Als ich grad bei Metty wieder davon las fiel mir wieder ein, dass ich auf diesen Exploit noch hinweisen wollte. Er kursiert schon länger und funktioniert leider auch noch unter WordPress 2.06. Der Exploit setzt an der wp-trackback.php an, weitere Details möchte ich hier nicht veröffentlichen, habe an einigen Stellen schon mehr Informationen gefunden.

Eine Vorraussetzung, dass dieser Exploit auch für Eure WordPress-Installation gefährlich werden könnte ist, dass der PHP-Paramter register_globals auf on steht. Dies könnt Ihr zum Einen in der php.ini sehen, sofern Ihr darauf Zugriff habt, zum anderen über die Funktion phpinfo() überprüfen. Sollte bei Euch der Parameter auf on gesetzt sei, schleunigst ändern oder dem Hoster Bescheid geben, dass er die Änderungen vornimmt. Sollte dieser nicht schnell genug reagieren, benennt temporär Eure wp-trackback.php um, auch wenn dann vorübergehend Trackbacks nicht funktionieren. Ist in jedem Fall das kleinere Übel.

Der Exploit basiert im übrigen auf SQL Injection, eigentlich keine neue Sache. Deshalb ist es besonders ärgerlich, dass er immer noch funktioniert. Version 2.07 von WordPress soll das Problem nun wohl endlich beheben, Release Candidate 1 ist bereits verfügbar (von einer Installation in der Produktivumgebung rate ich allerdings ab!).

Autsch! Lese gerade von einer relativ neuen XSS-Sicherheitslücke in WordPress bis Version 2.05.

Das Problem ist fehlerhafter Code in der Datei templates.php (Ordner wp-admin), eine Kurzanleitung zum schließen der Lücke findet Ihr in diesem Beitrag. Ich empfehle, wirklich schnell Abhilfe zu schaffen, dass Problem ist schon seit ein paar Tagen bekannt und es existiert bereits eine Beschreibung für einen Exploit.

Eine neue WordPress-Version (2.06) ist mittlerweile ebenfalls verfügbar und beinhaltet bereits diesen Bugfix, wer aber lieber auf das deutsche Update warten möchte, sollte die oben verlinkten Änderungen unbedingt vornehmen oder zieht sich im WordPress-trac die geänderte templates.php.

Wenn ich die Meldungen der letzten Wochen jetzt zum Jahresende mal ein wenig Revue passieren lasse, dann kommt mir als erstes ein spezielles Thema in den Sinn: die Fernüberwachung privater PCs aka Online-Hausdurchsuchung. Nordrhein Westfalen hat bereits ein Gesetz verabschiedet, welches diese Handlungen erlaubt und keine Sau interessiert es. Nun will auch Niedersachsen nachziehen, weitere Bundesländer werden sicherlich folgen. Nebenbei bemerkt find ich es erstaunlich, dass diesmal nicht Bayern Vorreiter ist, aber das ist nebensächlich.

Tatsächlich ist in den letzten Wochen viel Müll verbreitet worden, was die Methoden des Eindringens in PCs angeht, viele Meldungen erwecken den Anschein, es würde ein Über-Trojaner entwickelt werden, der „mal eben“ einem potentiellen Terroristen untergejubelt wird und dann auf dessen PC anschlagsvorbereitung.doc und sprengsatzkostenanalyse.xls findet und die Inhalte an die Behörden weiterreicht. Dass dies größtenteils Schwachsinn ist, konnte man mittlerweile nun ebenfalls nachlesen, wenn der gesunde Menschenverstand oder das Know How für diese Erkenntnis nicht ausreichte.

Nachdenklich macht mich in diesem Zusammenhang allerdings der zeitliche Ablauf diverser Ereignisse. Im September verabschiedete das Bundeskabinett den Regierungsentwurf eines Strafrechtsänderungsgesetzes zur Bekämpfung der Computerkriminalität. Darin enthalten ist beispielsweise ein Passus, der den unbefugten Zugang zu besonders gesicherten Daten unter Überwindung von Sicherheitsvorkehrungen unter Strafe stellt. Gut, staatliche Behörden sind von derartigen Regelungen ausgenommen, Polizisten oder Beamte des Bundesgrenzschutzes dürfen unter bestimmten Voraussetzungen auch auf Menschen schießen. Aber interessant ist der Abschnitt, in dem Herstellung, Überlassen, Verbreitung oder das Verschaffen von „Hacker-Tools“, die bereits nach Art und Weise ihres Aufbaus darauf angelegt sind, illegalen Zwecken zu dienen, unter Strafe gestellt werden soll.

