Es brodelt in der Web-2.0-Welt. Sicherheitsprobleme bei Twitter machen die Runde. Wie viele von Euch sicher schon gehört haben, gab es in den letzten Tagen einige Aufruhr wegen einiger unsauberer externer Twitterdienste.

Das große Problem ist, dass man bei Twitter für die Anbindung externer Dienste dort immer die kompletten Logindaten angeben muss. So etwas wie einen API-Key oder sonstige externe Authentifizierung über Dritte gibt es bei Twitter nicht. Auch nach vielen Monaten und vielen Beschwerden. Twitter zeigt sich dort wie auch in anderen Punkten sehr unbeweglich und uneinsichtig. Warum das so ist kann man wohl nur spekulieren.

Casi von zweipunktnull.org bringt nun ein neues Thema auf den Tisch. Die Tatsache, dass Facebook Twitter von heute auf morgen in die Tasche stecken könnte ist durchaus in gefährlicher Nähe und wenn einige Faktoren richtig stehen und Facebook eine Hand voll Schlüsselpersonen auf seine Seite ziehen kann, dann ist wohl tatsächlich von heute auf Morgen Ebbe im Twitterland.

Auf jeden Fall dann, wenn Twitter nicht schleunigst merkt, dass es nicht damit getan ist die Schäden einiger gehackter Accounts von Prominenten einfach wegzuwischen und so zu tun als wäre nichts gewesen. Ich würde die Hacks von Britney Spears, Obama, Foxnews und weiteren einfach mal als Warnung verstehen und als letzte Chance schnell was an den Sicherheitsvorkehrungen zu ändern – angekündigt haben sie’s.

Für $1200 wurde die noch sehr Junge Plattform Twply verkauft. Ein Dienst der es Twitter-Usern ermöglicht sich @replies per Email schicken zu lassen. Also etwas, was Twitter selbst auch mit Direct Messages macht. Ansich nützlich, aber…

Chancen und Risiken um externe Twitterdienste beschreibt Nico Lumma in seinem Beitrag über diesen Verkauf und die Login-Daten-Gefahr im Allgemeinen.

Der Unbeweglichkeit und steten Langsamkeit der Twitter-Betreiber ist es wohl zu verdanken, dass es immer noch keine ordentliche Auth-Lösung gibt.

Heute Nacht wurde WordPress 2.6.3 als Sicherheitsrelease veröffentlicht. Es wird dringend empfohlen alle WordPress-Installationen zu aktualisieren. Die beiden betroffenen Dateien sind:

• wp-includes/class-snoopy.php
• wp-includes/version.php

Den Download gibt’s wie immer bei WordPress.org – die deutsche Version bei WordPress-Deutschland.org.

Weitere Informationen zur Sicherheitslücke gibts bei Secunia.

Ohne große Vorankündigung wurde heute Nacht deutscher Zeit die Version 2.6.2 von WordPress released. Man umgeht dabei eine Gefahr mit SQL Column Truncations, auf die Stefan Esser kürzlich hingewiesen hatte. Wichtig ist dieses Update in erster Linie für Blogger, die öffentliche Benutzerregistrierungen auf ihrem WordPress-Blog ermöglichen. Mit Hilfe des in 2.6.1 enthaltenen Codes ist es bei Neuregistrierungen möglich mit Hilfe des Benutzernamens das Passwort eines anderen Benutzers auf ein neues (zufällig generiertes) Passwort zurückzusetzen. Da dem Angreifer das zufällig generierte Passwort nicht bekannt wird, ist dies kein ernsthaftes Sicherheitsproblem, aber auf jeden Fall ärgerlich.

Auch andere Anwendungen als WordPress könnten von diesem Problem betroffen sein. Ändern lässt sich das entweder mit Hilfe von Updates für die jeweiligen Anwendungen oder durch ein Update von Suhosin. Dafür ist aber natürlich Zugriff auf den Server nötig um die PHP-Erweiterung zu installieren/aktualisieren. Im Zweifelsfall hilft vielleicht ein Hinweis an den Webhoster.

