Größerer Trouble bei Facebook(?)

Mein Microgeblogge nimmt normalerweise den Weg von Twitter, das ist hauptsächlich nutze, zu Facebook. Hierzu habe ich in Facebook vor langer Zeit schon eine Facebook-Twitter-App installiert, die entsprechend die Verbindung zu Twitter schafft. Das funktionierte alles auch so weit ganz gut, unter allen Facebook-Nachrichten, die via Twitter hereingespült werden, erschien bis dato auch artig, dass sie von Twitter kamen.

Zumindest bis vor wenigen Minuten. Denn da hieß es plötzlich, dass die Tweets von einer Facebook-App namens „LoudSocial Applications“ kommen. Das ist tatsächlich eine andere Facebook-App, die ich jedoch gar nicht autorisiert habe, geschweige denn überhaupt mal gesehen. Eine anscheinend fremde Facebook-App übernimmt unautorisiert meine Twitter-Nachrichten über die Autorisierung, die ich einst mal eingerichtet habe. Na das ist ja wunderbar.

Es wird aber noch lustiger, wenn man auf die Facebook-Seite der offiziellen Facebook-for-iPhone-App geht, der iPhone-App für Facebook. Denn da funktioniert seit einigen Stunden auch einiges nicht mehr korrekt, Nutzer der iPhone-App können nicht mehr in ihre Timeline schreiben. Auch ganz lustig, wobei es vermutlich haarsträubend ist, wenn man daran denkt, was da wohl gerade alles bei Facebook/Twitter schiefläuft.

Erste Maßnahme, wenn ihr ebenfalls Twitter nutzt und automatisch Tweets zu Facebook schieben lasst: Überprüft mit einem Test-Tweet und einem Blick auf eure eigene Timeline, ob eure Tweets über die Twitter-App oder auch über „LoudSocial Applications“ importiert werden. Wenn letzteres passiert, solltet ihr diese App umgehend sicherheitshalber sperren.

Update vom 19. Juli: Irgendwann im Laufe der Nacht zum 17. Juli funktionierte es dann wieder, nachdem Facebook offensichtlich die App „LoudSocial Applications“ deaktiviert hat. Betroffen waren nicht nur diverse Twitter-Apps und die App, die als Verbindungsstück zur Facebook-iPhone-App dient, sondern auch eine Reihe von Spiele-Apps, die allesamt vorübergehend nicht mehr zu anderen Social Networks mehr Inhalte senden konnten. Warum auch immer. Gerüchteweise kam dann noch auf, dass der Entwickler der ominösen „LoudSocial“-App angeblich ein Facebook-Mitarbeiter sei, aber bestätigen lässt sich das alles nicht.

Es bleibt lediglich ein weiterer, schaler Beigeschmack über die Frage, wie eine fremde Applikation plötzlich Berechtigungen anderer Apps übernehmen kann. Unerfreulich.

Vom ungefragten Deaktivieren ungefragter Add-Ons.

Wer am Samstag unter Windows seinen Firefox angeschmissen hatte, hat sich möglicherweise über die Meldung gewundert, dass Firefox im Begriff war, zwei installierte Add-Ons zu deaktivieren.

Es handelt sich hierbei um eine Erweiterung namens “Microsoft .NET Framework Assistant 1.1”, die nichts anderes macht, als die installierte Version des .NET-Frameworks an den Webserver zu übermitteln und um das Plugin namens “Windows Presentation Foundation”, das immerhin schon etwas wichtiger ist, ebenfalls zum .NET-Framework gehört, und, in sehr einfachen Worten umfasst, einen Baukasten bereitstellt, um Benutzeroberflächen abzubilden.

Das Unniedliche an der Geschichte dieser zwei Module ist, dass sie Microsoft dem Firefox weitgehend ungefragt unterjubelt, wenn der Benutzer das .NET-Framework installiert oder aktualisiert, beispielsweise mit einem Service Pack. Installiert man das Framework bzw. das Service Pack, befinden sich diese beiden Module danach in der Firefox-Installation – ohne dass der Benutzer das irgendwie steuern könnte.

