Heise berichtete gestern übere eine äußerst schwerwiegende Sicherheitslücke in aktuellen PHP-Versionen. Der Fehler tritt auf, wenn PHP im CGI-Modus betrieben wird und erlaubt es, PHP-Dateien im Quellcode zu sehen. Damit können beispielsweise hinterlegte Zugangsdaten für Datenbanken ausgelesen werden. Zudem ist es möglich, mithilfe dieser Lücke Code einzuschleusen und auf dem Server auszuführen, was das Problem noch schwerwiegender macht.
Durch das Übermitteln von Parametern in der URL kommt es dazu, dass PHP im CGI-Modus diese als Kommandozeilenparameter interpretiert und entsprechend nutzt. Durch die URL
http://localhost/index.php?-s
wird PHP beispielsweise mit der Option -s ausgeführt, der Quellcode der PHP-Datei wird als HTML ausgegeben.
Inzwischen wurden bereits Patches zur Verfügung gestellt, die Versionen 5.3.12 und 5.4.2 schließen die beschriebene Lücke. Wer die Updates noch nicht einspielen kann, sollte die Queries zunächst filtern. Der folgende Eintrag in der .htaccess Datei macht das möglich:
Telekom-Kunden, die den WLAN-Router W 921V nutzen, können sich über ein schickes Hintertürchen freuen, welches das WLAN für jeden potentiellen Interessenten zugänglich macht. Mit anderen Worten: die Geräte sind sperrangelweit offen. (hier der Link zur Diskussion im Telekom-Forum, der dort veröffentlichte Standard-PIN wurde mittlerweile aus dem Beitrag gelöscht)
Ausgeliefert werden die Geräte mit einem vorkonfigurierten WPA2-Schlüssel, soweit nichts ungewöhnliches. WPS per PIN ist in der Grundkonfiguration abgeschaltet, aktiv ist lediglich die Push-Button-Methode (man betätigt einen kleinen Schalter auf der Rückseite des Geräts und WPS wird kurzzeitig aktiviert). Zumindest wird dem Benutzer das so in den Einstellungen angezeigt. Scheinbar sicher also.
In Wahrheit jedoch ist WPS via PIN immer aktiv, unabhängig von den Einstellungen, selbst wenn WPS komplett abgeschaltet wurde. Zudem funktioniert auf allen Geräten ein einheitlicher Standard-PIN, vollkommen egal, welcher PIN konfiguriert wurde. Und dieser Standard-Pin für die W921v lässt sich ziemlich easy per Google herausfinden. Jetzt wird nur noch ein WPS-fähiges WLAN-Gerät benötigt welches ein Tool für die WPS-PIN-Methode mitliefert, beim Verbindungsaufbau die Standard-PIN eingeben und binnen weniger Sekunden ist die schöne WPA2-Verschlüsselung hinfällig, man ist im WLAN. Und dafür wird nicht einmal Know How benötigt. Ein Firmware-Update ist noch nicht verfügbar, einzige Lösung bisher: WLAN deaktivieren.
Laut Golem sind die Speedports W 504V und W 723V von einem ähnlichen Problem betroffen, hier soll allerdings das Deaktivieren von WPS ausreichen. Prüft das aber besser selbst noch einmal, wenn Ihr eins dieser Geräte einsetzt.
Update: Die Telekom hat inzwischen die Beta eines Firmware-Updates für den Speedport W 921v bereit gestellt. Damit soll die beschriebene Lücke beseitigt werden.
Im Laufe des heutigen Abends brach bei Mt. Gox, dem größten virtuellen Börsenplatz für Bitcoins, der Kurs für einen Bitcoin aufgrund eines Hacks von gut 17 auf 0.01$ ein. Binnen Sekunden. Wenige Minuten später stand der Kurs wieder bei gut 14$. Ein Chart des Absturzes (inklusive der Visualisierung des Handelsvolumens) findet Ihr hier. Je größer der blaue Kreis, um so größer das Handelsvolumen.
Auf Youtube gibt es auch ein Video das zeigt, wie schnell der Kurs ins bodenlose sackte:
Ursache des Kurssturzes war, dass ein Account auf einen Schlag 500.000 Bitcoins verkauft hat. Das Handelsvolumen war so gewaltig, dass innerhalb weniger Sekunden sämtliche existierenden Kauforder erfüllt wurden. Zeitgleich wurden von diesem Account mit dem so erzielten Gewinn beim Kurs von 0.01$ wieder massiv Bitcoins zurück gekauft und anschließend versucht, die Bitcoins auf ein anderes Konto zu überweisen. Dies schlug allerdings dann fehl, da Mt. Gox maximal 1000$ pro Tag und Account an Transaktionen erlaubt (bzw. Bitcoins im entsprechenden Gegenwert). Der oder die Täter hat also maximal 1000$ mitgehen lassen. Die komplette Erklärung des Vorganges findet man bei Mt. Gox.
