Armee und die tücken des Web 2.0
Ich bin vorhin gerade bei Mario über den Eintrag zum Thema Armee und Web 2.0 gestossen. In seinem Beispiel geht es um konkrete Beispiele der israelischen Armee, in denen als geheim klassifizierte Materialien (Einrichtungen, elektronische Ausrüstungen, Waffen plötzlich auf Internetplattformen wie Facebook auftauchten.
Aufgrund meiner soldatischen Ausbildung und meinem hang zur Fotografie wurde ich unlängst auch mit dieser Problematik konfrontiert.
Das Web 2.0 oder besser gesagt, die Möglichkeit Information zu jeder Zeit schnell und vor allem einfach zu Vernetzen stellt für Organisationen mit sicherheitsrelevantem Material, wie die Regierungen und Armee/Landesverteidigungen, ein grosses Problem dar.
Um in der RS Fotos zu erstellen benötigt man die Genehmigung des Schulkommandanten und muss (jedenfalls bei uns) die geschossenen Bilder zum Review vorlegen. Es ist gut möglich, dass dies bei anderen Lehrverbänden anders gehandhabt wird. Ich habe leider das “Pech” in einer Schule zu sein, welche mehrere konkrete Problemfälle hat (Videos auf Youtube, Bilder auf Flickr und anderes klassifiziertes Material im Internet) daher wird bei uns grob durchgegriffen.
Ich weiss, was du Bloggen wirst - Update auf Wordpress 2.3.2
Lieber Leser, es soll ja bekanntlich einige Menschen geben die ihr Blog mit Wordpress betreiben. In der Version 2.3.1 gibt es einige kleinere Lücken, welche den Abend eines Nerds (damit meine ich auch mich, werde diese Tatsache im realen Leben bestimmt leugnen) massgeblich erheitern. Ein kurzer Blick auf einige Blogs zeigt schnell, dass viele den Schritt auf Wordpress 2.3.2 noch nicht gemacht haben.
Lass das Gesülze und gib gas!
Okay okay bin ja schon dabei. In Wordpress <2.3.1 ist es möglich die noch nicht veröffentlichten Beiträge zu durchstöbern (ohne an der Wordpress-Instanz angemeldet zu sein).
Das reine anhängen und aufrufen des folgenden Strings führt schon in Richtung des gewünschten Resultates.
http://localhost/wordpress/index.php/wp-admin/&paged=1
Normalerweise muss man den Wert nach paged ein bisschen erhöhen (Forceful Browsing lässt grüssen) um zum gewünschten Resultat zu gelangen. Beiträge die als Entwurf gespeichert sind haben normalerweise kein Veröffentlichungsdatum, sind daher nach der Logik von Wordpress “alt” und demzufolge hinter dem ersten veröffentlichten Blogeintrag zu finden.
Ja das ist schön und gut aber…
Ja keine Sorge ich verstehe. Du willst Infos wieso das so ist. He we go, Dude!
Die Entwickler von Wordpress erklären das ganze so:
is_admin() spots the wp-admin in the request and returns true
Wie wir im oberen Beispiel sehen rufen wir von der index.php das Verzeichnis /wp-admin/ auf (jedenfalls rein hypothetisch). Nun gibt aber die Abfrage is_admin() ein true zurück sobald es /wp-admin/ sieht (diese Abfrage geschieht in der query.php). Et voilà wir spielen ein bisschen Verstecken mit der wp-admin Anweisung und schon sehen wir die Entwürfe.
Das eigentlich Interessante daran…
… abgesehen von meiner kurzzeitigen Neugier ist, wie die Leute welche mit Wordpress Bloggen sich so Organisieren.
Ich für meinen Teil habe ziemlich viele Entwürfe gespeichert. Bei anderen stiess man auf keine Entwürfe (weil diese Vermutlich mittels XML-RPC Bloggen, oder sonst sehr ordentlich sind). Bei anderen Hingegen findet man dutzende Beiträge, welche den Weg bis zur Veröffentlichung noch nicht geschafft haben.
Was soll ich tun? Hilfe! - 3 Schritte zum Erfolg
Also genug der Panik, jetzt werden Sie geholfen. Wordpress ist wirklich einfach zu Updaten. Meine 3 Schritt Anleitung klingt zuerst wie das Verhalten bei einem Unfall, ist aber weitaus weniger Hektisch.
Schritt 1: Ruhe bewahren!
Schritt 2: Wordpress Version 2.3.2 herunterladen und einspielen
Schritt 3: Wieder auf der aktuellsten Wordpress-Version bloggen ;-)
[via Wordpress-Trac-Ticket]
Security: Gmail Filter und Umleitungen überprüfen
Als ich vor kurzem meine Newsfeeds aufgeräumt habe wurde ich stutzig als der RSS-Feed von David Airey plötzlich nicht mehr funktionieren sollte. Ich rief die Seite auf, und wurde auf einen Domaingrabber weitergeleitet.
Ich wurde stutzig, wieso sollte David seine gut besuchte Webseite einfach so aufgeben? Eine kurze Anfrage bei Google bringt mir einen Beitrag bei Blogging Tom.
David hat kurz vor seinen Ferien geschrieben, dass er einige Tage offline sein wird. Das war offensichtlich ein Fehler.
Scheinbar hat ein Hacker Davids Gmail-Account mit einigen Filterregeln und Weiterleitungen präpariert, um die Domain übernehmen zu können. Die angekündeten Ferien waren also quasi der Startschuss für den Hijack.
Eine ausführliche Beschreibung über den Hergang des Domain Hijacks findet man bei David (welcher unterdessen die Domain gewechselt hat und unter davidairey.co.uk erreichbar ist). Dem Hacker war es also möglich, während der Auszeit von David die Domain ohne Probleme im Nahmen von David zu kidnappen, ohne das David innert nützlicher Frist agieren kann.
Spannend ist auch, dass der Hacker seine Tat sehr weit im Voraus geplant hat, da die Sicherheitslücke bereits im ende September 2007 geschlossen wurde.
Wer Gmail sehr aktiv nutzt sollte unbedingt die Weiterleitungen und Filterregeln überprüfen. Der Account kann auch ohne nach dem Schliessen der Sicherheitslücke betroffen sein. Die Sicherheitslücke beinhaltete lediglich die Möglichkeit von externen Seiten Weiterleitungen und Filterregeln zu definieren. Ein manipuliertes Konto behält die ungewollten Filterregeln und Weiterleitungen auch nach dem Sicherheitsfix aktiv.
Top 10 Datenschutz Verletzungen im Jahr 2007
Britischen Behörden gehen erneut Millionen Daten verloren
Um das Risiko des Datenverlustes auf diesem Wege zu beseitigen, würden nun die Daten nicht mehr auf Festplatten verschickt (Kommentar: Postversand!), sondern auf “elektronischen Weg” transportiert.
Zitat Heise
Schon nur wenn solche Schlagzeilen meinen Weg kreuzen, fährt mir ein kalter Schauer über den Rücken. Im Letzten Jahr gab es relativ viele Meldungen über Datenschutz Verletzungen, was man auf die Webblase (Dotcom-Bubble 2.0 oder doch besser .com-Bubblr 2.0 Beta) zurückführen kann. In einigen Fällen kann man das aber auch auf schlechten Coding-Stil zurückführen.
Über Bruce Schneiers Blog habe ich zur Top 10 der Datenschutzverletzungen im 2007 (englisch) gefunden. Auf dieser Seite ist vom verlieren von Festplatten und CDs über Malware-Infizierte Firmenseiten ist alles vertreten.
Dreamlab knackt Funktastaturen
Wie ich gerade bei Neuerdings gelesen habe, hat die schweizer Firma Dreamlab Technologies die Verschlüsselung von Microsoft Funktastaturen geknackt.
Bereits seit längerem wurde diese potentielle Lücke von verschiedensten Sicherheitsfachleuten kritisiert, aber meist wurde nur Theoretisch über dieses Problem gesprochen. Nun macht die Dreamlab Nägel mit Köpfen und stellt eine Medienmitteilung (PDF), ein Video zur Funktionsweise und ein Whitepaper (PDF) zur Verfügung.
Meiner Meinung nach war lediglich eine frage der Zeit…