ch> Sollte da nicht noch ein Abstand zwischen dem anzuzeigenden Namen und dem < zu stehen kommen? Da die Information aber sowieso redundant ist, sollte man den Namen einfach weglassen und nur <noreply@partyguide.ch> schreiben …
  • Wo bleibt der html und der body-Tag (inkl. End-Tags)?! Wenn das Mail als Content-Type: text/html versandt wird, sollte es auch den minimalsten Anforderungen des HTML-Standards genügen. Der Entwickler hat – wieder einmal – geschlampt. Nebenbei: Wieso muss für einen solchen Text überhaupt ein HTML-Mail versandt werden? Nur damit die URL fett eingefärbt werden kann?
    Man beachte X-GIC-MailScanner-SpamCheck (SpamAssassin), der sich auch über die fehlenden Tags beschwert (HTML_MIME_NO_HTML_TAG) und dafür satte 1.08 Spam-Punkte vergibt
  • X-Mailer: PHP/5.2.3 – wieso um Gottes willen greift man nicht auf OSS-Klassen wie den ausgereiften (und von Profis programmierten) PHPMailer zurück, die das Versenden von HTML-Mails mit alternativem Plain-Text-Body und Attachment zum Klacks machen?
  • Immerhin verwendet man nicht mehr PHP 3.x, sondern 5.2.3. Der erste Schritt in die Absicherung der Plattform ist somit getan. Nun kommt aber noch der deutlich grössere Teil der Arbeit: Der Code-Audit und damit einhergehend neu schreiben von mehrere Jahre altem Spaghetti-Code …

Ein zufälliger Blick in ein Nebenprodukt von Partyguide – und man wird sich wieder einmal bewusst, wie gering die Ambitionen der Programmierer sind (waren?), standardkonformen und sauberen Code vorzulegen. Aus meiner Sicht ein klassisches Beispiel von „Internet-Frevel“ und symptomatisch für das Portal. Nur weil ein Script funktioniert und auf dem Internet Explorer und in Microsoft Outlook anständig gerendert wird, heisst das noch lange nicht, dass der Code auch professionellen Anforderungen standhält.

Jason und Argonauten: Das ist eure Visitenkarte, die euer „Unternehmen“ Techies unter die Nase hält – kein Wunder, hat sich Tamedia für die Zusammenarbeit mit dem geringsten aller Übel, Tilllate, entschieden …

Tags: ,
Labels: IT, Web

Keine Kommentare | neuen Kommentar verfassen

Mittwoch, 5. September 2007

Zugangsdaten für registrierungspflichtige Web-Sites

Link zu diesem Artikel

Wer wie ich gerade einem Bekannten Zugang zu Partyguide-Profilen verschaffen muss, ohne dass er sich in einem langwierigen und pingeligen Prozess registriert (just kidding), sei folgende Web-Site empfohlen:

BugMeNot – Partyguide

Tags: ,
Labels: Web

Keine Kommentare | neuen Kommentar verfassen

Samstag, 1. September 2007

Parallelen zum dritten Partyguide-Hack

Link zu diesem Artikel

Underscoring a major susceptibility threatening thousands of high-profile computer users across the world, a Swedish security consultant has published login credentials belonging to some 100 embassies.

Quelle: Mystery SNAFU exposes email logins for 100 foreign embassies (and counting)

Beim dritten Partyguide-Hack veröffentlichte ich 13’000 Passwörter von Benutzerkonten der Online-Community Partyguide. Zum Zeitpunkt der Veröffentlichung des Blog-Artikels (Samstag, 9. Juni 2006) waren die Passwörter der komprimittierten Accounts aber bereits von den Verantwortlichen zurückgesetzt worden.

„It will only take 10 minutes and every script kiddie is going to be using the exact same method,“ he told The Reg. „I’m probably not the first one grabbing these passwords, but I’m absolutely the first one publishing them.“

Die Sicherheitslücke entdeckte ich während der Programmierung einer Suchfunktion für Partyguide-Benutzer (was bringt eine Suchfunktion, wenn man nicht auch gleich das Bild der gefundenen Benutzern präsentiert erhält). Nachdem ich beim Zugriff auf das AJAX-Such-Script auf Grund falsch formulierter GET-Parameter SQL-Errors zu Gesicht bekam, versuchte ich mich einer SQL-Injection. Leider führte dies zu keinem Erfolg. Umso erstaunter war ich, als ich der Suchabfrage einfach ein Parameter user_search.php?bla=bla...&password=123456 beifügte – und als Resultat alle Benutzer präsentiert erhielt, die dieses Passwort gesetzt hatten. Diese Lücke war selbst für Script-Kiddies schon fast zu einfach …

Ob vor mir bereits jemand auf diese Lücke aufmerksam geworden ist und diese ausgenutzt hat, weiss ich nicht. Die Entwickler hinter Partyguide wohl auch nicht. Schliesslich wurden sie auf den Hack nur aufmerksam, weil ich während sieben Tagen zehntausende von Anfragen auf das Suchscript losfeuerte. Die Sicherheitslücke wurde nach der Entdeckung durch die Partyguide-Entwickler innert Stunden gefixt. Ich war der erste, der die Lücke öffentlich machte (Partyguide hat bis heute zu keiner der von mir veröffentlichten Sicherheitslücken und Datenlecks weder öffentlich Stellung genommen noch seine Benutzer informiert).

