meinung-live.de: Zensur gegen BILDblog.de, liberal zu Sicherheitslücken

Alex Günsche · 5. März 2007

BILDblog.de veröffentlichte vor wenigen Tagen einen Artikel über das von Bild.T-Online betriebene Forum www.meinung-live.de, wo Links und andere Referenzen zu BILDblog.de systematisch zensiert werden.

Ich habe das zum Anlass genommen, mich mal auf diesem Portal umzuschauen. Die Hass- und Lügenmaschine “BILD” kann ich sowieso nicht leiden, und wenn dann noch systematische Zensur geübt wird, dann möchte man doch mal sehen, mit wem man es zu tun hat.

Nun bin ich weder ein pöser Pube, noch würde ich mich als Sicherheitspezialisten bezeichnen — aber mir sind doch schon nach kurzem Umsehen einige grobe Sicherheitslücken ins Auge gefallen, die für Benutzer und Betreiber des Portals fatal werden könnten. Das Forensystem nennt sich Forum 101 und ist von der norddeutschen Internetklitsche worldweb für schlappe 2800 Euro zu erwerben. Dieses Forensystem ist anfällig für mehrere Sicherheitslücken, vorwiegend Cross-Site-Scripting (XSS) in Hülle und Fülle sowie SQL-Injektion.

Für die nicht Fachkundigen: Clientseitiges Cross-Site-Scripting ist eine Angriffstechnik, bei der ein Bösewicht präparierte URLs mit JavaScript (eine vom Browser ausgeführten Programmiersprache) spickt, das dann auf dem Rechner des Opfers ausgeführt wird. Auf diese Weise kann man beispielsweise den Benutzerzugang des Opfers übernehmen. Das System Forum101 lässt XSS-Attacken in vielen Eingabefeldern und den dazugehörigen URL-Parametern zu, d.h. so ziemlich jede Seite des Forums ist für XSS-Attacken anfällig.

Doch damit nicht genug: Das Forensystem ist anfällig für SQL-Injektion. SQL-Injektion wird durch schlampige Programmierung möglich, wenn Benutzereingaben ohne Überprüfung als Parameter für einen Datenbankzugriff verwendet. Dadurch kann man unter Umständen in die Datenbank des Forensystems einbrechen und beliebige Daten lesen/ändern/löschen — beispielsweise Benutzernamen und -passwörter. (Kleiner Tipp an die Forum101-Entwickler: Man sollte LIMIT-Deklarationen nicht ungeprüft aus der URL entnehmen.)

Im Übrigen werden Angriffe gegen Benutzer noch dadurch vereinfacht, dass das Passwort anscheinend im Klartext in der Datenbank liegt, statt es mit einem Hash zu schützen. (Zu sehen ist das daran, dass man das ursprüngliche Passwort bei der “Passwort-Vergessen”-Funktion bekommt, und nicht ein neues.) Somit muss ein Angreifer die Passwörter für die Anmeldung mit einem fremden Zugang noch nicht mal ändern, d.h. ein Zugriff bliebe sogar weitestgehend unbemerkt.

Mit solchen gravierenden Schwachstellen wird das System Forum101 schnell zum “Room 101″ für alle Beteiligten. Um es nochmal zu verdeutlichen: Diese Erkenntnisse sind das Ergebnis einer müßigen Kaffeepause. Nicht auszudenken, was man bei genauerer Untersuchung dieses Gefrickels im Wert einer kompletten Büroausstattung noch so alles finden würde. Bleibt die Frage, warum sich Bild.T-Online für dieses Paket entschieden hat — wo es doch eine ältere Version von phpBB auch getan hätte. Vermutlich ist das hervorstechende Merkmal (oder “Unique Selling Point”, wie der PRler sagt) die ausgeklügelte Zensurfunktion.

Hinweis: Das unbefugte Ausspähen und Manipulieren von EDV-Daten ist — wie wir alle wissen — in Deutschland strafbar. Bei der oben dargestellten Recherche sind keine Daten unbefugt ausgespäht oder manipuliert worden. Dieser Artikel ist nicht als Aufruf zu Straftaten zu verstehen, sondern stellt einzig und allein eine kritische Betrachtung des Forensystems “Forum101″ dar.

Feed für diesen Beitrag Kategorien: Wissenswertes, Meinung

6 Kommentare zu „meinung-live.de: Zensur gegen BILDblog.de, liberal zu Sicherheitslücken“

  1. Meudalherr am 21. März 2007 um 16:12 #

    Hallo,

    Zu dem ganzen technischen Hintergrund - mein Respekt vor der vielen Fachkenntnis, aber davon verstehe ich kaum etwas.

    Zur Zensur - meiner Meinung nach ist es eigentlich noch viel schlimmer als Zensur, wenn man eine abgegebene Meinung verändert. Also natürlich darf in einem privaten Webforum zensiert werden, schließlich handelt es sich nicht um den Staat.

    Aber wenn jemand eine Meinung abgibt, dann hat diese Meinung einen ganz bestimmten Inhalt. Es erscheint jetzt als rechtlich problematisch, wenn einer abgegebenen Meinungsäußerung durch eine automatisierte Softwareeinstellung ein anderer Inhalt als beabsichtigt gegeben wird.

    Also zumindest moralisch ist das Vorgehen als äußerst fragwürdig einzustufen.