[via]

Mal ehrlich: So langsam nervt die Sicherheitsdiskussion rund um WordPress. Eigentlich nicht wegen der (mangelnden) Sicherheit, sondern eher die Tatsache wie substanzlos die Diskussion geführt wird. Vorab: Ich bin wie die meisten zu wenig in Sachen PHP bewandert um die grundlegenden Sicherheitsprobleme von WordPress beurteilen zu können. Das ist aber auch gar nicht das Problem an der Diskussion. Das Problem ist vielmehr der Anspruch der erhoben wird. Dieser Anspruch richtet sich – für mich unverständlich – in letzer Zeit immer mehr gegen Automattic, den Betreiber von WordPress.com.

WordPress (die Software selbst) ist ein OpenSource-Projekt an dem sich grundsätzlich jeder beteiligen kann und an dem erst einmal keiner direkt Geld verdient bzw. direkt dafür verantwortlich ist. Es gibt eine Hand voll Personen die das Softwaretechnische Herz von WordPress “verwalten” und z.B. darüber entscheiden welche Entwicklungen der Community in zukünftige Versionen einfließen. Das sind neben Matt Mullenweg, dem “Erschaffer” von WordPress auch aber nicht nur ein paar weitere Angestellte von Automattic (nähere Infos dazu hier in der Sidebar). Mag man deren Produkt- und Entwicklungspolitik bzgl. WordPress nun gut finden oder nicht, aber für Forderungen wie sie Robert in seinem Beitrag ausgesprochen hat, ist da meines Erachtens keine Grundlage vorhanden:

Was kann also Automattic tun, die für WordPress verantwortlich sind? Es ist unabdingbar, dass man über ein automatisiertes Updateverfahren nachdenkt, das zudem eine Abwärtskompatibilität zu eingesetzen und “zertifizierten” Plugin gewährleistet.

Sorry Robert, aber das ist Unsinn. Dass Automattic nicht verantwortlich ist, ist das eine. Dass es nicht ihre Aufgabe ist die Infrastruktur für zertifizierte Plugins zur Verfügung zu stellen ist das andere. Wer bitte soll das leisten? Hast Du Dich mal ne halbe Stunde damit beschäftigt wie es hinter der Downloadseite von WordPress aussieht? Zum Beispiel auf der Tester-Mailingliste oder im Forum? Wenn man bedenkt wie viele Menschen WordPress einsetzen ist es gar jämmerlich zu sehen wie wenige sich in irgend einer Form aktiv beteiligen (und damit ist nicht nur die Programmierung gemeint). OpenSource funktioniert eben nicht nur durch nutzen + Ansprüche stellen. Der offensichtlichste Weg für jeden der der Meinung ist, dass bestimmte Absicherungsmaßnahmen für WordPress zu viel Aufwand wären, ist der zu einer anderen Software. Es gibt schließlich im OpenSource-Bereich jede Menge Alternativen die genauso kostenlos und mindestens genauso einfach zu installieren sind wie WordPress.

Andererseits wäre es aber eventuell auch ein Gedankengang selbst die Finger von Dingen zu lassen, von denen man keine Ahnung hat. Wenn meine Waschmaschine kaputt ist, repariere ich sie ja auch nicht einfach selbst obwohl ich von tuten und blasen keine Ahnung habe. Und wenn hier eine Steckdose zu setzten ist, hole ich dafür auch jemanden der sich damit auskennt. Erst die Dinge selbst in die Hand nehmen, weil ja alles so offensichtlich einfach ist und hinterher schimpfen, dass die nötigen Schritte um das ganze handfest zu haben doch schwieriger sind als gedacht zählt also nicht. Zugegebenermaßen ist das vielleicht auch ein Marketingproblem weil WordPress (übrigens nicht als einzige Software) immer mehr darauf abzielt quick & easy zu sein und das Gefühl zu vermitteln, dass es ein Klacks ist ein Blog zu installieren und alles sowieso bedenkenlos selbst gemacht werden kann. Vielleicht sollte da auch an den entsprechenden Stellen darauf hingewiesen werden, dass ein Webhoster mit PHP und MySQL doch nicht die einzigen Voraussetzungen sind. Ein bisschen KnowHow und der Wille sich mit der Sache intensiver auseinanderzusetzen gehören eben auch dazu.

