Skip to content

security.txt

Kennt ihr noch die Datei robots.txt, die auf verschiedenen Webseiten hinterlegt sind? Dahinter stand der Robots Exclusion Standard und die verschiedenen Bots sollen zuerst die Seite ausweren, bevor sie eine Webpräsenz indexieren. Daneben entstand auch die Idee für eine humans.txt und mit dem “Erschaffen” des .well-known-Verzeichnisses auf dem Webserver gibt es eine ganze Reihe Dateiformate zur Information oder für andere Zwecke.

Seit April 2022 gibt es nun den RFC 9116 für die Datei security.txt. Diese soll anderen helfen, Sicherheitslücken an die richtige Stelle zu melden. Denn oftmals steht das Problem, dass eine Schwachstelle gefunden wurde und es vielleicht unklar ist, wohin diese zu melden ist.

Mail wäre natürlich eine mögliche Wahl. Im besten Fall existiert sogar eine E-Mail-Adresse namens security@. Aber sehr häufig ist dies nicht der Fall. Mails an info@ oder ähnliche Adressen landen eher im Nirwana oder werden mit Standardtextbausteinen beantwortet. Daher ist ein gezielter, standardisierter Weg gut.

Der RFC 9116 definiert hierfür eben die Datei security.txt, die im Unterordner .well-known einer Webpräsenz liegen muss. Die Datei selbst muss über HTTPS erreichbar sein. Ein korrekter Pfad wäre also https://example.com/.well-known/security.txt.

Doch was darf da drin stehen? Naheliegend sind Kontaktinformationen. :-) Spezieller Informationen, an die man Informationen zu Schwachstellen melden kann. Hierfür ist der Eintrag Contact: gedacht. Dieser muss in der Datei enthalten sein und sollte die Kontaktmöglichkeiten in absteigender Reihenfolge enthalten. Daneben benötigt die Datei zwingend ein Ablaufdatum. Eine Minimalversion der Datei kann also so aussehen:

Contact: mailto:security@example.com
Expires: 2023-05-01T12:13:24+02:00

Weiterhin könnt ihr in der Datei Informationen zu einer Policy hinterlegen, welche Sprachen ihr sprecht, ob ihr Leute einstellt, wer in der Vergangenheit Lücken meldete und einen Verweis zu einem Schlüssel machen. Eine erweiterte Version der Datei sähe also so aus:

Contact: mailto:security@example.com
Contact: +49-123-456-7890
Contact: https://example.com/meldeformular.html
Policy: https://example.com/security-policy.html
Preferred-Languages: de, en
Acknowledgments: https://example.com/hall-of-fame.html
Encryption: https://example.com/pgp-key.txt
Expires: 2023-05-01T12:13:24+02:00

Hier sind mehrere Kontaktmöglichkeiten genannt. Es gibt eine Policy. Die Leute sprechen Deutsch und Englisch und ihr bekommt Infos über andere, die etwas gemeldet haben. Am Schluss findet sich auch ein PGP-Schlüssel. Optimalweise würde der über Web Key Discovery bereit gestellt. Aber das ist ein Thema für einen anderen Beitrag. ;-)

Schließlich könnt ihr den Eintrag auch noch mittels OpenPGP signieren. Dann sähe meine obige Datei so aus:

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

Contact: mailto:security@example.com
Contact: +49-123-456-7890
Contact: https://example.com/meldeformular.html
Policy: https://example.com/security-policy.html
Preferred-Languages: de, en
Acknowledgments: https://example.com/hall-of-fame.html
Encryption: https://example.com/pgp-key.txt
Expires: 2023-05-01T12:13:24+02:00

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.2.19

[Viele Zeichen, die gpg auswerten kann]
-----END PGP SIGNATURE-----

Wenn ihr also eine Schwachstelle gefunden habt, dann lohnt es sich nach der Datei zu schauen und die dort genannten Kontakte anzusprechen. Ich habe mal ein wenig gegraben. Bei den großen, bekannten Seiten, wie Google, Facebook, Twitter, GitHub usw., fand ich jeweils eine solche Datei. Seiten aus dem Microsoft-Universum wie auch viele chinesische Seiten haben keinerlei solche Informationen.