  2. Walter am 30. Mai 2007 um 15:58 #

    Hallo,

    ich habe den Eindruck die Kaffeepause war zu kurz.
    Wäre die Kaffepause länger gewesen, hätte sich Alex mit dem vorschlag phpBB zu verwenden sehr zurückgehalten:
    http://www.heise.de/security/news/meldung/71030
    um nur eine der 2,1 mio Suchtreffern bei google aufzulisten wenn man phpBB und security eingibt.
    XSS-Attacken konnte ich insofern nachvollziehen als das ich für mich selber Scripte einbinden konnte. Sie so einzubinden das ein andere User davon betroffen ist ist mir nicht gelungen.
    Und ein SQL-Injektion konnte ich auch nicht nachvollziehen.
    Viel mehr macht es den Eindruck als würde Alex versuchen hier einen Hass auszuleben und ist nach meiner Meinung nicht Objektiv.
    Ach so, noch ein Wort zu Zensur und Wortfiltern. Wie sie auch immer gepflegt werden, die Gerichte erwarten Wortfilter bei öffentlichen Foren wie auch heise selber am eigenen Leibe erfahren durfte. Wobei man über den Sinn oder Unsinn solcher Wortfilter nicht weiter nachdenken braucht.

  3. Alex Günsche am 30. Mai 2007 um 16:16 #

    Hallo Walter,

    http://www.heise.de/security/news/meldung/71030
    um nur eine der 2,1 mio Suchtreffern bei google aufzulisten wenn man phpBB und security eingibt.

    Das war ironisch gemeint.

    XSS-Attacken konnte ich insofern nachvollziehen als das ich für mich selber Scripte einbinden konnte. Sie so einzubinden das ein andere User davon betroffen ist ist mir nicht gelungen.

    XSS-Attacken sind üblicherweise auch mit einer Portion Social Engineering verbunden. Ich habe allerdings nicht getestet, ob man auch in Beiträge JS-Code schmuggeln kann, dazu war die Kaffeepause in der Tat zu kurz. Aber so liederlich wie das System programmiert zu sein scheint, vermute ich: ja.

    Und ein SQL-Injektion konnte ich auch nicht nachvollziehen.

    Ich werde hier nicht den genauen Vektor veröffentlichen, aber mal als Tipp: Die Limits für die angezeigten Forenbeiträge werden ungeprüft aus der URL in die SQL-Abfrage übernommen. Damit kann man also SQL in die Abfrage einschleusen.

    Viel mehr macht es den Eindruck als würde Alex versuchen hier einen Hass auszuleben und ist nach meiner Meinung nicht Objektiv.

    Hass ist wohl etwas übertrieben; ich kann allerdings nicht leugnen, dass ich Freude daran hatte, mich sowohl über Bild als auch die o.g. Software-Apotheke auszulassen. Ob das objektiv war/ist, sei dahingestellt; ich denke aber, es ist zumindest sachlich.

    Ach so, noch ein Wort zu Zensur und Wortfiltern. Wie sie auch immer gepflegt werden, die Gerichte erwarten Wortfilter bei öffentlichen Foren wie auch heise selber am eigenen Leibe erfahren durfte. Wobei man über den Sinn oder Unsinn solcher Wortfilter nicht weiter nachdenken braucht.

    1. Das Heise-Foren-Urteil ist noch nicht rechtskräftig.
    2. Wo werden bei Heise Wortfilter eingesetzt? Ist mir noch nicht aufgefallen.
    3. Welches Gericht erwartet(e) explizit einen Wortfilter?

  4. Walter am 30. Mai 2007 um 16:46 #

    hallo,

    in erster Instanz wurde heise als haftbar für die Foreninhalte definiert, da nicht einmal Wortfilter zu einer Umgehung von möglichen Straftaten verwendet wurden.
    Nach dem Berufungsverfahren wurden Wortfilter als mögliche Kontrollinstanz vorgeschlagen und meines Wissens nicht abgelehnt. Von einer expliziten Notwenigkeit von Wortfiltern war nie die Rede.

    Ich hatte letztes Jahr auch diese Urteile nachgelesen. Dabei hatte heise eben den Sinn von Wortfiltern bezweifelt (ich halte sie auch nicht für Sinnvoll). Die Wortfiler sind aber eine Möglichkeit um seinen guten willen zu demonstrieren.
    Wie ich bereits erwähnte brauchen wir über den Sinn von Wortfiltern nicht zu diskutieren. Wer solche schon einmal im Einsatz hatte weiß das diese immer zu umgehen sind. Man sollte aber vielleicht ein bischen über den Tellerrand sehen um dennoch die ‘Notwenigkeit’ zu erkennen.

  5. Walter am 30. Mai 2007 um 16:51 #

    oh, ich vergaß…

    bei der eingabe von wordpress und security erhalte ich in google
    49.6 mio treffer.
    z.b.

    handelt es sich hier um wordpress?

  6. Alex Günsche am 30. Mai 2007 um 17:13 #

    bei der eingabe von wordpress und security erhalte ich in google 49.6 mio treffer.

    Meine Güte, Sie werden doch nicht so naiv sein, Sicherheit an der Menge der Google-Suchergebnisse zu messen?! Falls doch: Bedenken Sie, dass (a) WordPress das momentan am weitesten verbreitete CMS ist und daher größte Aufmerksamkeit genießt (sowohl bei Angreifern als auch in der Presse bzw. der Internetcommunity), dass (b) es in der Natur von Bloggern liegt, über die Blog-Systeme zu bloggen, während Foren-Sicherheitslücken verhältnismäßig seltener in Foren diskutiert werden und dass (c) vermutlich der überwiegende Teil der Ergebnisse auftaucht, weil die Website bzw. das Layout den Begriff WordPress in einem anderen Zusammenhang enthält. Natürlich sind spektakuläre Sicherheitslücken in WordPress bekannt geworden, aber m.E. ist WP nicht signifikant unsicherer als andere Anwendungen.

Artikel kommentieren

 (wird nicht veröffentlicht)


Kommentare können bis zu 30 Minuten nach dem Veröffentlichen bearbeitet werden.