Zurück   klamm-Forum > klamm.de > klamm talk

Antwort
 
LinkBack Themen-Optionen Ansicht
Alt 15.05.2007, 17:38:42   #1 (permalink)
Moderator

Reg: 20.04.2006
Beiträge: 5.061
Standard Kritik an (Daten-)Sicherheit von klamm.de

Ich eröffne diesen Thread wohlüberlegt, weil ich euch auf einige Dinge bezüglich klamm.de ansprechen möchte, die mich schon länger beschäftigen.
Ich prüfe Software gelegentlich (oft aus Langeweile *g*) auf Sicherheitslücken, Bugs, die wirklich gefährlich sein könnten, um diese zu melden, damit diese nicht mehr ausgenutzt werden können. (kleine Information am Rande, leider wird dies immer wieder vergessen: Hacker melden Bugs, Cracker nutzen diese aus - bitte merken ... )
Lange hab ich klamm dabei außer Acht gelassen, weil ich bei einer Community mit bald 300.000 Mitgliedern nicht wirklich an so schwerwiegende Bugs geglaubt hab, leider war das absolute Gegenteil der Fall.

Mittlerweile habe ich bereits (wie so oft, mit netter Hilfe von bartman ) zwei äußerst kritische Bugs gefunden (und umgehend gemeldet), mit beiden war es möglich, eine Liste sämtlicher IDs und Passwörter hier auf klamm zu erstellen. Das ganze war nichtmal auf klamm-Accounts beschränkt, EF-Accounts waren auch betroffen. Als ob das noch nicht genug wäre - sämtliche Namen bzw. Anschriften, Kontostände auf klamm und weitere Informationen, welche sich in der DB befinden, wären mit ein wenig Ratearbeit und Kreativität auch auslesbar gewesen. Ich habe (selbstverständlich) keine Accounts außer dem meinigen ausgelesen, ich denke, das sollte klar sein - denn ich will hier niemandem irgendwas böses. Natürlich auch nur Informationen, die ich selber offen einsehen kann und die für mich bestimmt sind, um das nochmal zu verdeutlichen, ich habe mir also nichts vorzuwerfen.

Meiner eigenen Meinung nach ist die Wahrscheinlichkeit, dass es weitere solcher Bugs gibt, hoch. Das ist jedoch meine subjektive Einschätzung, aufgrund einiger Fakten, die ich bisher weiß - Beweise für noch mehr Bugs habe ich (noch) nicht. Einen weiteren potentiellen Risikokandidaten habe ich bereits gefunden, muss diesen aber zunächst weiter untersuchen, um genaue Aussagen darüber Treffen zu können, ob auch hier ein Angriff möglich wäre.

Was mich nun noch weiter schockiert hat war, dass der Bug und vor allem dessen Gefährlichkeit noch nicht erkannt wurde, als ich ihn praktisch schon komplett offenbart hatte. Damit mir geglaubt wurde, dass hier Haus und Hof offenstehen, musste ich erstmal mein eigenes PW genau auslesen und anzeigen lassen ...

Ich möchte hiermit also mal offen Beschwerde darüber ablegen, nein, ich bin sogar empört darüber, wie offen hier manche Daten zu liegen scheinen. Hätte ein Angreifer / Cracker (also jemand, mit bösartigen Absichten) gesucht, bin ich mir fast sicher, dass er diese Bugs auch gefunden hätte. Den ersten Bug habe ich nämlich (zugegeben, mehr oder weniger mit Glück) in weniger als einer halben Stunde gefunden.
Dieser Angreifer hätte dann ohne Schwierigkeiten die Möglichkeit gehabt, rund 238.000 Datensätze zu stehlen - vielleicht auch die Adressen zu verkaufen oder die Passwörter zu missbrauchen.

