09.10.2012

Euroweb - Großmäuler können triviales Sicherheitsproblem nicht beseitigen

Das schon am Freitag abend beschriebene Euroweb-Sicherheitsproblem ist eigentlich kaum zu √ľbersehen und auch einfach zu beseitigen. Allerdings nur wenn man sich hierbei mit dem von der Euroweb verwendeten Content-Management-System und nat√ľrlich dem Internet an sich auskennt. Vor allem aber muss man dazu wissen, was man tut.

Auf der Webseite Euroweb.de h√§lt die Euroweb Internet GmbH f√ľr ihre Kunden ein, eigentlich zwei, Formular(e) bereit. Ich habe mir beide angesehen, beide sind - unter Sicherheitsaspekten gesehen - mit dem Wort "unbenutzbar" richtig bezeichnet.

Figur 1: Formulare mit Javascript

Figur 2: Formulare ohne Javascript

Wozu auch immer diese Unterschiede gut sein sollen - ich vermute ja sogar, der "Oberspezialist von einem Eurobweb-WebDesigner" wei√ü von diesem zweiten Formular gar nichts... Fakt ist: Beide Varianten f√ľhren, wenn man diese benutzt, dazu, dass Anmeldedaten der Kunden Dritten bekannt werden k√∂nnen.

Im folgenden konzentriere ich mich zunächst auf das Mailformular:

Figur 3: Fassung ohne Javascript, aktueller Zustand

Figur 4: Fassung ohne Javascript, Zustand am Freitag vor der √Ąnderung

H√ľbsch! Nach der √Ąnderung vom Samstag steht hier nicht mehr "http://webmail.euroweb.de/imp/redirect.php" als Empf√§nger der Daten, sondern eine Raute("#"). Damit gehen die eingegebenen Daten nunmehr nicht im Klartext an "webmail.euroweb.de", sondern an www.euroweb.de - also (diesen "gro√üartigen" Erfolg muss man der Euroweb lassen)  nicht mehr ins Hackerland Bulgarien, sondern in ein N√ľrnberger Rechenzentrum - das aber nicht der Euroweb geh√∂rt.

Aber, wann immer das Opfer dieser unsicheren Praxis (also Euroweb-"Referenzkunden") dieses Formular benutzen, dann gehen die Daten unverschl√ľsselt durchs Netz und sind von b√∂swilligen Personen (Hacker, Zoll, Polizei, Kinder, Ehegatten - oder Gattinnen, Mitarbeiter, WG-Mitbewohner, Hotelbewohner, Wirt, Betreiber von Lans oder Wlans und deren Mitarbeiter ...) zu lesen, sobald diese die daf√ľr n√∂tige Ausstattung haben und benutzen. Ein Laptop, vielleicht(!) noch ein billiger Switch und Wireshark (kostenlos) gen√ľgt.

F√ľr diese "√Ąnderung", die immerhin keine weitere Verschlimmerung darstellt, gibt schon mal ein berechtigtes:

"D√ľmmer geht es kaum!"

Denn genau daf√ľr gibt es eigentlich das https-Protokoll - und das m√ľsste nur in der URL hinterlegt werden... Das w√§re auch kein Problem. Man muss nur wissen, was man zu tun hat. Der Witz ist, der Server "webmail.euroweb.de" beherrscht diese Verschl√ľsselung, Schl√ľssel sind hinterlegt und das scheint alles sauber zu funktionieren. Man m√ľsste es also nur wissen und das Wissen dann auch anwenden.

Und das k√∂nnte auch die Euroweb, wenn, ja wenn sich diese tolle Firma statt um das Kaufen und anschliesende Bejubeln von Designpreisen und um das Zusammenklicken von Animationen auch mal  um die Sicherheit k√ľmmern w√ľrde:
Figur 5: Das ist die aktuelle Fassung des Formulars, das sichtbar wird, wenn Javascript aktiviert ist.

Dieses Formular hat zun√§chst keine Zieladresse (action="") , also g√§ngen die Daten unverschl√ľsselt an den Server, auf dem schon das aufgerufene Formular lag. Doch mit dem aktiviertem Javascript wird noch schlimmer:
Figur 6: Mit diesem Skript bekommt das Formular aus Figur 5 eine Zieladresse
Hier wird mit Ajax und anderen Kanonen herumgefuchtelt. Die Daten (hier die Mailadresse) werden durch die Gegend geschickt und zwar zu einem Server, der daraus den vermuteten(!) Name des Webmailservers bastelt. Das dieser längst nicht in allen Fällen stimmt zeigt auch die Figur 7.

Dieser vermutete Name wird dann als Bestandteil der Zieladresse f√ľr die Daten in das Formular eingetragen. Als Protokoll steht da "http://" - also schon wieder das falsche, unverschl√ľsselte. In den meisten F√§llen (tats√§chliche Mailadresse eines Euroweb-Kunden) mit dem Ergebnis, dass der Browser die unverschl√ľsselten Daten dann an die Adresse "http://webmail.[MX- oder Domainname des Euroweb-Kunden]./imp/redirekt.php" schickt.