Ansonsten ist das Bild recht gemischt. Während beispielsweise Facebook und WhatsApp eine security.txt anbieten, hat Instagram keine, obwohl alle zum selben Konzern gehören.

Unter andere namhaften Seiten fand ich nichts bei

  • Reddit
  • Wikipedia
  • Zoom
  • Netflix
  • Stackoverflow
  • Apple
  • und weiteren

Hier ist also noch ein wenig Arbeit zu tun. Wenn die Datei auch bei euch oder eurem Arbeigeber fehlt, sprecht die doch an und bittet die, diese Informationen bereitzustellen (und natürlich bei Bedarf zu aktualisieren).

Siehe auch:

Update: Ich hatte übersehen, dass das Expires:-Feld auch ein Pflichtfeld ist und habe die obige Beschreibung ergänzt. Vielen Dank an Jürgen für den Hinweis!

Wer ist hinter APT3?

Habt ihr schon mal von APT3 oder Gothic Panda oder Buckeye gehört? Oder sagen euch die Operationen Double Tap oder Clandestine Fox etwas?

Zugegeben sind die Aktionen aus dem Jahr 2014 und damit schon etwas älter. Die Gruppe, die als APT3, UPS, Gothic Panda, Buckeye etc., bekannt ist, ist schon weit älter. Das Unternehmen FireEye berichtete bereits im Jahr 2010 zum ersten Mal darüber.

Die Operation Double Tap bestand aus einer Phishing Mail, die Leute zu einer Mitgliedschaft in einem Playboysclub einlud. Wer dann auf den Link in der Mail klickte, gelangte auf eine Webseite, die einen Exploit ausnutzte. Dieser installierte letztlich eine Schadsoftware auf dem Rechner und diese kommunizierte mit einem Server. FireEye hat mehr Details zu der Operation. Die Operation Clandestine Fox war ähnlich interessant.

Nun fragen sich viele, wer eigentlich hinter der Gruppe steckt. Wenn man aktuelle Pressemitteilungen liest, so ergibt sich der Eindruck, dass es immer entweder russische oder chinesische Angreifer sind. Im Falle von APT3 gibt es noch ein paar mehr Hinweise:

  • Die Domainnamen müssen von einer Person registriert werden. Dabei wurde die E-Mail-Adresse mxmtmw@gmail.com angegeben. Ausgehend davon gelang es, eine Person mit dem Namen Wu Yingzhou zu ermitteln. Die Seite https://intrusiontruth.wordpress.com/2017/05/02/who-is-mr-wu/ hat alle Details dazu.

  • Auch bei einer zweiten Domain spielte eine andere E-Mail-Adresse eine wesentliche Rolle. Die Forscher konnten die Person Dong Hao ermitteln.

  • Beide Personen sind Eigentümer der Firma Boyusec. Diese Firma wiederum ist Auftragnehmer des Ministeriums für Staatssicherheit in China.

Das ist doch ein recht klarer Hinweis, dass Boyusec hinter APT3 steckt. Dies folgt einem Trend. Denn viele Dienste lagern die Aufgaben an Privatfirmen aus.

Gedanken zur Sicherheit bei Wikipedia

Kürzlich fragte mich Sebastian Wallroth, ob ich nicht eine Folge seines Podcasts Wikistammtisch mit gestalten könne. Natürlich sagte ich zu und so entstand die Folge 14 der Sendung.

Das Thema sollte Sicherheit und Wikipedia sein. In der Sendung konzentrierten wir uns auf die Wikipedianer, die Texte lesen und editieren wollen. Dies sollte allen Menschen auf der Welt möglich sein. Daher war Tor und offene Proxys einer unserer Diskussionspunkte. Weiterhin sprachen wir HTTPS bzw. TLS kurz an. Passwortsicherheit und Mailverschlüsselung waren weitere Punkte, die wir ansprachen. Ich hätte natürlich noch viel länger zu dem Thema erzählen können. :-) Einige Punkte will ich untenstehend kurz erläutern.

Sicherheit in der Wikipedia für Anwender

Die meisten Menschen nutzen die Wikipedia, um Artikel bzw. Lemmata zu lesen. Einige bearbeiten Artikel. Aber es gibt unter den Leuten, die ich als Anwender sehe noch weitere Rollen:

  • Sichter: Diese Leute haben durch ihre Mitarbeit einen Vertrauensstatus gewonnen und deren Änderungen werden automatisch sichtbar. Weiterhin können sie Änderungen anderen anschauen und diese Änderungen als frei von Vandalismus markieren. Dadurch wird die Version auch unangemeldeten Besuchern angezeigt (siehe Gesichtete Artikel).
  • Administrator: aus der Hilfeseite:
    Sie haben die Möglichkeit, Benutzer zu (aktiven) Sichtern zu machen, ihnen diesen Status zu entziehen, Benutzer zu sperren und solche Sperren wieder aufzuheben. Außerdem können sie einzelne Versionen einer Seite löschen, so dass diese nur noch für Administratoren einsehbar sind.

    Das heißt, diese Benutzergruppe hat besondere Rechte. und darf insbesondere auf personenbezogene Daten zugreifen.

  • Bürokrat: Diese dürfen andere Benutzerrollen vergeben. Insbesondere dürfen sie auch Personen zu Administratoren ernennen.
  • Checkuser: Dieser Personenkreis kann sehr tiefgreifende Änderungen vornehmen und diese sollten ihren Zugang entsprechend stark schützen.
  • Daneben gibt es noch weitere Rollen. Diese unterscheiden sich aus meiner Sicht nicht großartig von einem normalen angemeldeten Benutzer.

Nicht angemeldete Anwender

Personen, die die Wikipedia besuchen, ohne sich ein Benutzerkonto angelegt zu haben, haben einige Anforderungen bezüglich der IT-Sicherheit. So wollen sie bei der Eingabe der URL http://de.wikipedia.org/ auch auf der Wikipedia-Seite landen.

Nach der Eingabe der URL macht das System zunächst eine DNS-Abfrage und erhält die IP-Adresse zurück. Diese Antwort kann natürlich gefälscht werden. Hier wäre es sinnvoll, wenn die Anfrage schon in einer gesicherten Form zurückkommt, so dass zumindest Fälschungen erkannt werden. Ich verweise mal auf die 33. Sendung des Datenkanals zu DNSSEC.

Nun versucht der Browser die Wikipedia-Seite zu besuchen. Wie ich beim Wikistammtisch erwähnte, erfolgt der die Eingabe zumeist per HTTP. Die diversen Wikipedia.org-Seiten sind einigen Browsern vorab bekannt und werden sofort per HTTPS geladen. Dies geschieht ohne das jemand eingreifen muss. Sollte ein Browser dieses Vorwissen nicht haben, so sagt der Webserver der Wikipedia, dass der Browser zur HTTPS-Version der Webseite wechseln soll. Die HTTPS-Version ist von einer externen Stelle (Certificate Authority) bestätigt und so wird versucht sicherzustellen, dass sich niemand zwischen die Verbindung mogeln kann. Damit ist nun eine Verbindung zu einer Seite aufgebaut, wo Anwender sicher sein können, dass es sich um die Wikipedia handelt. Ausnahmen hatte ich im Podcast beschrieben.

Wenn sich Personen auf den Seiten der Wikipedia bewegen, wollen sie die Inhalte sehen und weder Werbung noch Schadsoftware erhalten. Hier hat der Serverbetreiber eine Verantwortung sich um die Sicherheit der Server wie auch der Anwendung zu kümmern. Hin und wieder kommt es vor, dass in Server eingebrochen wird, um Schadsoftware zu verteilen. Ähnliches passiert bei Werbenetzwerken. Auch da wird gern versucht, über Werbung Schadsoftware zu verteilen.

Weiter gibt es in den USA die »Expectation of Privacy«, die sich aus dem Vierten Verfassungszusatz ergibt. Auch in Deutschland haben wir ein starkes Datenschutzrecht. Hier wäre es interessant zu wissen, welche personenbezogenen Daten die Wikipedia speichert und natürlich wie lange. Derzeit wird von der Seite ein Cookie gesetzt, der zwei Monate Gültigkeit hat und nur über einen sicheren Kanal (HTTPS) übertragen wird. Weitere Cookies werden nach Beendigung der Browsersitzung gelöscht. Die Foundation hat eine längere Erklärung zu den Cookies. Wenn ein Artikel bearbeitet wird, so verbleibt die IP-Adresse im Logbuch der letzten Änderungen.