Ich bitte daher darum, dass sich der Verantwortliche ( / die Verantwortlichen?) das ganze hier mal gründlich durch den Kopf gehen lassen, denn so kann es denke ich nicht weitergehen.


mfg
raven
 
raven ist offline   Mit Zitat antworten
Alt 15.05.2007, 17:45:13   #2 (permalink)
Administrator
Benutzerbild von klamm

ID: 20876
Lose-Remote

Reg: 20.04.2006
Beiträge: 11.015
Standard

Und was erhoffst Du Dir nun von diesem Posting außer geschäftsschädigung?

Auf Deine Hinweise hin bin ich selbstverständlich auf Suche gegangen und habe die betroffenen Stellen, welche ich gefunden habe, gefixt. Ich mache das ja nicht absichtlich ... aber eine Klammer oder sonstwas kann jeder mal vergessen.
 
klamm ist offline   Mit Zitat antworten
Alt 15.05.2007, 17:45:25   #3 (permalink)
Nukular
Benutzerbild von phil

ID: 146931
Lose-Remote

Reg: 20.04.2006
Beiträge: 1.845
Standard

Sind die Bugs denn mittlerweile behoben?
//Edit: knapp zu spät..
 
phil ist offline   Mit Zitat antworten
Alt 15.05.2007, 17:47:10   #4 (permalink)
Moderator

Reg: 20.04.2006
Beiträge: 5.061
Standard

Lukas, ich möchte hier wirklich niemanden schädigen, ich dachte, das hätte ich deutlich genug gesagt, dazu habe ich auch gar keinen Grund. Ich möchte einfach nur darauf aufmerksam machen, nicht mehr, aber auch nicht weniger. Und das ganze habe ich denke ich sachlich genug gesagt ...

Vielleicht finden sich so weitere eifrige Bugsucher?

edit:
Ja, eine Klammer kann man mal vergessen. Aber ich finde doch, das Thema ist es wert, hier angesprochen zu werden, denn es ist meiner Meinung nach doch sehr wichtig, und wenn es gleich im Doppelpack passiert, dann ist das für mich doch ein potentielles Risiko, dass das nochmal passiert.

@Phil: Ja, falls das nicht richtig rausgekommen ist - Lukas hat die Fehler umgehend behoben. Aber bei solchen Fehlern möchte ich das nicht für mich behalten, dazu sind die zu schwerwiegend.
 

Geändert von raven (15.05.2007 um 17:52:24 Uhr)
raven ist offline Threadstarter   Mit Zitat antworten
Alt 15.05.2007, 17:53:14   #5 (permalink)
Alter Benutzer

ID: 10149
Lose-Remote

bartman eine Nachricht über ICQ schicken
Reg: 07.05.2006
Beiträge: 501
Standard

Nunja Luke, als Geschaeftsschaedigung wuerde ich sowas nicht sehen. Ich seh ein, dass so ein Fehler mal passieren kann, aber gerade deine Aussage "eine Klammer kann immer mal fehlen" macht mir wirklich Sorgen. Es sollte Mechanismen geben, mit denen es garnicht erst zu solchen Problemen kommen kann. Vorallem, da SQL-Injections sich leicht verhindern lassen...

Vielleicht solltest du Klamm mal auf Herz und Nieren checken, ob sowas noch an anderen Stellen moeglich ist. Ich kann mir nichts - diesmal wirklich - geschaeftsschaedigerendes Vorstellen, als einen Cracker der sich mit saemtlichen Useraccounts einen Spass macht...
bartman ist offline   Mit Zitat antworten
Alt 15.05.2007, 17:59:06   #6 (permalink)
zu gutmütig
Benutzerbild von toni

toni eine Nachricht über ICQ schicken toni eine Nachricht über Skype™ schicken
Reg: 20.04.2006
Beiträge: 2.469
Standard

Bei der Gelegenheit hättet ihr doch mal gleich dem Losebug zu Leibe rücken können
toni ist offline   Mit Zitat antworten
Alt 15.05.2007, 17:59:30   #7 (permalink)
Administrator
Benutzerbild von klamm

