Sammelsurium vom 10.4.2015

heise findet ein paar Worte zur wirklich erbärmlichen Stellungnahme des BMWi zur geplanten Neuregelung zur Störerhaftung. Das ist ja sowieso eine absolut affige Erfindung: lässt sich der Verursacher einer Straftat nicht ermitteln, dann greift man sich einfach jemanden, der diese Straftat „ermöglicht“ hat. Also mit anderen Worten: Wenn Euch jemand ins Auto fährt und dann Fahrerflucht begeht, dann dürft Ihr den Betreiber der Straße verklagen, weil Ihr ja den Fahrer nicht ermitteln könnt. Oh, wait… DA geht es ja nicht.


Nochmal heise, anderes Thema. Der Hack auf TV5 könnte möglicherweise durch Zugangsdaten, die der Sender selbst in seinen Aufnahmen mitgesendet hat, erleichtert worden sein. In mindestens 2 Beiträgen waren offensichtlich Passwörter erkennbar und ich weiß gerade nicht, ob ich lachen oder weinen soll…


Die Abmahnungen zum Porno-Streamer Redtube haben Ende 2013 für reichlich Aufsehen gesorgt. Dass die Geschichte nicht mit rechten Dingen zuging war schnell klar, trotzdem hat das natürlich bei nicht wenigen für unnötige Kosten gesorgt, ganz zu schweigen von denen, die aus Unwissenheit und/oder Angst die Abmahngebühren gezahlt haben. Aber immerhin wurde der abmahnende Anwalt inzwischen zu Schadensersatz verurteilt, das Urteil ist allerdings noch nicht rechtskräftig.


Google hat den Santa Tracker als Open Source veröffentlicht. Sowohl die Web- als auch die Android-Version sind im Quellcode verfügbar. Sicher keine Wahnsinns-Anwendungen, aber trotzdem sicher für einige interessant.

village

Recht spannend finde ich in diesem Zusammenhang Polymer, womit die Web-Version entwickelt wurde. Definitiv mehr als nur einen Blick wert.


Microsoft und WordPress. Ja, wer hätte es gedacht, aber Microsoft nutzt tatsächlich in einigen Bereichen WordPress wie beispielsweise für Microsoft Europe. Guter Artikel zum Thema Microsoft, Open Source und WordPress.


 

Tags: , , , , , , , , ,

Hintergründe zum Bitcoin-Crash bei Mt. Gox (Update zum Hack)

Im Laufe des heutigen Abends brach bei Mt. Gox, dem größten virtuellen Börsenplatz für Bitcoins, der Kurs für einen Bitcoin aufgrund eines Hacks von gut 17 auf 0.01$ ein. Binnen Sekunden. Wenige Minuten später stand der Kurs wieder bei gut 14$. Ein Chart des Absturzes (inklusive der Visualisierung des Handelsvolumens) findet Ihr hier. Je größer der blaue Kreis, um so größer das Handelsvolumen.

Auf Youtube gibt es auch ein Video das zeigt, wie schnell der Kurs ins bodenlose sackte:

Ursache des Kurssturzes war, dass ein Account auf einen Schlag 500.000 Bitcoins verkauft hat. Das Handelsvolumen war so gewaltig, dass innerhalb weniger Sekunden sämtliche existierenden Kauforder erfüllt wurden. Zeitgleich wurden von diesem Account mit dem so erzielten Gewinn beim Kurs von 0.01$ wieder massiv Bitcoins zurück gekauft und anschließend versucht, die Bitcoins auf ein anderes Konto zu überweisen. Dies schlug allerdings dann fehl, da Mt. Gox maximal 1000$ pro Tag und Account an Transaktionen erlaubt (bzw. Bitcoins im entsprechenden Gegenwert). Der oder die Täter hat also maximal 1000$ mitgehen lassen. Die komplette Erklärung des Vorganges findet man bei Mt. Gox.

Dort spricht man davon, dass ein Account kompromittiert wurde, was sich zwischenzeitlich aber als absolute Fehleinschätzung herausgestellt hat. Die komplette Accountdatenbank von Mt. Gox ist nämlich inzwischen als CSV-Datei auf Rapidshare und anderen Filehostern aufgetaucht. Im Bitcoin-Forum war für kurze Zeit ein Beitrag zu finden, der auf die Downloads verlinkte. Und es handelt sich tatsächlich um die Account-Datenbank. Glücklicherweise war man dort etwas schlauer als bspw. Sony und speicherte die Passwörter nicht im Klartext in der DB, es sind salted MD5-Hashes. Dennoch ein gewaltiger Gau für Mt. Gox, zumal sich so etwas bereits ankündigte.

Spekuliert wird aktuell, woher die 500.000 Bitcoins kommen, ob sie echt waren oder nur in der Datenbank vorhanden. Mt. Gox will nun einen kompletten Rollback durchführen, wird aber sicher auf den 1000$ sowie auf einem enormen Imageverlust sitzen bleiben. Und natürlich hört man auch jetzt schon genügend Stimmen die davon sprechen, dass das wohl das Ende der Bitcoins sei. Nur muss man hier ganz klar sehen: Mt. Gox ist nichts weiter als ein Handelsplatz für Bitcoins, Mt. Gox ist nicht Bitcoin. Handelsplätze gibt es weitaus mehr (bspw. Bitcoin Market, Bitcoin7 oder TradeHill), so wie es überall auf der Welt Börsen gibt. Allerdings wird der Hack dennoch das Vertrauen in den Bitcoin für die nächste Zeit schwächen, auch weil die Berichterstattung in den nächsten Tagen sicherlich genau in diese Kerbe schlagen wird. Interessanterweise spricht aber niemand vom Ende des Dollars oder Euros, nachdem bei der Citibank 360.000 Kundenkonten gehackt wurden.

Bitcoins wurden erst in den letzten Wochen wirklich attraktiv und bekannt, nachdem alle Welt davon berichtete. Plötzlich wurden die Mining-Pools größer, plötzlich stieg das Handelsvolumen an den Handelsplätzen und natürlich auch der Wert der Bitcoins. Aus einer „Währung für Nerds“ wurde plötzlich etwas, was viele interessierte. Insofern müssen die Nerds, die Handelsplätze und dergleichen aus purem Spaß aus dem Boden gestampft haben, nun auch wesentlich professioneller werden und agieren. Das ist das, was wir aus dem heutigen Vorfall bei Mt.Gox lernen sollten.

Update: Inzwischen habe ich auch eine Mail von Mt.Gox erhalten, hier der Inhalt:

Dear Mt.Gox user,

Our database has been compromised, including your email. We are working on a quick resolution and to begin with, your password has been disabled as a security measure (and you will need to reset it to login again on Mt.Gox).

If you were using the same password on Mt.Gox and other places (email, etc), you should change this password as soon as possible.

For more details, please see this:

https://support.mtgox.com/entries/20208066-huge-bitcoin-sell-off-due-to-a-compromised-account-rollback

The informations there will be updated as our investigation progresses.

Please accept our apologies for the troubles caused, and be certain we will do everything we can to keep the funds entrusted with us as secure as possible.

The leaked data includes the following:

– Account number
– Account login
– Email address
– Encrypted password

While the password is encrypted, it is possible to bruteforce most passwords with time, and it is likely bad people are working on this right now.

Any unauthorized access done to any account you own (email, mtgox, etc) should be reported to the appropriate authorities in your country.

Thanks,
The Mt.Gox team

Zumindest reagiert man relativ zeitnah und kehrt nichts unter den Teppich.

Update 2: Inzwischen tauchen offenbar die ersten Spuren des Angreifers auf. Im Forum von InsidePro (einer Password Recovery Software) stellte ein User „georgeclooney“ schon seit Anfang Mai dem 16.6. stapelweise MD5-Hashes ein und bat um Unterstützung beim knacken. Fast alle von mir stichprobenartig geprüften Hashes aus seinen Listen finden sich auch in der CSV-Datei, die veröffentlicht wurde. Und dabei musste ich feststellen, dass offenbar nicht alle Passwörter als salted Hash gespeichert wurden, sondern auch jede Menge Standard-MD5 Hashes enthalten sind. Mehrere Hashes wurden im InsidePro-Forum auch geknackt und die zugehörigen Passwörter wurden geposted. Es ist also ziemlich sicher, dass der Angreifer wesentlich mehr als nur ein Konto bei Mt. Gox kompromittieren konnte.