Egerstad’s list offers a rare glimpse into the password robustness, or lack thereof, of various countries. At the top of the list was Uzbekistan, where a typical password looks something like „s1e7u0l7c.“ Surprisingly, the ultra-secret Iran was near the bottom of the list; passwords for its various embassies tended to be the city or country in which the embassy resides. The Hong Kong Liberal Party used „12345678“ while one for an Indian embassy was simply „1234.“

Auch ich liess es mir im Nachgang zur Veröffentlichung der Lücke nicht nehmen, die Liste der Zugangsdaten nach häufigen Passwörtern zu durchforsten.

Egerstad’s decision to publish the account details online is sure to reignite the frequent debate about whether such full disclosure is irresponsible because it simply allows a broader base of people to misuse the information. He says he’s well versed in the merits of responsible disclosure but decided that posting the login details was the only way to get the attention this problem deserves.

„I don’t have time calling all over the world to tell them something they won’t understand or listen to,“ Egerstad said. „I’m probably going to get charged for helping to commit a crime. I don’t really care.“

Eine ähnliche Diskussion hat sich auch bei der Veröffentlichung meiner Erkenntnisse entfacht. Und auch ich forderte Partyguide auf, ein Gericht über die Illegalität meiner Handlungen entscheiden zu lassen. Nun, Letzteres bahnt sich mittlerweile an.

Nachtrag: „Millionenraub“ auch bei Monster.com

[…] As is the case with many companies that maintain large databases of information, Monster is from time to time subject to attempts to illegally extract information from its database.

As you may be aware, the Monster resume database was recently the target of malicious activity that involved the illegal downloading of information such as names, addresses, phone numbers, and email addresses for some of our job seekers with resumes posted on Monster sites.

The Company has determined that this incident is not the first time Monster’s database has been the target of criminal activity. […] While no company can completely prevent unauthorized access to data, […]

Quelle: Security Notice

Tags: ,
Labels: Web

Keine Kommentare | neuen Kommentar verfassen

Freitag, 27. Juli 2007

Data-Mining StudiVZ

Link zu diesem Artikel

Bevor der StudiVZ-Virus in der Schweiz um sich griff (irgendwann einmal im Frühjahr 2007 begann die virale Infektion der Schweiz von Fribourg her nach Bern ausbreitend), nutzte ein findiger deutscher Programmierer seine Web-Kenntnisse, um mehr als eine Million StudiVZ-Profile abzugrasen. Die Auswertung („Data-Mining“) der so gewonnenen Daten finden sich hier:

StudiVZ – Inoffizielle Statistikpräsentation

Seither hat StudiVZ einiges (Geld & Grips) in Lösungen investiert, um das „crawlen“ von Profilen zu verhindern. Als gelegentlicher Benutzer der Plattform sind mir primär zwei Vorsichtsmassnahmen aufgefallen:

  • Captchas. Nachdem jemand eine bestimmte Anzahl von Seiten aufgerufen hat, muss er eine in einer Grafik angezeigte Zeichenfolge abschreiben. So verhindert man, dass die Anfragen von einer „Maschine“ ausgeführt werden.
  • Hashes als User-ID. Anstelle einer aufsteigenden Nummer verwendet man eine Zeichenkette aus Zahlen und Buchstaben, um einen Benutzer eindeutig zu identifizieren. Verwendet man wie bspw. Partyguide Benutzernummern, kann ein selbst geschriebenes Programm die Profile abgrasen, indem ein Zähler in einer Schleife konstant um hochgezählt wird (für Programmierer: i++).

Tags: ,
Labels: Web

Keine Kommentare | neuen Kommentar verfassen

Samstag, 7. Juli 2007

Virenscanner: Ursache (fast) aller Flaschenhälse

Link zu diesem Artikel

Mehr muss wohl nicht gesagt werden – ist der Virenscanner mal drauf, ist die Geschwindigkeit im Eimer:

Quelle: What Really Slows Windows Down

Ich kann aus Erfahrung bestätigen: Auf der Arbeit sind Pentium II und III-Geräte kaum mehr benutzbar, sobald Symantec Antivirus darauf installiert wurde. Der Bootvorgang verzögert sich um Minuten, sobald die Virenwächter ihren Dienst verrichten.