ID: 20876
Lose-Remote

Reg: 20.04.2006
Beiträge: 11.015
Standard

Ich meine nur dass objektiv gesehen solch ein Thread *nichts* bringt, denn ich werde mich aufgrud dessen nicht anders verhalten. Es bringt nur, dass

a) Unmut/Panik unter den Usern verbreitet wird
b) Hacker darauf aufmerksam werden ("och ich versuchs auch mal")

Ich bin ja dankbar, wenn ihr mir solche Lücken aufzeigt.
Jede Software hat diese ... und ich werde sie immer sofort schliessen.
Aber ich finde es ist sinnvoller wenn wir das unter uns klären.
 
klamm ist offline   Mit Zitat antworten
Alt 15.05.2007, 18:02:30   #8 (permalink)
return void
Benutzerbild von ice-breaker

ID: 93995
Lose-Remote

ice-breaker eine Nachricht über ICQ schicken
Reg: 27.04.2006
Beiträge: 6.271
Standard

Zitat:
Zitat von bartman Beitrag anzeigen
Es sollte Mechanismen geben, mit denen es garnicht erst zu solchen Problemen kommen kann. Vorallem, da SQL-Injections sich leicht verhindern lassen...
[PHP/MySql] sichere Querys

hmm, ob über solche Wege der "Losebug" entstanden ist?
"Die Wahrheit entgeht dem, der nicht mit beiden Augen sieht." -Orici

www.internet-dsl-flatrate.de
ice-breaker ist offline   Mit Zitat antworten
Alt 15.05.2007, 18:02:38   #9 (permalink)
Alter Benutzer

ID: 10149
Lose-Remote

bartman eine Nachricht über ICQ schicken
Reg: 07.05.2006
Beiträge: 501
Standard

Security by obscurity?

Und gut zu wissen, dass erst was passieren muss, bevor du taetig wirst..
bartman ist offline   Mit Zitat antworten
Alt 15.05.2007, 18:04:08   #10 (permalink)
abgemeldet

Reg: 20.04.2006
Beiträge: 2.737
Standard

Na ja ich denke es ist sicherlich nicht schlecht sich mal Gedanken zu machen, wie mit Daten umgegangen werden kann oder umgegangen wird - vor allem im Internet und welche Daten man von sich (alleine im Hinblick auf den/die Betreiber) preisgeben sollte. Und Sicherheitslücken gibt's bestimmt auf der ein oder anderen Seite, aber bei einer solchen Seiten sollte man sich doch mal ernsthafte Gedanken drüber machen; vor allem bei solch sensiblen Daten (Name, Adresse).. zusätzlich auch einfach mal wieder auf Userseite die Sinne schärfen.
 
tedlemegba ist offline   Mit Zitat antworten
Alt 15.05.2007, 18:08:00   #11 (permalink)
Administrator
Benutzerbild von klamm

ID: 20876
Lose-Remote

Reg: 20.04.2006
Beiträge: 11.015
Standard

Zitat:
Zitat von bartman Beitrag anzeigen
Security by obscurity?
Und gut zu wissen, dass erst was passieren muss, bevor du taetig wirst..
hab ich das gesagt?
ich hab nur gesagt dass ich WENN ich was gemeldet bekomme, das SOFORT fixe. und ich schaue immer mal wieder über den code aber es gibt eben stellen, da übersieht man was und ist dann dankbar, wenn einen jemand drauf aufmerksam macht, OHNE das auszunutzen. und solch ein thread kommt meines erachtens gleich nach einem öffentlichen "ich habe auf loseseite X folgenden bug entdeckt .. wenn man das und das tut, kann man das und das machen" ...
 
klamm ist offline   Mit Zitat antworten
Alt 15.05.2007, 18:08:23   #12 (permalink)
Code-Frevler

ID: 118054
Lose-Remote

Reg: 20.04.2006
Beiträge: 860
Standard

@happymaster: Eben ... Was passiert, wenn die Daten zu irgendwelchen "bösen" Leuten kommen? Natürlich kann das nie ausgeschlossen werden, aber wie das oben dargestellt wird, grenzt das meiner Meinung nach schon an grobe Fahrlässigkeit.
 
