Mit Sicherheit hat schon jeder mitbekommen, was beim sozialen Netzwerk von Haefft passiert ist. Deswegen nur kurz zusammengefasst:
Der CCC hat im Sozialen Netzwerk von Haefft schwerwiegende Sicherheitslücken gefunden, die kaum zu übertreffen sind. Die Daten aller dort angemeldeten Schüler waren für jeden, der die Sicherheitslücke entdeckt hat, frei zugänglich.
Konkret hat es sich um folgende Schwachstellen gehandelt:
Passwörter wurden im Klartext in der Datenbank gespeichert. Nicht als Hash und somit natürlich auch ohne Salt.
Keine verschlüsselte Anmeldung. D.h. Username und Passwort wurden unverschlüsselt über das Internet übertragen
Eingabedaten wurden ungefiltert an die Datenbank übertragen.
Doch das waren noch nicht genug Anfängerfehler. Jetzt kommt, wie ich finde, der eigentliche Hammer:
Passwörter wurden mit dem ILIKE-Operator überprüft.
Zudem wurden sie [die Passwörter] mit dem ILIKE-Operator nur auf Ähnlichkeit verglichen, so daß sich die Paßwort-Abfrage mit einfachsten Mitteln umgehen ließ.
Wie die Überprüfung genau stattgefunden hat, weiß ich natürlich nicht. Ich kenne deren Quelltext nicht. Aber man möge sich nur mal vorstellen, was die Programmierer sich bei der Passwort-Abfrage gedacht haben:
“Wenn der Nutzer ein Passwort eingibt, was so oder so ähnlich aussieht, wie das was wir unverschlüsselt in der Datenbank gespeichert haben, dann ist er erfolgreich authentifiziert.”
Ja, wie kommt man denn darauf? Authentifizierung mit Hilfe von Wahrscheinlichkeiten?
“Authentifiziere dich mit dem User aus der unverschlüsselten Datenbank, der dem eingegebenen Datensatz am ehesten entspricht.” Oder was?
Ernsthaft, wie kommt man auf die Idee ein Passwort mit einem ILIKE zu überprüfen? Gibt es da evtl. sinnvolle Einsatzzwecke, die ich nicht kenne? Ich bezweifle es.
Der CCC frägt sich, angesichts der immer wiederkehrenden Datenskandale, zurecht inwiefern und ob man überhaupt sozialen Netzwerken sein Vertrauen schenken darf. Haefft verliert jetzt hoffentlich all seine Nutzer.
Ich zähle mich definitiv nicht zu Generation C64 – höchstens zur Generation Windows 95. (ohje, hab ich das wirklich geschrieben??)… Trotzdem schreibe ich diesen Blogpost, um das Video bekannter und die Demo größer zu machen:
Am 12.09.2009 findet eine Großdemonstration in Berlin statt. Thema: Freiheit statt Angst.
Ich hatte vor einiger Zeit schonmal einen Artikel über die Mögliche Domain-Rückwärtssuche mit Google geschrieben.
Ich hatte im Hintergrund eine Anfrage an die zuständige Datenschutzstelle gestellt. Da die Firma EuroDNS in Luxemburg gemeldet ist auch der dortige Datenschutz zuständig.
Heute habe ich eine Antwort bekommen und bin leider etwas enttäuscht.
Wie mir jetzt die zuständige Datenschutzbehörde bestätigt hat, ist eine Domain Inverssuche datenschutzrechtlich bedenklich und ohne Zustimmung des Betroffenen eindeutig nicht rechtmäßig.
ABER (ja, das große Aber): Da EuroDNS selbst eine solche Inverssuche (Rückwärtssuche) ja nicht anbietet, sondern nur durch dümmliche Konfigurationsfehler Google das indizieren von solchen Daten erlaubt, kann die Datenschutzbehörde nichts tun.
Fazit: Eigentlich müssen die Daten, die Google da indiziert, geschützt werden. Da aber EuroDNS zu dumm und Google zu gierig ist, bleibt der Datenschutz auf der Strecke.
Die automatisierte Nutzung unserer Abfragen (z.B. durch Scripte o.ä.) ist nicht gestattet und wird
rechtlich verfolgt! Alle Zugriffe werden geloggt! Alle Angaben ohne Gewähr.
Dieses Zitat stammt von whois.de – einer Webseite die die Möglichkeite bietet whois-Abfragen per Webseite zu stellen.