Also unverschl√ľsselt ins Hackerland Bulgarien, so wie schon am Freitag:
Figur 7: So oder so ähnlich landen die Daten beim Hacker.

Betroffen sind in gleicher Weise auch das Login f√ľr den "Counter", den "Editor", das G√§stebuch, den Immomanager und das Online-Werbesystem. Die von der Euroweb gemachten und betriebenen Webseiten der Webstyle GmbH und der WAZ-Onlineservice GmbH haben dieselben Probleme.

F√ľr diese Zirkussnummer bekommt die Euroweb Internet GmbH folgenden Anschiss:


"D√ľmmer geht es nimmer!"


Der Gag!

Figur 8: Das Problem ist der Euroweb bekannt und die Lösung bewusst

Die Euroweb kennt durchaus die Wirkung eines "https", wei√ü also, das Daten verschl√ľsselt √ľbertragen werden k√∂nnen und sollen. Es ist wohl eher so, dass diese "tolle" Firma hier grob fahrl√§ssig oder gar vors√§tzlich einfachste Sicherheitsregeln ("Transportiere Zugangsdaten nicht unverschl√ľsselt im Internet") nicht einh√§lt weil, das unterstelle ich hier mal das deren "Spezialisten" in dem selbst inszeniertem  "Javascript und Drupalgefuchtel" gar nicht mehr durchsehen, also nicht wissen was diese eigentlich wo √§ndern m√ľssten. Statt sich das einzugestehen und die Kunden nicht mehr weiter zu gef√§hrden, in dem die Formulare gel√∂scht werden, macht die Euroweb einfach weiter. Die offenbar ben√∂tigte externe Hilfe holen sich diese "Preisgewinner" auch nicht.


Fazit:

Mit enormen Aufwand, einem ungeheuren Javascript, Ajax - und JQuery-Gefuchtel erreicht die Euroweb nur eines. N√§mlich dass deren "Spezialisten" den Durchblick verlieren und das Ergebnis derer Bem√ľhungen die Daten der Kunden gef√§hrdet. Ein Fachmann ist nicht der, der mit gigantischem Aufwand ein Schiff baut, dass gleich untergeht - sondern derjenige der billig und schnell das Schiff baut, mit dem Mensch und Ladung sicher √ľber das Meer kommen. Mit den von der Euroweb gebauten "Flaggschiffen" w√ľrde ich nicht mal im flachen Bach schippern wollen. Die Dinger sind zwar reich mit Stuck verziert, mit viel Gold- und Purpurfarbe beschmiert, die bezahlten Claqueure jubelten eifrig beim Stapellauf - aber deren "Schiffe" sind eben nicht dicht.

Empfehlung an die Euroweb-Kunden:

√Ąndern Sie, wenn Sie das Formular jemals benutzt haben, alle Ihre Passw√∂rter. Diese sind potentiell "gehackt". Wie Sie das tun k√∂nnen erkl√§rt Ihnen "gern" der Euroweb-Kundensupport. Wenn das nicht kostenlos geht, dann k√ľndigen Sie und wenn Ihnen schon wieder eine Adresse eines Webformulars genannt wird, dann sollten Sie erst mal jemanden fragen, ob das sicher ist.

Aber um Gottes Willen nicht die Euroweb. Die labert Bullshit und hat Sie schon mehrfach belogen.

Sinnbild: "Goldener Bullschit": Der Preis f√ľrs gr√∂√üte Werbemaul bei schrottigster Leistung.



Kommentare:

fastix hat gesagt…

Was man wohl im Rootserver-Forum dazu sagen w√ľrde? hrhrhr!

Nicht, das irgendwer den Badewannenserverkapitänen der Euroweb ähnlich einem Hip Hop Hacker - siehe http://www.lustigestories.de/stories/irc_hacker.php - Tipps gibt. Das wäre echt eine riesige Gemeinheit!

Anonym hat gesagt…

"Denn genau daf√ľr gibt es eigentlich das https-Protokoll - und das m√ľsste vorliegend nur nur in der URL hinterlegt werden"

Einmal "nur" reicht ;)

Schönen Abend noch.

. hat gesagt…

Einmal "nur" reicht ;)

Ich hätte ja gedacht, der Artikel vom Freitag reicht. Aber ehrlich, dass die das NACH dem Artikel nicht korrigieren konnten, das hat mich dann doch etwas "irritiert".

Das doppelte "nur" ist korrigiert.

Anonym hat gesagt…

Und auch noch GET statt POST in Figur 6. Ist also sichtbar in den XMLHTTPRequests was √ľbertragen wird (zb in Firebug). Sehr leicht abzufangen. Normalerweise geht ein Formular auch ohne Javascript.

. hat gesagt…

Und auch noch GET statt POST in Figur 6.

Ja. Prima!

Die Euroweb hat also auch mitgeloggt, welche Mailadressen in das Formular eingegeben wurden.

