Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

Adblocking ist ein Sicherheitsthema

Lieber Stefan,

ich schreibe dir, weil ich eine Sache klarstellen möchte: Ich blocke Werbung nicht, weil mich Werbung nervt (ich sehe die nicht mehr) oder euch um eure Einnahmen zu bringen will, sondern weil die Werbung über JavaScript von für mich alles andere als vertrauenswürdige Drittanbieter ausgeliefert wird. Ich weiss durchaus guten Journalismus zu schätzen, weiss dass dieser nicht umsonst zu haben ist und habe mehr Verständnis für die Probleme der Verlage als viele andere denke ich. Mir ist das auch viel wert.

Trotzdem kann ich nicht zulassen, dass irgendwelche Buden, die sich regelmässig pwnen lassen, meinen Rechner fernsteuern - denn das und nur das ist JavaScript: Remote Control eines Browsers durch den Server. Diese Blocking ist also in erster Linie reiner Selbstschutz und ist auch jedem Nutzer sehr zu empfehlen.

Die Historie schädlicher Werbebanner auf Medienseiten ist lang und hat so ziemlich viele schon einmal irgendwann getroffen, sei es Zeit, Spon, Heise oder Handelsblatt um nur mal ein paar zu nennen, über die Schadcode verteilt wurde. Ein Problem ist dabei auch nicht zuletzt, dass es in so einem Falle ausser einer Entschuldigung keinerlei Entschädigung für die Opfer dieser Angriffe gab und gibt (sofern die Leute überhaupt merken, dass die gehackt wurden).

Ich bin auch nicht die Person, die tolle Ideen für Geschäftsmodelle hat, die funktionieren. Ich würde mir etwas wünschen, das für eure Branche nicht in Frage zu kommen scheint: Sowas wie ein Abo oder eine Pauschaule für alle Publikationen - in etwa nach dem Modell der GEZ für die Öffentlich-Rechtlichen. Ich nutze die eher Angebote sporadisch (meist auf Grund von Links), “blättere” aber praktisch auf den Seiten nie rum. Diese Art der Zahlung würde mir in meinem Nutzungsverhalten entgegen kommen. Mircopayment ist leider in den letzten Jahren nicht wirklcih weiter gekommen und ausser Flattr sehe ich momentan wenig. Ich verstehe aber auch, dass sich damit kein Journalismus auf hohem Niveau lange finanzieren lässt.

Wie auch immer: Die Verantwortung für meine Sicherheit kann nur ich übernehmen - kein Staat, kein Verlag, kein Journalist. Die Konsequenz ist also, dass die Werbung, so auf die nicht verzichtet werden kann, entweder so eingebunden wird, dass sie ohne JavaScript auskommt oder sie wird schlicht geblockt. Denn mir ist Information zwar äusserst wichtig, aber nicht wichtiger als die Sicherheit meines Systems.

Mit freundlichen Grüßen, fukami

Reposted by5fehlerdarksideofthemoondevloquemadgyverbong0lagerkollere-gruppedrseilzugFreXxXFlypnfinkreghwonko4poc

Piwik WTFOMG

Wie einige vielleicht schon mitbekommen haben gibt es eine neue Version von Piwik. Piwik ist ein Stück Code zur Analyse von Besuchern auf Webseiten, ähnlich beispielsweise Google Analytics. Mein Kollege Stefan Esser hat ein schweres Sicherheitsproblem gefunden und ein Advisory dazu veröffentlicht, das im Bereich von PHP-Sicherheit wieder einmal eine Reihe wichtiger neuer Einsichten gebracht hat. Der entsprechende Exploit dazu ermöglicht das Ausführen von PHP Code aus der Entfernung oder das Anlegen beliebiger Dateien, also die vollständige Kontrolle eines Angreifers über einen Server, auf dem dieser Code gehostet wird.