Neben den wiederkehrenden Abo-Kosten für die Updates der Virendefinitionen ein weitere Grund, wieso man schleunigst auf Mac OS X oder Linux wechseln sollte. Macs und Linux-PCs sind auch deshalb viel zuverlässiger, weil ich keine Norton- oder Symantec Bloatware installieren und permanent laufen lassen muss. (Unter Mac OS X ist es sogar so, dass ich mit der Installation von Symantec-Produkten völlig neue Probleme schaffe, die man vorher nicht hatte).

Hiermit ist bewiesen (qed., wie es Smythe zu sagen pflegt): Microsoft, Adobe und Symantec gehören der Achse des Bösen an; garantieren aber durch ihre Aktivitäten, dass viele, viele Familien von Computerexperten und Hardwareherstellern täglich warme Mahlzeiten auf dem Tisch haben.

Tags: ,
Labels: IT

Keine Kommentare | neuen Kommentar verfassen

Dienstag, 19. Juni 2007

Xing und die Profilbilder

Link zu diesem Artikel

Bisher empfand ich es nicht für nötig, dem sozialen Netzwerk Xing für eine aufgebohrte Mitgliedschaft monatlich Geld nachzuwerfen.

Dennoch würde man selbstverständlich gerne wissen, welche Benutzer das eigene Profil besucht haben (analog zu StudiVZ, wo diese Auskunft gratis ist …).

Heute wurde ein unbekanntes, hübsches Gesicht aufgeführt, dessen Besitzerin mein Profil angeklickt hat. Nachfolgend einige Findings:

Da ich jetzt (zumindest vermute) die User-ID besitzen – wo finde ich einen Link, der nicht auf den Namen des Benutzers verweist, sondern auf seine User-ID? So könnte ich dann doch noch herausfinden, wer sich hinter der anonymisierten Person verbirgt. Und hätte den Betreibern ein Schnäppchen geschlagen.

Ich bleibe auf jeden Fall dran.

Tags: ,
Labels: Web

6 Kommentare | neuen Kommentar verfassen

Dienstag, 19. Juni 2007

Partyguide lernt …

Link zu diesem Artikel


Partyguide lernt …
Originally uploaded by emeidi

Bravo! Langsam scheint die Larifari-Kultur beim Partyfoto-Dienstleister auszusterben.

Im Grund finde es keine schlechte Idee, nur eine bestimmte Art von GET-Variablen zuzulassen und „Verstösse“ dagegen umgehend an den Entwickler weiterzuleiten. So kann man nicht nur Hackversuche enttarnen, sondern auch Fehlprogrammierungen aufdecken.

Inwiefern der Endanwender hingegen über das „technische Problem“ (= „Hackversuch“) informiert werden sollte – darüber kann man sich wohl stundenlang streiten. Ein Schelm, wer die URL www.partyguide.ch/ indexp.php? ld=no& mid=12345& special=einsaetze nun mit einem Script 10’000 Mal aufruft … und so wohl die Mailbox des Entwicklers sprichwörtlich fluten würde.

Dank: ****

Tags: ,
Labels: Web

Keine Kommentare | neuen Kommentar verfassen

Mittwoch, 13. Juni 2007

Der AutoScout24-Hack

Link zu diesem Artikel

Disclaimer: Ich habe rein gar nichts mit dem Hack zu tun. Meine zwei Verbindungen zum Unternehmen: a) Anscheinend habe ich auf der Web-Site vor langer Zeit einmal einen Account eröffnet und b) Der Sitz befindet sich in Sichtweite von meinem Zuhause, ca. 2km 580m Luftlinie (mit Google Earth nachgemessen).

Gestern Abend erreichte mich folgendes Mail:

Sehr geehrte Kundin, sehr geehrter Kunde

Immer wieder kann es vorkommen, dass gerade erfolgreiche Online-Anbieter das Ziel von Hacker-Angriffen werden. So wurde auch AutoScout24 von Hackern „besucht“.

Dank unserer hoch entwickelten technischen Überwachungssysteme konnten wir den versuchten Angriff aber ebenso schnell registrieren wie abwehren. Über die Identität und die Absichten der Hacker haben wir derzeit keine Anhaltspunkte. Bislang ist es aber zu keinen Unregelmässigkeiten auf unserer Plattform oder in Kunden-Accounts gekommen.

Die Sicherheit Ihrer Daten ist für AutoScout24 immer vorrangig. Wir haben uns deshalb entschlossen, heute ab 20.00 Uhr sämtliche Passwörter unserer Kundinnen und Kunden zurück zu setzen. Diese Massnahme hat rein präventiven Charakter und bietet das Höchstmass an Sicherheit nach einem abgewehrten Hacker-Angriff.

    Benutzername:  user
    Ihr neues Passwort lautet: password
    Link zur Passwortänderung:  http://www.autoscout24.ch/AS24Member/Login.aspx?wl=1&lng=ger

Bitte loggen Sie sich umgehend mit ihrem neuen, oben stehenden Passwort ein und ändern Sie es gleich nach Ihren Wünschen wieder ab. Klicken Sie dazu auf den Button „Passwort ändern“.

Benutzen Sie aber auf keinen Fall das Passwort, das Sie bislang auf unserer Plattform verwendet haben. An dieser Stelle möchten wir unsere Sicherheitsempfehlung wiederholen, alle Ihre Passwörter einmal im Monat zu ändern.

Wenn Sie weitere Fragen dazu haben kontaktieren Sie bitte unseren Kundendienst unter der Nummer: 031 744 21 31 oder schreiben Sie uns eine E-Mail an: info@autoscout24.ch

Quelle: E-Mail von info@autoscout.ch an mich, 12. Juni 2007, 22.34 Uhr

Partyguide sollte sich daran ein Vorbild nehmen!

So machen es die Semi-Profis (Profis müssten nie ein solches Mail versenden, weil es nichts zu hacken gibt):

  • Systeme werden konstant auf verdächtige Aktionen überwacht
  • Im Zweifelsfalle werden Passwörter aller Kunden zurückgesetzt
  • Kunden werden umgehend über das Problem und dessen (vermuteten) Umfang informiert
  • Kunden werden explizit darauf hingewiesen, dass es äusserst töricht wäre, wieder auf das alte Passwort zu wechseln
  • Der Anbieter gibt Tipps, die über den Vorfall hinaus gültig sind (Passwörter regelmässig wechseln)
  • Angabe einer E-Mail-Adresse und einer Telefonnummer, um mit dem Anbieter in Kontakt zu kommen

Das Tüpfchen auf den i wäre nun nur noch, wenn der Anbieter es unmöglich machen würde, das vorherige Passwort erneut zu verwenden.

Unpassend finde ich aber folgenden Satz:

Immer wieder kann es vorkommen, dass gerade erfolgreiche Online-Anbieter das Ziel von Hacker-Angriffen werden. So wurde auch AutoScout24 von Hackern „besucht“.

Hacker-Angriffe passieren – das bestreitet niemand ab. Es besteht aber ein himmelgrosser Unterschied, ob ein Angriff stattgefunden hat oder aber ob er tatsächlich erfolgreich war. Hier scheint letzterer Fall vorzuliegen – eine Verniedlichung ist definitiv nicht angebracht!

Tags: ,
Labels: Web

Keine Kommentare | neuen Kommentar verfassen

Dienstag, 22. Mai 2007

Sicherheit à la Microsoft

Link zu diesem Artikel

[…] Das Unternehmen sieht nun Handlungsbedarf, um das Arbeiten mit der Office-Suite sicherer zu machen, und stellt zwei Software-Updates vor, die die Gefahren durch die Verarbeitung von manipulierten Office-Dokumenten verringern sollen: Microsoft Office Isolated Conversion Environment (MOICE) und eine File-Block-Funktion.

Die MOICE-Software macht nichts anderes, als Office-Dokumente im Office-Binärformat mit Hilfe der Office-2007-Konvertierungsroutinen in dessen XML-Format umzuwandeln. Den Office-Entwicklern fiel nämlich bei der Analyse der bislang aufgetauchten, schadhaften Dokumente auf, dass der Konvertierer aus Office 2007 daraus ein Dokument ohne Schadwirkung erzeugte, die Umwandlung fehlschlug oder die Software einfach abstürzte.

Quelle: Microsoft will Office sicherer machen

Analogon: Dem Bauherren ist bekannt, dass das Fundament eines Hauses einem starken Erdbeben nicht standhalten wird. Was macht er? Er montiert mehr Erste-Hilfe-Sets als geplant an die Wände. Das eigentliche Problem ist damit zwar nicht gelöst, aber die Bewohner des Hauses fühlen sich nun vollumfänglich sicher.

Ich will und kann nicht glauben, dass diese geniale Eingebung („Defective by design“?) auf dem Mist eines Technikers gewachsen ist. Viel Eher hat ein Marketing-Fuzzi wieder einmal seine Anstellung rechtfertigen müssen, auch wenn er von IT eigentlich keinen blassen Schimmer hat.

Tags: ,
Labels: Allgemein

Keine Kommentare | neuen Kommentar verfassen

Newer Entries »