Dazu gibt man einfach die Domain an und die Webseite liefert die kompletten Whois-Daten des Domain-Registrars zurück. D.h. Name, Adresse, Ort, Telefonnummer, E-Mail,… Normalerweise ist das kein Problem. Diesen Service gibt es ja schon ewig, z.B. als Konsolenbefehl für Linux. Um Suchmaschinen davon abzuhalten, dass sie verlinkte Suchergebnisse in Ihren Index aufnehmen, wurde die robots.txt angepasst:
Mit der mittleren Zeile wird verhindert, dass verlinkte Suchergebnisse im Suchmaschinenindex laden. Was für ein Witz, denn unter der Domain
http://www.whois.de/currentWhois
bietet whois.de ihren kompletten “Whois Index” an. D.h. alle jemals bei whois.de abgefragten Domains.
Das bedeutet, dass jede Suchmaschine daran gehindert verlinkte Suchergebnisse im Index zu speichern, es aber erlaubt ist alle jemals abgefragten Domains von whois.de im Suchmaschinenindex zu speichern.
Um das mal zu verdeutlichen: Vor 24 Stunden habe ich eine Domain abgefragt, die whois.de bis dahin nicht kannte. Sofort nach dem Abruf ist die Domain auf Seite 1 im Whois Index erschienen (also unter www.whois.de/currentwhois , da wo Google alles speichern darf). Jetzt, 24 Stunden später, sind genau 1290 neue Domains im Whois Index gelandet: 1290 neue Domains und Menschen, die man über Google finden kann:
inurl:whois.de/currentwhois NAME
Als Beispiel habe ich einen beliebigen Namen genommen und mit dem Dork danach gesucht. Ergebnis: Der Betroffene hat einige Domains zu folgenden Themen reserviert: Kredit, Sport (insb. Fußball), Sex. In dem Fall ist das wahrscheinlich jemand der Domains teuer weiterverkaufen will. Das zeigt deutlich wohin das führen kann.
Viel wichtiger: Was kann man dagegen tun? Kaum etwas. Google sperrt Seiten ja scheinbar nur sehr selten, wenn man vorher keinen Kontakt mit dem Betreiber der Webseite hatte. D.h. man müsste whois.de (oder EuroDNS?) kontaktieren und verlangen, dass /currentwhois auch in die robots.txt aufgenommen wird. EuroDNS antwortet aber natürlich nicht… wer hätte das gedacht
Vielleicht finden sich ja ein paar Leute, die Ahnung zur rechtlichen Situation haben. Insbesondere in Bezug auf den Datenschutz der Betroffenen…
Etwas reißerisch die Überschrift, ich weiß Aber was die Bild kann, kann ich schon lange.^^
Inzwischen ist es ja so, dass alle Gesetze die die Bürger Deutschlands in ihren Grundrechten einschränken könnten, mit dem Argument der Terrorismusabwehr durch den Bundestag und auch durch den Bundesrat geboxt werden.
Da geht es um das “Bundesamt für Sicherheit in der Informationstechnik” (BSI). Dessen Aufgaben, Pflichten, usw …
Dieses Gesetz will das Bundesinnenministerium nun aktualisieren – soweit so gut. Nun gibt es aber, in der Novelle zum BSI Gesetz versteckt, eine Änderung des Telemediengesetz – dieses Gesetz hat scheinbar nichts mit dem BSI-Gesetz zu tun – trotzdem stehen dessen Änderungen im gleichen Papier wie die des BSI-Gesetzes. Im Telemediengesetz geht es um Pflichten von Webseitenbetreibern.
Nun schreiben die drei Quellen über diese Gesetzesänderungen. Die folgenden Zitate beziehen sich auf die Änderungen im Telemediengesetz (Speicherung von Nutzdaten (z.B. Wer wann welches Bild im StudiVZ anklickt) unter dem Vorwand der “Absicherung der IT-Infrastruktur”) :
Mir ist es erst letztens passiert: Ich habe meinen USB-Stick verloren – entweder an einem Rechner stecken lassen oder er ist mir aus der Tausche gefallen. Zum Glück waren keine wichtigen Daten drauf. Trotzdem habe ich danach nach einer Möglichkeit gesucht die Daten auf dem USB Stick zu verschlüsseln. Vorraussetzung war, dass ich auf die Daten zugreifen kann, ohne Adminrechte zu haben. Das war das Aus für TrueCrypt, denn ohne Adminrechte kann Truecryt seine Treiber nicht laden. Bisher habe ich leider noch nichts passendes gefunden.
Umso mehr freut mich, dass Microsoft das jetzt endlich gerafft hat und mit Windows 7 Bitlocker für USB Sticks einführt:
Der IE8 bringt ein neues Feature mit: Vorgeschlagene Sites. Da werden die besuchten Seiten (vollständige URL mit Parametern), IP-Adresse, dem Browsertyp sowie den Gebietsschema- und Spracheinstellungen an Microsoft übertragen. Dort werden die Informationen gespeichert und ausgewertet und man bekommt dann Vorschläge für Seiten, die den besuchten ähneln.
Aber was die Bild kann, kann ich schon lange.^^