Dort spricht man davon, dass ein Account kompromittiert wurde, was sich zwischenzeitlich aber als absolute Fehleinschätzung herausgestellt hat. Die komplette Accountdatenbank von Mt. Gox ist nämlich inzwischen als CSV-Datei auf Rapidshare und anderen Filehostern aufgetaucht. Im Bitcoin-Forum war für kurze Zeit ein Beitrag zu finden, der auf die Downloads verlinkte. Und es handelt sich tatsächlich um die Account-Datenbank. Glücklicherweise war man dort etwas schlauer als bspw. Sony und speicherte die Passwörter nicht im Klartext in der DB, es sind salted MD5-Hashes. Dennoch ein gewaltiger Gau für Mt. Gox, zumal sich so etwas bereits ankündigte.
Spekuliert wird aktuell, woher die 500.000 Bitcoins kommen, ob sie echt waren oder nur in der Datenbank vorhanden. Mt. Gox will nun einen kompletten Rollback durchführen, wird aber sicher auf den 1000$ sowie auf einem enormen Imageverlust sitzen bleiben. Und natürlich hört man auch jetzt schon genügend Stimmen die davon sprechen, dass das wohl das Ende der Bitcoins sei. Nur muss man hier ganz klar sehen: Mt. Gox ist nichts weiter als ein Handelsplatz für Bitcoins, Mt. Gox ist nicht Bitcoin. Handelsplätze gibt es weitaus mehr (bspw. Bitcoin Market, Bitcoin7 oder TradeHill), so wie es überall auf der Welt Börsen gibt. Allerdings wird der Hack dennoch das Vertrauen in den Bitcoin für die nächste Zeit schwächen, auch weil die Berichterstattung in den nächsten Tagen sicherlich genau in diese Kerbe schlagen wird. Interessanterweise spricht aber niemand vom Ende des Dollars oder Euros, nachdem bei der Citibank 360.000 Kundenkonten gehackt wurden.
Bitcoins wurden erst in den letzten Wochen wirklich attraktiv und bekannt, nachdem alle Welt davon berichtete. Plötzlich wurden die Mining-Pools größer, plötzlich stieg das Handelsvolumen an den Handelsplätzen und natürlich auch der Wert der Bitcoins. Aus einer „Währung für Nerds“ wurde plötzlich etwas, was viele interessierte. Insofern müssen die Nerds, die Handelsplätze und dergleichen aus purem Spaß aus dem Boden gestampft haben, nun auch wesentlich professioneller werden und agieren. Das ist das, was wir aus dem heutigen Vorfall bei Mt.Gox lernen sollten.
Update: Inzwischen habe ich auch eine Mail von Mt.Gox erhalten, hier der Inhalt:
Dear Mt.Gox user,
Our database has been compromised, including your email. We are working on a quick resolution and to begin with, your password has been disabled as a security measure (and you will need to reset it to login again on Mt.Gox).
If you were using the same password on Mt.Gox and other places (email, etc), you should change this password as soon as possible.
The informations there will be updated as our investigation progresses.
Please accept our apologies for the troubles caused, and be certain we will do everything we can to keep the funds entrusted with us as secure as possible.
While the password is encrypted, it is possible to bruteforce most passwords with time, and it is likely bad people are working on this right now.
Any unauthorized access done to any account you own (email, mtgox, etc) should be reported to the appropriate authorities in your country.
Thanks,
The Mt.Gox team
Zumindest reagiert man relativ zeitnah und kehrt nichts unter den Teppich.
Update 2: Inzwischen tauchen offenbar die ersten Spuren des Angreifers auf. Im Forum von InsidePro (einer Password Recovery Software) stellte ein User „georgeclooney“ schon seit Anfang Mai dem 16.6. stapelweise MD5-Hashes ein und bat um Unterstützung beim knacken. Fast alle von mir stichprobenartig geprüften Hashes aus seinen Listen finden sich auch in der CSV-Datei, die veröffentlicht wurde. Und dabei musste ich feststellen, dass offenbar nicht alle Passwörter als salted Hash gespeichert wurden, sondern auch jede Menge Standard-MD5 Hashes enthalten sind. Mehrere Hashes wurden im InsidePro-Forum auch geknackt und die zugehörigen Passwörter wurden geposted. Es ist also ziemlich sicher, dass der Angreifer wesentlich mehr als nur ein Konto bei Mt. Gox kompromittieren konnte.
Update 3: Die Accountdaten von Mt. Gox wurden bereits am Samstag bei Pastebin zum Verkauf angeboten:
I have hacked into mtgox database. Got a huge number of logins password combos.Mtgox has fixed the problem now. Too late, cause I’ve already got the data.
Will sell the database for the right price.Send your offers to:gfc06@hotmail.com
Laut DailyTech wird der Angreifer in Hong Kong vermutet, zumindest verwies seine IP-Adresse dorthin. Auch scheinen diverse Bitcoin-Diebstähle (auch bei Mt. Gox) mit dem Vorfall in Zusammenhang zu stehen.
Update 4: Die oben bereits verlinkte Erklärung von Mt. Gox wurde inzwischen mehrfach aktualisiert und dort findet sich auch eine Erläuterung dafür, dass viele Passwörter nur als MD5-Hash gespeichert waren:
Two months ago we migrated from MD5 hashing to freeBSD MD5 salted hashing. The unsalted user accounts in the wild are ones that haven’t been accessed in over 2 months and are considered idle. Once we are back up we will have implemented SHA-512 multi-iteration salted hashing and all users will be required to update to a new strong password.
Darüber hinaus arbeite man mit Google zusammen, Googlemail-Accounts, die mit Mt.Gox-Konten verbunden waren, wurden zurückgesetzt und die Inhaber dieser Mailaccounts müssen ihr Konto neu verifizieren. Die ersten User berichten bereits von zurückgesetzten Passwörtern in ihren Googlemail-Konten.
Inzwischen wurden auch die ersten Mails an die Adressen aus dem Account-Dump versendet. Inhalt:
A few hours ago the Bitcoin trading website Mt Gox has been hacked. Malicious individuals have been able to obtain a database containing usernames, email address and encrypted passwords. This information has been posted publicly on the internet.
As a Bitcoin supporter I’m now sending a message to every email address contained in the hacked database. This is to warn you that your username, email address and password have been leaked. I therefore strongly advice you to change your passwords. If you have used the same password on different websites it’s highly recommended to change your password on all of your accounts!
For a more secure alternative to Mt Gox, the community appears to be moving to TradeHill. So this is no reason to lose faith in Bitcoin itself. It must be seen as a warning that not every website can be trusted with your data however! Their link is http://www.tradehill.com/?r=xxxxxx (Note: You can remove the Referral Code when registering if you want!) This is certainly not the only website where you can exchange Bitcoins, also check out http://www.thebitcoinlist.com/dp_bitcoin/bitcoin-exchange/
Es ist sicherlich nur eine Frage der Zeit, bis Mails mit Links zu irgendwelchen obskuren Tools oder speziellen Attachments bei diesen Adressen landen. Korrektur: Diese Mails sind bereits im Umlauf:
Dear Mt.Gox user,
Our database has been compromised, how you already know.
To protect your account in the future, please download the Certificate (self-extracting archive) from Attachment and install it.
If you were using the same password on Mt.Gox and other places (email, mybitcoin.com, etc), you should change this password as soon as possible.
Please accept our apologies for the troubles caused, and be certain we will do everything we can to keep the funds entrusted with us as secure as possible.
Any unauthorized access done to any account you own (email, mtgox, etc) should be reported to the appropriate authorities in your country.
Thanks,
The Mt.Gox team
Es ist hoffentlich überflüssig zu erwähnen, dass man dieses Attachment NICHT herunterladen oder gar installieren sollte…
Update 5: Mt.Gox hatte bereits eine kurze Information dazu verfasst, wie der Angreifer an die Accountdaten gelangt ist, ich hatte aber vergessen, das zu erwähnen. Hole ich hiermit nach:
It appears that someone who performs audits on our system and had read-only access to our database had their computer compromised. This allowed for someone to pull our database.
Man beruft sich also darauf, dass ein direkter Zugriff auf die Datenbank für den Angreifer nicht möglich war, sondern der Rechner einer Person, die einen Audit durchführte, mit Malware infiziert war. Und auf diesem Wege konnte der Angreifer auf die Datenbank zugreifen. Klingt schon nach ein paar komischen Zufällen wenn ich ehrlich sein soll, aber OK. Warten wir mal ab,welche Informationen noch bekannt werden.
Google hat gestern erstaunlich schnell reagiert und wenige Minuten nach einem entsprechenden Hinweis zunächst 21 Apps aus dem Android-Market entfernt. Diese Apps verschafften sich Root-Rechte auf den betroffenen Geräten, sammelten Daten und installierten zum Teil Backdoors. Sie waren außerdem in der Lage, Code nachzuladen und zu installieren, am Benutzer vorbei.
Insgesamt gut 50.000 mal sollen die 21 Apps bis dahin installiert gewesen sein. Kurze Zeit später wurden über 30 weitere Apps gemeldet, meine Stichproben zeigen, dass diese inzwischen ebenfalls nicht mehr im Market verfügbar sind. Ob die Installationen per Kill-Switch von den Geräten entfernt werden, ist im Moment noch unbekannt.
Die komplette Liste der gefundenen Apps gibt es übrigens bei Android Police, die die Malware entdeckt und an Google gemeldet haben. In diesem Zusammenhang macht plötzlich auch die Übernahme von Zynamics durch Google mehr Sinn, die Bochumer sind auf Reverse Engineering zu Analysezwecken von Binär- und Bytecode spezialisiert.
