25.02.2013 14:20
Schwachstellen auf dem Silbertablett
Eine neue Schwachstellen-Suchmaschine legt den Finger in die offene Wunde der Sicherheit von Web-Applikationen. Sicherheitslücken wie Cross Sites Scripting und SQL Injection sind leider weit verbreitet und gefährden die Daten der Besucher dieser Seiten. Die neue Suchmaschine Punkspider sucht im ganzen Internet systematisch nach diesen Schwachstellen und dokumentiert die Ergebnisse öffentlich. Das Konzept von Hyperion Gray ist einfach: Nimm einen skalierbaren Hadoop-Cluster, scanne mit vielen parallelen Spider-Skripten Millionen von Web-Sites auf Sicherheitslücken und mach die Ergebnisse über eine Suchmaschine öffentlich zugänglich.
Die Suchmaschine liefert Web-Seiten mit typischen Schwachstellen wie Cross Site Scripting (XSS) frei Haus.
Die sichtbaren Ergebnisse für .DE-Domain sind noch nicht wirklich beeindruckend: Getestet wurden offenbar circa 50.000 Websites. Auf etwa 50 davon will der Punkscan Cross Site Scripting Lücken (XSS) aufgespürt haben, bei 16 SQL Injection und die eigentlich schwerer zu entdeckende Variante Blind SQL Injection sogar auf etwa 120 Web-Sites. Die Qualität dieser Ergebnisse ist sehr durchwachsen. Während wir bei einigen Stichproben die angebliche Schwachstelle anhand der Demo-URL sofort verifizieren konnten, gab es bei vielen gar keine Detail-Informationen (Scanner abgestürzt?) und auch die ein oder andere Meldung, die stark nach einem Fehlalarm roch.
Die Vorgehensweise von Hyperion Gray ist vorsichtig formuliert "unkonventionell" und wird derzeit kontrovers diskutiert: "Zentralisierte Schwachstellendatenbank für Script-Kiddies" ist noch einer der harmlosen Vorwürfe. Auch die juristischen Aspekte sind durchaus diskussionswürdig – immerhin werden nicht nur fremde Sites ohne Nachfragen auf Sicherheitslücken untersucht, sondern deren Ergebnisse auch ohne Einwilligung öffentlich zugänglich gemacht. Da dürfte das letzte Wort noch nicht gesprochen sein.
Für Web-Admins ist die Situation derzeit schwierig: Wer jetzt einfach seine Site in die Suche eingibt, riskiert, dass es zwar noch keine Ergebnisse gibt, er damit aber ins Visier zukünftiger Punkscans geraten ist. Wer es unterlässt, muss befürchten, dass andere die Punkspider-Suche bemühen und eventuell fündig werden. Wie man einen Punkscan der eigenen Site ausschließt, ist nicht dokumentiert. Unsere Fragen an den Betreiber des Dienstes unter anderem dazu warten derzeit noch auf Antwort. Immerhin behauptet CTO Alejandro Caceres, dass die Anweisungen der Steuerdatei robots.txt ausgewertet und beachtet würden. Er sieht seinen neuen Dienst im Übrigen als Angebot: "Das Ziel meines Projekts ist es, Firmen kostenlos über solche Sicherheitslücken zu informieren, damit sie sie von ihren Web-Entwicklern beseitigen lassen können."
(ju)
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
Die Mozilla-Entwickler haben zahlreiche Sicherheitslöcher in Firefox und Thunderbird gestopft. Durch eine kann ein Angreifer, der bereits einen Fuß in der Tür hat, an Systemrechte gelangen. 