Angemeldete Benutzer

Wenn sich jemand entscheidet, ein Benutzerkonto anzulegen, kommen weitere Betrachtungen hinzu. Insondere stellt sich die Frage nach der Sicherheit des Passworts. Für mich ist hier wesentlich, dass das Wikipedia-Passwort verschieden zu anderen sein sollte. Was die Länge und die Gestalt des Passworts betrifft, sollte man sich überlegen, wie wichtig das Konto ist. Denn wenn jemand das Passwort errät, kann diese Person im Namen des andere Bearbeitungen durchführen und am Ende wird das Konto vielleicht gesperrt. Das heißt, der Schaden für normale Benutzer hält sich in Grenzen. Daher würde ich die Anforderungen an das Passwort nicht so hoch ansetzen.

Die Lage ändert sich, wenn jemand CheckuserAdministrator bzw. Bürokrat ist. Diese Rollen habenhat wesentlich mehr Rechte und der potenzielle Schaden ist größer. Daher würde ich erwarten, dass es bei diesen Rollen stärkere Anforderungen an das Passwort bzw. andere Authentifizierungsverfahren gibt.

Im Podcast sprachen wir das Thema Mail an. So bekommt ein angemeldeter Nutzer verschiedentlich Mails. Facebook hat eine Möglichkeit geschaffen, einen OpenPGP-Schlüssel in seinem Profil zu hinterlegen. Alle Mails von Facebook kommen dann automatisch verschlüsselt und signiert an. Dadurch ist es unter anderem recht einfach Spam von echten Facebook-Mails zu unterscheiden. Es wäre wundervoll, wenn Wikipedia auch diese Möglichkeit bieten würde.

Sicherheit in der Wikipedia für andere

Wie ihr seht, sind die obigen Betrachtungen schon recht lang geworden. Aber innerhalb des Wikipedia-Universums gibt es noch andere Personengruppen. So betreiben Administratoren die Server. Das heißt, sie pflegen die Hard- wie auch die Software. Welche Anforderungen müssen diese Personen erfüllen? Auch gibt es einen Personenkreis, der die Software programmiert. Hier kann man sich ebenfalls Gedanken zu den Anforderungen bezüglich der Sicherheit machen. Doch beides wird sehr lang und viel. Daher lagere ich das mal auf einen eventuellen zukünftigen Artikel aus.

Wunsch für die Zukunft

Im Rahmen meiner Überlegungen zur Sicherheit in und um die Wikipedia fiel mir noch ein großer Wunsch ein:

Es wäre phantastisch, wenn die Wikipedia als Tor Onion Service zur Verfügung stehen würde. Dies macht es gerade Leuten in zensierten Ländern viel einfacher, die Seiten zu erreichen. Die Webseite ist von einem Ende zum nächsten verschlüsselt und es macht es Angreifern viel schwerer, die Verbindung aufzubrechen. Unter anderem macht es Facebook mit der Seite https://facebookcorewwwi.onion/ vor. Aber auch DuckDuckGo (http://3g2upl4pq6kufc4m.onion/) sowie Debian und Tor selbst betreiben viele Seiten im Tor-Netz. Daher wäre Wikipedia ein wundervolles Beispiel für einen weiteren Tor Onion Service, der vermutlich vielen Menschen großen Nutzen bringt.

Update: In der Diskussion wies mich Raymond darauf hin, dass Administratoren doch nicht die großen Rechte haben, die ich vermutete. Diese sind erst bei Checkusern gegeben. Daraufhin habe ich den Artikel angepasst.

Wer steckt fremde USB-Sticks in den eigenen Rechner?

Wer einen Vortrag über IT-Sicherheit oder Social Engineering besucht, wird zwangsläufig die Geschichte von den USB-Sticks zu hören bekommen. Demnach hat der Vortragende oder eine andere Person in einem Unternehmen USB-Sticks platziert und kurze Zeit später wurden diese an die Arbeitsplatzrechner gesteckt, obwohl dies strengstens verboten ist. Doch ist an der Geschichte wirklich etwas dran? Forscher verschiedener Universitäten veröffentlichten eine Studie, die dem Phänomen auf den Grund geht.