Das muss man sich nun einmal auf der Zunge zergehen lassen:
Es sollen Gesetze geschaffen werden, die „Hacker-Tool“ faktisch verbieten. Bekanntermaßen ist aber ein Werkzeug so lange ein Werkzeug, wie es nicht für illegale Handlungen eingesetzt wird. Die Geschichte mit dem Hammer, der sowohl zum Einschlagen von Nägeln als auch Köpfen verwendet werden kann, ist sicher jedem klar…
Und auch die von unseren Bundesheinis als „Hacker-Tools“ bezeichneten Werkzeuge sind vielfach nichts anderes als Werkzeuge. Die, die nötige Menge an krimineller Energie vorausgesetzt, natürlich auch missbraucht werden können. Sehr häufig werden diese Tools jedoch von Administratoren, Netzwerktechnikern und Sicherheitsbeauftragten dafür eingesetzt, Fehlkonfigurationen, Schwachstellen und Fehler im eigenen Netzwerk zu finden, um diese schließen zu können. Natürlich wäre es naiv von mir zu glauben, diese Tools würden ausschließlich dafür eingesetzt; ich bin nicht so blauäugig, so zu denken oder zu argumentieren. Allerdings werden mit diesen Gesetzesentwürfen oben genannte Personen, die tatsächlich nichts illegales tun und nur sich bzw. ihre Systeme schützen wollen, kriminalisiert. Diejenigen, die damit in Computer oder Netzwerke einbrechen wollen, kümmern sich ohnehin einen feuchten Kehricht um derartige Gesetze.

Nun stellen wir also fest: Man wird per Gesetz der Möglichkeit beraubt, seine Systeme auf Schwachstellen und Fehlkonfigurationen hin abzuklopfen. Läuft somit also unter Umständen ins offene Messer, wenn man für kriminelle Nutzer der „Hacker-Tools“ aus irgendeinem Grund zur Zielscheibe wird. Und: man hat keine (legale) Möglichkeit herauszufinden, ob man aufgrund eines Softwarebugs oder einer Fehlkonfiguration nicht zufällig ein Hintertürchen offen hält, über das entweder Scriptkiddies, Wirtschaftsspione oder aber eben auch Behörden nach Lust und Laune in den vermeintlich sicheren Daten herumwühlen. Und genau da scheint sich für mich im Augenblick der Kreis zu schließen. Ich soll nicht mehr prüfen dürfen, ob meine neuen Sicherheitsschlösser, meine Tür und mein Türrahmen sicher genug sind, damit im Fall eines Falles das Einsatzkommando sich nicht die Füße beim Eintreten der Tür bricht.

Wann wird hier in Deutschland eigentlich Verschlüsselung unter Strafe gestellt?

Von O’Reilly gibt es ein neues Open Book: „Sicherheit im Internet„. Verteilt über insgesamt 18 PDF-Dateien kann man sich dieses Handbuch kostenlos von der Website herunter laden.

Das Buch soll zum einen das Sicherheitsbewusstsein der Internetnutzer wecken und zum anderen wertvolle Tipps im Umgang mit diesem Medium vermitteln. Anhand tatsächlicher Ereignisse werden sowohl Gefahren aufgezeigt als auch Hinweise gegeben, worauf zu achten ist und welche Verhaltensregeln oder Maßnahmen die Sicherheit der eigenen Daten bzw. des PCs gewährleisten können.

Die Inhalte des Buches im Überblick:

• Kapitel 1: Gefahren und Akteure im Internet
• Kapitel 2: Technische Hintergründe
• Kapitel 3: Sicherheitsbewusstsein
• Kapitel 4: World Wide Web
• Kapitel 5: Browser – einer für alles
• Kapitel 6: E-Mail – wer liest mit?
• Kapitel 7: E-Commerce und Online-Banking
• Kapitel 8: Weitere Internetdienste
• Kapitel 9: Anonymität
• Kapitel 10: Viren, Würmer und Trojaner
• Kapitel 11: Angriffsszenarien
• Kapitel 12: Firewalls und erweiterte Sicherheitssysteme
• Kapitel 13: Erste Hilfe

In meinen Augen ein gelungenes Buch für diejenigen, die das Thema Sicherheit nach wie vor auf die leichte Schulter nehmen aber auch für all die, die sich der Gefahren durchaus bewusst sind und sinnvolle Anregungen für eine bessere Absicherungen suchen. Und…wie eingangs bereits erwähnt: es ist kostenlos.

via Golem