On this site you can download and install a software script called WordPress. To do this you need a web host who meets the minimum requirements and a little time. WordPress is completely customizable and can be used for almost anything. Quelle

Am Ende steht aber doch jeder selbst in der Verantwortung und sollte spätestens nachdem er Kenntnis davon hat nach entsprechenden Alternativen suchen. Das ganze ist analog anwendbar auf Root-Server. Jedermann kann heute für unter 50 € im Monat irgendwo einen dedizierten Server mieten. Sogar Plesk ist dabei, was das Anlegen von Domains, Mail-Accounts etc. zum Kinderspiel macht. Die Tatsache, dass vermutlich mindestens die Hälfte aller Root-Server-Kunden (wahrscheinlich sogar noch mehr) nicht in der Lage ist das System halbwegs abzusichern stört dabei keinen. Das gleiche gilt übrigens auch für die typischen Schüler-Produkte vServer. Eine nicht unerhebliche Zahl dieser Dinger sind Spamschleudern, weil sie nach allen Seiten hin offen sind.

Und so ist das eben auch bei WordPress. Und bevor man als derjenige, der keine Ahnung hat auf professionelle Betreuung zurückgreift oder alternativ als kostengünstigere/kostenlose Alternative auf eine Software die weniger bunt und umfangreich, dafür aber sicherer ist, beschwert man sich, dass andere einem die Arbeit nicht durch eigenen Einsatz abnehmen. Selbst aktiv beteiligen wäre hier die Devise.

In den letzten Tagen wird ja wieder einmal viel über die Sicherheit bzw. Unsicherheit von WordPress gesprochen. In erster Linie wird WordPress beschimpft wie schlecht und unsicher es doch ist. Das ist teilweise sogar unbestritten, ich will jedoch nicht weiter darauf eingehen. Wie so oft fehlt es bisher an praktischen Lösungsansätzen. Gar nicht mal so sehr wenn’s darum geht das eigene Blog abzusichern – dafür finden sich genügend Tipps – eher aber wenn’s darum geht nach Eindringlingen zu suchen und zu prüfen ob man selbst betroffen ist.

Ich schaue mir das Thema für eigene Blogs und die von einigen Kunden gerade genauer an um zu sehen ob sie befallen sind und um sie vor zukünftigem Befall möglichst gut zu schützen. Einige dieser Erkenntnisse will ich versuchen im Blog festzuhalten.

Stark betroffen vom “wp-content/1″-Hack sind wohl immer noch einige unter WordPress 2.3.2 laufende oder zumindest noch nicht nachträgliche bereinigte Blogs. Ob man selbst betroffen ist kann man durch anhängen von “site: meine-domain.de” an diese Google-Suche herausfinden. Eine Suchanfrage könnte also z.B. lauten “site:helmschrott.de inurl:wp-content/1″. Leider lässt sich bei Google der abschließende Schrägstrich in der URL nicht in den Filter aufnehmen, sodass dort auch harmlose URLs auftauchen wie …/wp-content/1-hase.jpg. Wenn jedoch im Verzeichnis wp-content/1/ eine Datei namens “poker-video.html” oder ähnlich liegt, kann davon ausgegangen werden, dass der Blog betroffen ist oder war. Es reicht natürlich auch ein Blick auf den Server in’s entsprechende Verzeichnis. Mit der “Google-Methode” lassen sicher aber mehrere Blogs auf die schnelle prüfen. Mit diesem Hack wurde offenbar eine Lücke in WP 2.3.2. ausgenutzt um ein Verzeichnis Namens “1″ innerhalb /wp-content/ anzulegen und darin diverse html-Seiten zu speichern und damit einfaches Java-Script-Cloaking zu betreiben. Das heisst sie zeigen den Suchmaschinen themenrelevanten Spaminhalt (Poker, Casino, Viagra, etc. – das übliche) und leiten den Besucher direkt auf die Zielseite (Casino-Partnerprogramm oder ähnliches) weiter.