Hübscherweise ist Microsoft bei der Idee, diese beiden Module dem Browser unterzujubeln, kurzfristig offenbar den alten, herrschaftlich veranlagten Zeiten verfallen und hat gar nicht daran gedacht, dass ein Benutzer das vielleicht gern wieder deinstallieren würde: Die im Firefox implementierte Deinstallationsfunktion für Add-Ons wurde von Microsoft für diese beiden Add-Ons einfach außer Kraft gesetzt.

Dieser gequirlte Mist – von Seiten Microsofts für diese Aktion und auch von Seiten der Firefox-Macher für so einen architektonischen Schnittstellenpfusch – hat sich nun gerächt, da über diese Module eine aktuelle Sicherheitslücke des .NET-Frameworks ausgenutzt werden könnte. Und deshalb haben sich die Firefox-Macher nach Rücksprache (!) mit Microsoft dazu entschlossen, diese beiden Module, wiederum ungefragt, zu deaktivieren. Informiert hat natürlich keiner von beiden und so muss der geneigte Interessierte das entweder aus dem Heise-Ticker lesen oder dumm sterben.

Mal so die Frage am Rande, gerichtet an Microsoft und an die Firefox-Macher: Was glaubt ihr Helden eigentlich, wem der Computer hier auf dem Tisch gehört, auf dem ihr hier eure Schlampereien ein- und ausschaltet, wie euch gerade der Rotz aus der Nase tropft?

Die WordPress-Dramen und der admin-Benutzer.

Fassen wir einfach mal zusammen, dass der 2.8-Versionsstrang von WordPress offenbar unter einem nicht sehr guten Stern steht. Nicht alles kann auch im besten Projektmanagement immer rund laufen und Sicherheitsprobleme mit Software wird es so lange geben, wie Menschen, die die Software schreiben. Jammern ist also eher nicht angebracht, denn niemand hat gesagt, dass WordPress von Hause aus fehlerfrei ist. Bei WordPress ist es mindestens genauso wichtig, die Installation aktuell zu halten, wie sie überhaupt einmal zu installieren.

Andererseits: Das Sicherheitsproblem in der Version 2.8.3 beruht darauf, dass ein Außenstehender das Passwort für den admin-Benutzer löschen kann. Würden bitte die Leute, die tatsächlich nur mit diesem admin-Benutzer ihr Blog verwalten, bitte verstehen, dass man mit einem admin-Benutzer gefälligst nichts anderes tun sollte, als lediglich die zentralen Blog-Einstellungen einzustellen und einen weiteren, normalen Benutzer einzurichten, mit dem dann ausschließlich gearbeitet werden sollte?

Niemand, wirklich niemand muss mit dem admin-Benutzer arbeiten. Richtet euch also bitte in WordPress und gern auch in jeder anderen CMS-Installation, die eine Mehrbenutzerverwaltung hat, gefälligst einen eigenen Benutzer ein, gebt dem meinetwegen administrative Rechte, wenn es euch schöner macht und arbeitet ausschließlich mit dem, ihr Affen!

Schwache Passwörter beim RIPE.

Im (gedruckten) SPIEGEL 19/2009 findet sich auf Seite 126 folgender Artikel:

Internet
Fahrlässiger Umgang mit Passwörtern

Selbst große Konzerne schützen ihre Websites mit allzu simplen Passwörtern, die sich sogar von Amateuren in Minuten knacken lassen. Dem SPIEGEL liegt eine vertrauliche Liste mit Hunderten von Firmen-Passwörtern vor, die Sebastian Schreiber von der Sicherheitsfirma Syss mit ‘sehr wenig Aufwand’ aus einer Internet-Datenbank des Adressverzeichnisses namens Ripe gefischt hat. Unter den Firmen befinden sich ein Nahrungsmittelriese, eine Bank eine Wirtschaftsberatungsagentur, ein großer Webdienst-Anbieter. Sie alle hätten eine Menge zu verlieren durch einen Hackerangriff. ‘Es wäre ein Leichtes, den Webtraffic dieser firmen illegal abzuwürgen, umzuleiten oder E-Mails heimlich mitzulesen’, sagt Schreiber. Sichere Passwörter sollten aus über einem Dutzend Buchstaben, Zahlen und Sonderzeichen bestehen. Stattdessen wimmelt es in der Ripe-Datenbank von Passwörtern wie ‘adventure’, ‘TestTest’, ‘4664’. Eine große Versicherung vertraut auf ‘beruhigt’, ein Institut für Ernährungssicherheit auf ‘Karotte’, ein Flughafen auf ‘purgatory’ – englisch für Fegefeuer. Doch viele Ertappte reagierten nicht einmal, als sie auf die Nachlässigkeit hingewiesen wurden; und auch die Verwaltung der Ripe-Datenbank hat es trotz mehrerer Nachfragen monatelang versäumt, von den Nutzern bessere Passwörter einzufordern.

Was ist hier los? Sicherheitsloch? Zumindest teilweise, aber fangen wir von vorn an:

Das RIPE ist eine so genannte Regional Internet Registry, die für die Zuteilung und Verwaltung von IP-Netzparametern für die europäische Region zuständig ist. Dazu gehören IP-Adressen, aber auch Routing-Parametern. Traditionell ist es so, dass diese Informationen frei zugänglich sind, das Editieren der dort verzeichneten Einträge jedoch gesichert sind. Dazu gibt es zwei Möglichkeiten: Eine Sicherung mit einem Passwort und einem PGP-Key. Letzteres ist ein absolut sicheres Verfahren, während ersteres deutlich praktischer ist.

Damit der Spaß mit dem Herauslesen von Passwörtern nicht ganz so einfach ist, müssen zu hinterlegende Passwörter einmalverschlüsselt werden. Das bedeutet, dass der Originator des Eintrages sein Passwort nicht in Klartext hinterlegt, sondern zunächst mit einem Einwegverschlüsselungsverfahren bearbeitet – im Falle der RIPE-Datenbank wird das Verfahren MD5 eingesetzt – und dieses Ergebnis dann hinterlegt. Die Einwegverschlüsselung stellt sicher, dass die verschlüsselte Nachricht nicht mehr dechiffriert werden kann.

Der Ansatz ist nun, dass man das Passwort zwar nicht mehr dechiffrieren kann, es aber weiterhin durch einen anderen Ansatz zum Passwortknacken verwundbar ist, nämlich durch Wörterbuchattacken. Wörterbuchattacken basieren darauf, dass man eine ganze Liste von vordefinierten Wörtern schlicht einfach mal durchprobiert, in der Hoffnung, dass jemand ein einfaches Passwort verwendet, das just in dieser Wörterbuchliste vorkommt. Im Falle von einem einwegverschlüsselten Passwort muss lediglich sichergestellt werden, dass auch die Wörterbuchliste die Wörter entsprechend mit dem Einwegverschlüsselungsverfahren chiffriert sind.

Und das dürfte dann auch der Ansatz gewesen sein. Da die RIPE-Datenbank frei zugänglich ist, hat ein findiger Mensch einfach eine Wörterbuchliste genommen, die dort vorkommenden Wörter nach dem gleichen Verfahren einwegverschlüsselt, wie es das RIPE tut und dann einfach nach den Chiffraten in der RIPE-Datenbank gesucht. Äußerst einfach und leider offensichtlich auch hin und wieder wirksam.

Immerhin hat das RIPE reagiert und die Suche nach einwegverschlüsselten Passwörtern insofern erschwert, dass eine Suche nach Sonderzeichen nicht möglich ist, Sonderzeichen aber in den Chiffraten zwingend vorkommen. Sinnvollerweise kann man aber nach wie vor immer nur empfehlen, gänzlich auf die Passwortautorisierung zu verzichten und die PGP-Autorisierung einzusetzen oder zumindest ein hinreichend komplexes und langes Kennwort zu nutzen.