Johnson ist offline   Mit Zitat antworten
Alt 15.05.2007, 18:15:44   #13 (permalink)
Mod-Mami
Benutzerbild von Schnecke

ID: 59350
Lose-Remote

Reg: 20.04.2006
Beiträge: 1.675
Standard

Also ich finde, dass hier zu viel Wind gemacht wird.

Kein Mensch, der seine persönlichen Daten einem Anmeldeformular einer Internetseite anvertraut, kann sich sicher sein, dass seine Daten dort auch vor allem geschützt sind.

Ich meine damit nicht, dass man davon ausgehen muss, dass Webseiten Fehler haben - nein, man muss immer davon ausgehen, dass Webseiten Hackerangriffen erliegen.

Und wenn die gefundenen Bugs hier sofort bereinigt wurden, dann bestärkt mich das nur in meiner Meinung, dass es kaum einen Webmaster gibt, der so schnell und gründlich reagiert wie Lukas.

Täglich verschwinden Rentner im Internet, weil sie "Alt" + "Entf." gleichzeitig drücken...
Schnecke ist offline   Mit Zitat antworten
Alt 15.05.2007, 18:16:20   #14 (permalink)
Alter Benutzer

ID: 10149
Lose-Remote

bartman eine Nachricht über ICQ schicken
Reg: 07.05.2006
Beiträge: 501
Standard

Zitat:
Zitat von klamm Beitrag anzeigen
hab ich das gesagt?
ich hab nur gesagt dass ich WENN ich was gemeldet bekomme, das SOFORT fixe.
Ich finde schon, dass du das impliziert hast. Immerhin willst du lieber nicht oeffentlich darueber reden und siehst keine Notwendigkeit, gerade bei wiederholtem Auftreten Bugs solcher art durch nen ordentlichen Code Audit aus der Welt zu schaffen. [Vorsicht, Spekulation, aber deine Aussagen lassen darauf schliessen]

Aber auch dein Umgang mit den Passwoertern spricht nicht fuer ein gesundes Sicherheitsgefuehl - daher sehe ich das alles hier auch nicht als Panikmache, sondern als Fakten auf den Tisch legen und zum Handeln auffordern.

// edit

Du hast schon recht, Schnecke. Aber es geht ja hier nicht nur um Daten wie Emailadressen usw. sondern um weit mehr. Mit diesen Bugs haette man mit einiger Arbeit ohne Schwierigkeiten auch die EF-Account kompromittieren koennen - und wenn nicht schon bei den privaten Daten das Spiel aufhoert, dann spaetestens dort.
bartman ist offline   Mit Zitat antworten
Alt 15.05.2007, 18:19:54   #15 (permalink)
zu gutmütig
Benutzerbild von toni

toni eine Nachricht über ICQ schicken toni eine Nachricht über Skype™ schicken
Reg: 20.04.2006
Beiträge: 2.469
Standard

Also Leute bleibt mal auf dem Teppich

alle (ich meine ALLE) Unwägbarkeiten von vorherein auszuschließen ist fast nicht möglich oder was meint ihr warum die Virenprogger immer schneller sind als die welche Virenscanner programmieren ?
toni ist offline   Mit Zitat antworten
Antwort

Gesponsorte Links

Anzeige


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 
Themen-Optionen
Ansicht

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks sind an
Pingbacks sind an
Refbacks sind an


Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Daten Sicherung/Sicherheit und Widerherstellung MidnightLord Software/Windows 1 09.12.2006 12:46:03
Sicherheit bei Klamm.de Kluex Verbesserungsvorschläge 14 05.10.2006 14:47:35


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:18:11 Uhr.