Leider konnte ich noch nicht viele handfeste Infos zu diesem Thema finden. Betroffene sollten auf jeden Fall dringend ihr Admin-Passwort ändern, das Verzeichnis löschen und auf die aktuellste Version von WordPress (zum Zeitpunkt der Erstellung dieses Beitrags ist das 2.3.3) aktualisieren. Weiterhin kann es sein, dass Google die eigene Seite als gefährlich einstuft und bei einem Zugriff über Google (einfach dort nach der eigenen Domain suchen und anklicken) einen entsprechenden Warnhinweis ausgibt. Sollte dies der Fall sein, kann über das Google Webmaster Center entsprechender Antrag auf Änderung gestellt werden (Antrag auf erneute Überprüfung).

Bzgl. aktueller Hacks die auch die aktuellsten Versionen betreffen, konnte ich leider auch noch nicht allzu viel herausfinden. Es gibt wohl einige die einfache Links, die anschließend per CSS versteckt werden an Beiträge anhängen. Die bisher entdeckten Beispiele deuten alle auf einen identischen Eingangstag hin: “<font style=’position: absolute;overflow: hidden;height: 0;width: 0′>”. Wenn’s so wäre könnte man damit leicht eine Datenbanksuche veranstalten um eventuellen Befall des Blogs auszumachen. Sämtliche von mir überwachten Blogs sind demnach nicht befallen. Es gibt aber noch einiges mehr. Im WordPress-Forum war von diversen Javascript-Schnipseln zu lesen, die zwar bzgl. Google keine Gefahr darstellen, aber dafür vermutlich Besucher umleiten oder großflächig mit Werbung beschießen.

Update: Das mit den Javascript-Schnipseln entstammt wohl den Cloaking-Seiten aus dem oben genannten Hack. Habe ich wohl beim ersten mal überfliegen übersehen. Somit sind beschränken sich die mir bekannten Hacks auf in Beiträge injezierte und per CSS versteckte Links bzw. auf veränderte Templatedateien (das jedoch bisher ausschließlich durch Serverlücken und wohl auch manuell.

Ich werde mich mal weiter dran machen da was rauszufinden und halte Euch auf dem laufenden, wenn’s was neues gibt. Für sachdienliche Hinweise über die Kommentare, per Email oder auch Jabber bin ich natürlich jederzeit dankbar.

Für die Absicherung des eigenen Blogs sei die Lektüre und teilweise weiterführende Links der oben verlinkten Blogs empfohlen. Jedoch ohne Gewähr bzgl. Funktion und etwaige Fehler

Noch zeigt der Updatemonitor von WordPress die Version 2.3.2 als aktuell an, vor zirka einer Stunde jedoch wurde WordPress 2.3.3 als dringendes Sicherheitsupdate released. Vor allem für Multiautorenblogs und Blogs mit Registrierungsfunktion ist das Update dringend empfohlen.

Durch einen Fehler in der XMLRPC-Schnittstelle können unter Umständen alle User vorhandene Beiträge bearbeiten. Zur schnellen Fehlerbehebung reicht der Download der gefixten xmlrpc.php hier. Einfach über die vorhandene Datei kopieren und der Fehler ist behoben. Das ganze Updatepaket gibt’s auf englisch wie immer hier und sicherlich in kürze bei WordPress Deutschland.

Weiterhin gibt es einen Fehler im WP-Forum-Plugin (Infos). WordPress empfiehlt dieses Plugin vorerst zu deaktivieren.