Da ich nicht in fremden Seiten ohne Auftrag herumfingere weiss ich nicht, ob und wie die betroffenen Server bzw. PHP-Installationen gehärtet sind und ob sich die entsprechenden Seiten auch wirklich angreifen lassen (ich gehe aber davon aus). Was ich allerdings ahne ist, dass Piwik auf tausenden Seiten gehostet wird. Ich vermute aber sehr stark, dass dieser Exploit in Zukunft für den einen oder anderen Hack eingesetzt wird, weswegen ein Update auf die neue Version ein absolutes Muss ist. Ausserdem ist es angezeigt, Server, auf denen Piwik gehostet wird, nach Spuren von Einbrüchen zu untersuchen.

Eigentlich könnte man sagen, es ist soweit ganz normal — Bugs kommen immer wieder vor, auch Bugs, die das Ausführen von Code ermöglichen. Das ist auch richtig. Aber wenn man mal einen Augenblick inne hält und guckt, wo denn dieser Code überall zu finden ist, dann kommt man doch etwas ins Grübeln.

Webseiten werden oft als sogenannte virtuelle Server gehostet. Das bedeutet, dass sich auf einem physikalischen Server mehrere gehostete Domains befinden. So ist das auch auf den Seiten der Parteien wie gruene.de, spd.de oder liberale.de. Dort finden sich neben den eigentlichen Hauptseiten auch verschiedene Projekte und persönliche Seiten von Politikern der entsprechenden Parteien.

Man kann sich eine Reihe von Sachen vorstellen, wie Angreifer diesen Exploit nutzen können, angefangen von eher lustige Sachen wie subtile oder weniger subtile Verlautbarungen bis hin zu weniger lustigen Sachen wie Mitlesen von Mails, Servieren von Malware oder Angriffe auf weitere Server.

Die CDU nutzt auf ihren Hauptseiten übrigens dieses Tracking nicht, aber es gibt eine Reihe von CDU-Politikern und lokale Gruppen der Partei, bei denen es doch eingesetzt wird oder wo dieser Code auf einer anderen Domain auf demselben Server gehostet wird. Bei den Piraten gibt es diesen Code nur auf der Seite musik.klarmachen-zum-aendern.de, die keine weitere Verbindung zu anderen Servern der Piraten hat.

In der Liste der Seiten, die gegen so einen Exploit verwundbar sind (oder waren), finden sich aber noch eine Reihe anderer interessanter Bekannte: attac.de, proasyl.de aber auch jungefreiheit.de, die Seiten des Landes Rheinland Pfalz, des Umweltbundesamtes, des Asta der Uni Bonn oder die der Dampfplauderer von fixmbr.

Am interessantesten ist aber aus meiner Sicht eine völlig andere Seite, nämlich safer-shopping.de. Hinter Safer Shopping verbirgt sich ein Prüfsiegel des TÜV Süd, also genau etwas in der Art, das als eine der Maßnahmen im Rahmen der “Stiftung Datenschutz” grade im Gespräch ist. Dieses Beispiel zeigt einmal mehr, wie wenig diese Idee wert ist, denn auch andere Dienstleister, die solche Siegel anbieten, werden kaum in der Lage sein, diese Art von Angriffen zu verhindern, die das Vertrauen in Webseiten erheblich beeinträchtigen und dieses Siegel lächerlich erscheinen lassen.

Selbstverständlich ist auch bei einigen zertifizierten Seiten Piwik im Einsatz, denn was für Safer Shopping recht ist, ist für Anbieter von E-Shops natürlich nur billig.

Update: Kann übrigens sein, dass ich mich beim Einsatz von Piwik auf Safer Shopping-zertizierte Seiten geirrt habe. Waren jedenfalls irgendwelche Seiten mit Siegeln, die Sicherheit suggerieren sollen. Von daher ist es eigentlich auch egal, was das nun genau für welche waren.

Update 2: Zum Testen, ob man verwundbar ist, kann man die beiden Scripte nutzen, die Stefan in seinem Blog veröffentlicht hat. In beiden Fällen kommt dabei ein Cookie raus, der in den Browser kopiert werden muss: Datei schreiben und Code Execution.

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl