So oder ähnlich könnte man manche Artikel überschreiben, die sich mit möglichen Sicherheitslecks in WordPress 2.2 befassen.

Da findet man Beiträge auf anderen Blogs, die diffus von bösen Hacks für WordPress 2.2 berichten, die in „bestimmten Kreisen die Runde machen“, ohne dass Details genannt werden. Unsicherheit wird erzeugt, man wartet „wann die ersten bekannten großen Blogs Opfer sein werden“ oder ob doch noch rechtzeitig ein Patch erscheint. Zugleich wird vollmundig angekündigt, in einem der nächsten Beiträge ein paar Empfehlungen auszusprechen, wie man sich vor den Gefahren dieses Lecks schützen könne.

Warum nicht sofort? Was bringt eine Sicherheitswarnung, und um eine solche soll es sich ja wohl handeln, wenn man nicht direkt eine Lösung mitliefern kann/will? Mehr als Verunsicherung erreicht man so nicht bei seinen Lesern. Kompetenz zeigt man auch nicht dadurch, dass man Details nicht veröffentlicht, um Script-Kiddies fern zu halten. Kompetenz zeigt man, wenn man eine Lösung präsentiert. Sonst läuft man Gefahr, nicht ernst genommen zu werden. Was auch ein Grund ist, weshalb ich den Beitrag nicht verlinke. Anderenfalls hätte ich es sofort getan. Im Augenblick bin ich mir jedoch nicht sicher, wie viel Substanz tatsächlich hinter dieser Meldung steckt.

Im niegelnagelneuen WordPress 2.2 wurde eine neue Sicherheitslücke entdeckt: per SQL Injection ist es möglich, die Tabelle wp_users auszulesen, wenn der Angreifer einen gültigen Useraccount für das Blog besitzt. Der Fehler sitzt in der Datei xmlrpc.php.

Nun habe ich ja bereits vor einiger Zeit die Benutzerregistrierung auf meinem Blog deaktiviert, insofern ist nicht damit zu rechnen, dass jemand über einen gültigen Account verfügt. Dennoch macht es Sinn, den verfügbaren Workaround zu nutzen, um das Loch zu stopfen. Da noch kein Patch existiert, muss selbst Hand angelegt werden. Dazu wird die Datei xmlrpc.php (liegt direkt im Hauptverzeichnis Eures Blogs) mit einem Texteditor geöffnet und um die Zeile 541 herum (in der Funktion wp_suggestCategories) der folgende Code-Block gesucht:


$blog_id = (int) $args[0];
$username = $args[1];
$password = $args[2];
$category = $args[3];
$max_results = $args[4];

Die letzte Zeile ändert ihr nun um in

$max_results = (int) $args[4];

Speichern, wieder auf den Server laden und das Problem sollte beseitigt sein.

via Clazh und BloggingTom

Computersicherheit ist nun strafbar in Deutschland.

Wichtige, für die Arbeit von uns Netzwerkadministratoren und Sicherheitsexperten essentielle Werkzeuge sind nun in Deutschland verboten. Bestraft werden soll nun unter anderem die Herstellung, Überlassen, Verbreitung oder das Verschaffen von so genannten „Hacker-Tools“, die nach Art und Weise ihres Aufbaus darauf angelegt sind, illegalen Zwecken zu dienen.

Hier nun im Detail der komplette Wortlaut des betreffenden Artikels im durch „unsere“ Regierung neu geschaffenen Paragraphen 202c StGB:

Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er
…
2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.

Mit anderen Worten: Es wird den oben genannten Personen nahezu unmöglich gemacht, in Zukunft ihre Arbeit auszuüben. Für den Einsatz, die Herstellung oder die Überprüfung von Sicherheitslösungen im IT-Bereich ist es unumgänglich, mit der Arbeitsweise der „bösen“ Jungs vertraut zu sein, die Tools zu kennen, mit denen gearbeitet wird und diese auch zu nutzen, um die eigenen Sicherheitsvorkehrungen angemessen zu testen.

Neben der Tatsache, dass diese Einschränkungen der Möglichkeiten mich wieder in den Vermutungen bestärkt, die ich bereits vergangenes Jahr äußerte, ist hier auch der wirtschaftliche Faktor nicht zu unterschätzen. Die Sicherheitsbranche und IT-Dienstleister werden hiermit in ihrer Arbeit massivst behindert. Werkzeuge wie Nessus, die von Netzwerkadministratoren in ihrer täglichen Arbeit verwendet werden, sind ab sofort in Deutschland nicht mehr erlaubt. Das Herunterladen eines simplen Portscanners kann mich in Zukunft unter Umständen in den Knast bringen! Da mutet es fast wie Hohn an, wenn unser Bundesdatenmessi Schäuble ankündigt, für die Zukunft eine Zertifizierung „vertrauenswürdiger Sicherheitsdienstleister“ zu planen. Wie bitteschön soll ich mich in die Lage versetzen, mich auf solch eine Zertifizierung vorzubereiten? Solange ich diese Zertifizierung nicht habe, darf ich mir die Werkzeuge und Techniken nicht zulegen oder aneignen, will ich mich nicht strafbar machen. Es ist einem Administrator oder Sicherheitsdienstleister wie mir nicht mal mehr möglich, die Wirksamkeit der WLAN-Sicherheitsmechanismen zu überprüfen bzw. einem Kunden zu zeigen, wie unsicher seine Installation aktuell ist, wie leicht jemand in sein WLAN eindringen kann. Sollte ich das heimlich tun und er zeigt mich an – zack – vorbestraft!

Bin grad mehr als wütend, ganz ehrlich! Sämtliche Appelle an die Regierung wurden komplett ignoriert, mit der üblichen Arroganz wurden sämtliche Experten mit Nichtbeachtung gestraft und das Gesetz in vollem schwachsinnigen Umfang beschlossen. Das Aus für die Security-Branche in Deutschland, das Aus für Computersicherheit, das Aus für meine Toleranz. Die Regierung macht mir die Ausübung meines Berufs unmöglich, ich weiß nun, was ich zu tun habe!

Update: Der heise-Artikel zum „Hackerparagraphen“ ist ungewohnt unkritisch, enthält jedoch ein ein paar weitere Details.

via missi, Foto von Mr. President

Die möglichen Folgen eines simplen Tippfehlers demonstriert das folgende Video doch recht anschaulich. Statt google.com goggle.com aufrufen und die Folgen bewundern.

Ich hab es nicht persönlich nachgeprüft, kann mir aber lebhaft vorstellen, dass da einiges dran ist. Ist ja nun wirklich nicht neu, diesen Müll gibt es schon seit Jahren.

[gv data=“http://www.youtube.com/v/w8TpmQMoPbQ „][/gv]

via Daily Cup of Tech