Die ins Logfile wandernde Request-URL sieht so aus:
http://www.euroweb.de/webmaillogin/user@example.com

Die Antwort √ľbrigens erwartungsgem√§√ü:
{"error":true,"domain":"","host":"www.euroweb.de"}

Da kann man diese jetzt auch dazu verdammen, die betroffenen Kunden einzeln zu warnen.

Anonym hat gesagt…

W√§re die Katastrophe falls man die standardm√§√üig angelegten Logfiles finden und aufrufen w√ľrde und da Passw√∂rter im Klartext drin w√§ren.

Anonym hat gesagt…

"W√§re die Katastrophe falls man die standardm√§√üig angelegten Logfiles finden und aufrufen w√ľrde und da Passw√∂rter im Klartext drin w√§ren."

In der Tat. Es gibt ja wohl Tausende potentiell von Datenmissbrauch gesch√§digte Referenzkunden. Hier ist also Eile geboten. Am besten sollte man unverz√ľglich den NRW Datenschutzbeauftragten f√ľr den nicht √∂ffentlichen Bereich √ľber die j√ľngste Schlamperei dieser Webdesignklitsche im Umgang mit Kundendaten in Kenntnis setzen.

https://www.ldi.nrw.de/metanavi_Kontakt/index.php

. hat gesagt…

Die Passwörter landen nach bisheriger Erkenntnis nicht in den Logfiles.

ABER:

Die Euroweb und der "Datenschutz" ist tats√§chlich ein Thema, welches ich ganz oben auf der Agenda habe. Das wird sicherlich unangenehm f√ľr die Euroweb. Mal sehen, wann ich ein Zeitfenster habe.

Die Euroweb hat also 1 bis 3 Tage lang Gelegenheit nachzuschauen und ihre Praxis zu √ľberpr√ľfen - denn es gibt durchaus Verst√∂√üe gegen das Datenschutzgesetz.

Ich muss und werde die Euroweb nicht nochmals vorab informieren, denn ich weiß ja, dass die Euroweb und deren Anwälte hier mitlesen.

Anonym hat gesagt…

Fastix, im Hinblick darauf, dass es potentiell tausende Gesch√§digte gibt (die Euroweb wirbt in Pressemittelungen mit "√ľber 20.000" Kunden) ist jedoch Eile geboten. Deshalb ist schon jetzt zumindest eine Beschwerde √ľber den laxen Umgang mit Referenzkundendaten bei dem obersten Landesdatensch√ľtzer NRW anh√§ngig. Nicht lange lamentieren, machen! So lautet die Devise! ;-)

. hat gesagt…

Nicht lange lamentieren, machen!

Naja.... das sind aber gleich mehrere - und ziemlich grundlegende - Verst√∂√üe. Das bedarf einer ausf√ľhrlichen Begr√ľndung auch technischer Art.

Und dann will ich ja nicht, dass mir die Euroweb mit der Nummer kommt, diese habe keine Gelegenheit gehabt, selbst Stellung zu beziehen.

Anonym hat gesagt…

"Und dann will ich ja nicht, dass mir die Euroweb mit der Nummer kommt, diese habe keine Gelegenheit gehabt, selbst Stellung zu beziehen."

Na und? Kann sie Dir gerne mitteilen, keine Gelegenheit gehabt zu haben. Nur, es gibt ein Gef√§hrdungspotential tausender Referenzkunden und das sollte wichtig sein. An der Stelle sollte auch auf den hintersten B√§nken klar sein, jeder hat das Recht und die Pflicht dazu, zust√§ndige staatl. Stellen √ľber gewisse Vers√§umnisse in Kenntnis zu setzen. Und f√ľr mich ist die Euroweb an der Stelle auf einer Stufe mit Lidl & co.

Wollen wir an dieser Stelle mal darauf hoffen, dass die hier zust√§ndige Landesdatenschutzaufsicht f√ľr den nicht √∂ffentlichen Bereich NRW die Verantwortlichen bei der Euroweb in der n√§chsten Zeit zur Vernunft bringen m√∂ge. Die Webentwickler/Webhoster sollten sich, falls sie sich derzeit nicht selbst zu helfen wissen, Datenschutzverst√∂√üe auf ihren Serversystemen rechtzeitig vor dem Einschreiten staatl. Stellen zu beenden, sachkundige Hilfe von Aussen heranziehen.

Im f√ľr die Euroweb schlimmsten Falle k√∂nnen bei Datenschutzverst√∂√üen 250.000 Euro Bu√ügeld, ersatzweise 6 Monate Ordnungshaft f√ľr die Gesch√§ftsleitung drohen, falls diese nicht zum Einlenken bereit sind. In dem Fall kann man sagen: Pech gehabt! ;-)

Anonym hat gesagt…

"Naja.... das sind aber gleich mehrere - und ziemlich grundlegende - Verst√∂√üe. Das bedarf einer ausf√ľhrlichen Begr√ľndung auch technischer Art."

Reich doch eine zusätzliche Beschwerde ein. ;-)

https://www.ldi.nrw.de/metanavi_Kontakt/index.php

Kommentar veröffentlichen