» Release-Beitrag auf WP.org

Jaja, letzte Woche in Berlin – ihr wisst schon, re:publica – das große Bloggertreffen ohne Kontroversen. Da hat man sich nicht nur getroffen, gehändeschüttelt und gevortragt; es gab auch jemanden der dort für Extrastimmung gesorgt hat.
Kurz zum Hintergrund. Wie bei solchen Treffen durchaus nicht unüblich, gab es ein frei verfügbares, offenes WLan, dass sich offenbar großer Beliebtheit erfreute. Immer wieder konnte man via Twitter und diversen Blogbeiträgen lesen, dass die Verbindung nur sehr instabil zur Verfügung stand.

Nun kann man an diversen Stellen lesen, dass ein jemand auf die schlaue Idee gekommen ist, den Netzwerkverkehr im WLan etwas mitzusniffen (mit speziellen Programmen kann man den Datenverkehr anderer “erschnüffeln”). Da das Netzwerk unverschlüsselt war, kein großes Problem. Und da offenbar die wenigsten sich ernsthaft mit der Thematik auseinandersetzen, gab es auch massenhaft Verbindungen zu unverschlüsselten Mailservern inkl. der unverschlüsselten Übertragung von Passwörtern. Bravo! ;)

Die so gesammelten Passwörter wurden zur allgemeinen Verdeutlichung anschließend über einen Beamer publiziert – nette Show, finde ich. Und auch so traurig, dürften doch auf solchen Treffen primär Leute anwesend sein, die sich selber von “unwissenden” gerne als Geeks bezeichnen lassen und sich auch selbst als solche sehen. Man schiimpft zwar sehr gerne über Datenschutzthemen und diejenigen die Daten speichern und sammeln, sich selbst aber nur im geringsten vor dem Mißbrauch der selbst täglich genutzten Daten zu schützen ist offenbar zu viel verlangt.

Es scheint auch – gerade im Umfeld von Computern und IT – langsam zur Selbstverständlichkeit zu verkommen sich um fast nichts mehr kümmern zu müssen. Aber vermutlich sind die anderen Schuld. Beispiel: Will ich heute zuhause ein Funknetzwerk in Betrieb nehmen, kaufe ich mir einen Router, stecke ihn an und in nicht wenigen Fällen ist er laut Verpackung bereits “vorkonfiguriert”. Habe ich also z.B. ein Laptop mit WLan-Adapter und entsprechenden Einstellungen, genügt es auf’s Knöpfchen zu drücken und ich bin mit dem Router verbunden. Dann noch eben über die mitgelieferte Software die Zugangsdaten des Internet-Providers eingeben und fettich is der Speck.

Dass der Nachbar hinter der Mauer mit seinem Notebook-Adapter ebenso zugreifen könnte scheint außerhalb jeder Warscheinlichkeit zu liegen. Anders kann ich es mir zumindest nicht erklären, dass in meinem Umfeld auch nach Jahren immer noch ca. 50% der Funknetzwerke unverschlüsselt sind. Die anderen 50% sind aber auch nur deshalb verschlüsselt weil AVM seine Fritz!-Boxen seit geraumer Zeit verschlüsselt ausliefert. Dass die Netzwerke immer noch Fritz!Box7050 etc. heissen beweist für mich, dass der Betreiber nicht sonderlich viel Wert auf Änderung der Standarddaten gelegt hat.

Woher kommt eigentlich diese Verantwortungslosigkeit? Ich traue mich fast wetten, dass die Betreiber von unverschlüsselten WLans auch noch den Hersteller der Funkboxen verklagen würde, wenn sich herausstellt, dass so jemand PIN und TANs beim Onlinebanking abgegriffen und das eigene Konto leer geräumt hat. Das kommt ungefähr dem Kauf einer Haustür gleich, die man hinterher aus angeblicher Unwissenheit nicht zuschließt und anschließend den Türhersteller für einen Einbruch verantwortlich macht.

Aber nochmal kurz zurück nach Berlin. Gab’s doch dann wirklich noch so Helden, die nach bekanntwerden der Passwortschnüfflereien über genau dieses unverschlüsselte WLan und die unverschlüsselte Verbindung zum Email-Server das ebenso unverschlüsselte Passwort unverschlüsselt geändert haben…

Irgendwas läuft hier schief.