Update 3: Die Accountdaten von Mt. Gox wurden bereits am Samstag bei Pastebin zum Verkauf angeboten:

I have hacked into mtgox database. Got a huge number of logins password combos.Mtgox has fixed the problem now. Too late, cause I’ve already got the data.
Will sell the database for the right price.Send your offers to:gfc06@hotmail.com

Laut DailyTech wird der Angreifer in Hong Kong vermutet, zumindest verwies seine IP-Adresse dorthin. Auch scheinen diverse Bitcoin-Diebstähle (auch bei Mt. Gox) mit dem Vorfall in Zusammenhang zu stehen.

Update 4: Die oben bereits verlinkte Erklärung von Mt. Gox wurde inzwischen mehrfach aktualisiert und dort findet sich auch eine Erläuterung dafür, dass viele Passwörter nur als MD5-Hash gespeichert waren:

Two months ago we migrated from MD5 hashing to freeBSD MD5 salted hashing. The unsalted user accounts in the wild are ones that haven’t been accessed in over 2 months and are considered idle. Once we are back up we will have implemented SHA-512 multi-iteration salted hashing and all users will be required to update to a new strong password.

Darüber hinaus arbeite man mit Google zusammen, Googlemail-Accounts, die mit Mt.Gox-Konten verbunden waren, wurden zurückgesetzt und die Inhaber dieser Mailaccounts müssen ihr Konto neu verifizieren. Die ersten User berichten bereits von zurückgesetzten Passwörtern in ihren Googlemail-Konten.
Inzwischen wurden auch die ersten Mails an die Adressen aus dem Account-Dump versendet. Inhalt:

A few hours ago the Bitcoin trading website Mt Gox has been hacked. Malicious individuals have been able to obtain a database containing usernames, email address and encrypted passwords. This information has been posted publicly on the internet.

As a Bitcoin supporter I’m now sending a message to every email address contained in the hacked database. This is to warn you that your username, email address and password have been leaked. I therefore strongly advice you to change your passwords. If you have used the same password on different websites it’s highly recommended to change your password on all of your accounts!

For a more secure alternative to Mt Gox, the community appears to be moving to TradeHill. So this is no reason to lose faith in Bitcoin itself. It must be seen as a warning that not every website can be trusted with your data however! Their link is http://www.tradehill.com/?r=xxxxxx (Note: You can remove the Referral Code when registering if you want!) This is certainly not the only website where you can exchange Bitcoins, also check out http://www.thebitcoinlist.com/dp_bitcoin/bitcoin-exchange/

Es ist sicherlich nur eine Frage der Zeit, bis Mails mit Links zu irgendwelchen obskuren Tools oder speziellen Attachments bei diesen Adressen landen.
Korrektur: Diese Mails sind bereits im Umlauf:

Dear Mt.Gox user,

Our database has been compromised, how you already know.

To protect your account in the future, please download  the Certificate (self-extracting archive) from Attachment and install it.

If you were using the same password on Mt.Gox and other places (email, mybitcoin.com, etc), you should change this password as soon as possible.

Please accept our apologies for the troubles caused, and be certain we will do everything we can to keep the funds entrusted with us as secure as possible.

Any unauthorized access done to any account you own (email, mtgox, etc) should be reported to the appropriate authorities in your country.

Thanks,
The Mt.Gox team

Es ist hoffentlich überflüssig zu erwähnen, dass man dieses Attachment NICHT herunterladen oder gar installieren sollte…

Update 5: Mt.Gox hatte bereits eine kurze Information dazu verfasst, wie der Angreifer an die Accountdaten gelangt ist, ich hatte aber vergessen, das zu erwähnen. Hole ich hiermit nach:

It appears that someone who performs audits on our system and had read-only access to our database had their computer compromised. This allowed for someone to pull our database.

Man beruft sich also darauf, dass ein direkter Zugriff auf die Datenbank für den Angreifer nicht möglich war, sondern der Rechner einer Person, die einen Audit durchführte, mit Malware infiziert war. Und auf diesem Wege konnte der Angreifer auf die Datenbank zugreifen. Klingt schon nach ein paar komischen Zufällen wenn ich ehrlich sein soll, aber OK.  Warten wir mal ab,welche Informationen noch bekannt werden.

Tags: , , , ,

Twitter defaced (Update)

Letzte Nacht ging bei Twitter gar nichts mehr und die Seite sah für ein paar Stunden so aus:

twitterhack

Offensichtlich war also ein Hack die Ursache des Ausfalls und die Seite wurde defaced.

Aktuell gibt es kaum Informationen zu dieser Aktion, der Service wurde allerdings inzwischen wiederhergestellt. Es ist allerdings noch unbekannt, ob über das Defacement hinaus weitere Services von Twitter angegriffen wurden. Demzufolge ist es angeraten, schleunigst die Passwörter zu ändern, denn ein Zugriff auf die Datenbanken kann nicht ausgeschlossen werden.

Selbst wenn Passwörter nicht im Klartext in der Datenbank gespeichert wurden (üblicherweise findet man dort anstelle des Passwortes einen Hash-Wert), können „simple“ Passwörter relativ schnell gefunden werden: Der Hash-Algorithmus ist bekannt, somit lässt man eine Wortliste hashen und vergleicht die Ergebnisse mit den Hashs in der Datenbank. Ist schnell gescriptet und außer ein wenig Geduld braucht man dann nicht mehr viel.

Update: Scheinbar handelt es sich nicht um einen direkten Hack der Twitter-Dienste, sondern die DNS-Einträge wurden manipuliert. Sagt zumindest Twitter. In so einem Fall würden alle Zugriffe auf twitter.com nicht auf dem gewohnten Server landen, sondern umgeleitet zu einem Server, auf dem sich die oben abgebildete Seite befindet. Ob an diesen DNS-Manipulationen etwas dran ist, kann aktuell noch niemand bestätigen.

Update 2: Inzwischen hat es sich bestätigt, dass das Defacement auf DNS Hijacking zurück zu führen war. Die Seite selbst war offenbar zu keiner Zeit direkt im Zugriff der Angreifer, lediglich DNS-Anfragen zur Auflösung der Domain twitter.com wurden falsch beantwortet und Besucher somit umgeleitet.

Tags: , , ,

OMG – Mein Blog wurde gehacked???

Dieser Gedanke schoß mir eben durch den Kopf und mir wurde plötzlich ganz anders. Was war passiert?

Zufälligerweise habe ich mal wieder ganz nach unten gescrollt und aufgrund eines weiteren, noch viel größeren Zufalls habe ich unten im Footer auf die Theme-Links geschaut. Und was musste ich dort sehen?

peppig.jpg

Peppig? Seit wann steht dort bitteschön PEPPIG???? WER WAR DAS???

OK, fix auf den Server, Templatedatei angeschaut und etwas irritiert geguckt. Da steht kein „Peppig“ drin. Hmm, irgendein Script möglicherweise? Weiter gesucht. Und irgendwann fällt mir doch im Template folgender Bereich auf:

<?php _e('Fresh'); ?>

Damit wären wir also beim 2. „OMG!!!“… Denn was macht das _e in einem Template? Richtig! Es zeigt an, dass der folgende Begriff aus der jeweiligen Sprachdatei zu holen ist, um es mal ganz simpel auszudrücken. Nachdem ich die Original-Templatedateien angeschaut habe musste ich feststellen: Das steht da schon immer so drin. Nur ist offenbar mit einer der letzten WordPress-Versionen eine Übersetzung des Wortes „Fresh“ in die Lokalisierung eingeflossen – für „Fresh“ erscheint nun dort die Übersetzung „Peppig“.

Also: Kein Hack, eigene Dussligkeit. Und das Beste daran ist: Quer durch Deutschland erscheint nun dieses „Peppig“ in allen möglichen Blogs, denn meine Variante dieses Themes ist ja inzwischen doch ziemlich verbreitet. Wie genau es dazu kam, dass der Eintrag so erfolgte ist mir nicht mehr ganz klar, entweder hab ich da extrem daneben gelegen oder aber es existierte bereits so in der Orignal-Variante und ist mir bei meinen Anpassungen schlicht und ergreifend nicht aufgefallen.

Nun, am Wochenende werde ich dann also mal die Downloads überarbeiten, um da den Fehler auch noch zu beseitigen. Manchmal könnte ich mich aber auch… 😉

Tags: , , ,