Dazu präparierten sie USB-Sticks und verteilten sie auf dem Campus der University of Illinois at Urbana-Champaign. Die Sticks waren unterschiedlich gestaltet. Das rangierte von neutral bis zu beschrifteten Sticks oder solchen, die an einem Schlüsselbund hingen. In der Studie finden sich Beispielbilder. Auf den Sticks befanden sich HTML-Dateien, die einen img-Tag zur Anzeige von Bilder beinhalteten. Dieses Bild wurde von einem Server geladen, den die Forscher kontrollierten. So sahen sie, wenn jemand den Stick einsteckte.

Insgesamt verschwanden fast alle der abgelegten USB-Sticks (290 von 297 Stück). Knapp die Hälfte wurde von den Findern geöffnet. Dabei zeigte sich, dass nur die Geräte, bei denen eine Adresse vermerkt war, weniger geöffnet wurde. Bei allen anderen Markierungen wurden jeweils so um die Hälfte in den eigenen Rechner gesteckt und geöffnet. Welche Dateien interessierten die Finder besonders? Je nach Stick trugen die Dateien unterschiedliche Namen. Besonders häufig wurde der Bilderordner mit Bildern des »Winter Break« geöffnet. Aber auch Prüfungen und Lebensläufe fanden die Finder interessant.

Ein weiterer interessanter Nebeneffekt der Studie fand im Web statt. Die Forscher überwachten verschiedene Seiten und wollten sehen, ob die USB-Sticks dort erwähnt wurden. Ein Student postete ein Bild seines Fundes auf Facebook, andere posteten dies bei der Sub-Reddit-Seite der Uni. Dort entspann sich eine Diskussion und die Diskutanten warnten sich, die Sticks in den Rechner zu stecken.

Insgesamt ist die Studie sehr interessant. Sie bestätigt genau die oben angeführte Geschichte, dass Sticks gern mitgenommen und in den Rechner gesteckt werden. Die Angreifer haben hier ein nahezu leichtes Spiel.

Doch wie könnt ihr euch schützen, dass euer Stick verloren geht und in einen fremden Rechner gesteckt wird? Die Erkenntnisse der Studie legen nahe, dass der Stick an einem Schlüsselbund sein sollte und mit einem Namen sowie Adresse beschriftet sein sollte. In diesen Fällen wurden die Sticks äußerst selten an den Rechner gesteckt und auch häufig zurück gegeben. Viel besser ist natürlich die Sticks zu verschlüsseln und ein Backup der Daten zu haben.

Sicherheit bei der WM2014

Kürzlich bekam ich eine E-Mail, die mit dem Satz »auf Ihrer Seite kubieziel.de habe ich gelesen, dass Sie über Fußball berichten« begann. Wer meine Seite kennt, wird wissen, dass es hier kaum um Fußball geht. Aber das soll sich ändern. ;-)

Lagezentrum mit WLAN-Passwort
Das Bild stammt von der WM 2014 in Brasilien. Das Symbolfoto sollte wohl nur den Herrn im Lagezentrum zeigen. Stattdessen erblickt das aufmerksame Auge am rechten Rand die Zugangsdaten für das WLAN. Viel Spaß beim Surfen! ;-)

Rezension des Buches „Web-Sicherheit“ von Sebastian Kübeck

Da die Rezension etwas länger wurde, gibt es in der Artikelübersicht eine Zusammenfassung und in der erweiterten Ansicht alle Details.

Ich wurde kürzlich auf das Buch „Web-Sicherheit – Wie Sie Ihre Webanwendungen sicher vor Angriffen schützen“ von Sebastian Kübeck aufmerksam. Das Thema Web-Sicherheit spielt im Rahmen meiner Vorlesung zu IT-Sicherheit eine Rolle und daher war ich sehr daran interessiert, das Buch kennen zu lernen.

Der Aufbau des Buches gefiel mir sehr gut. Der Leser kann sich zuerst theoretisches Wissen erarbeiten, steigt dann in praktische Aspekte ein und lernt schließlich, wie er die Probleme umgeht.

Beim Lesen fiel mir dann auf, dass einige Teile meinen Erwartungen nicht gerecht werden. So wäre es bei einem Buch über Webanwendungen wünschenswert, dass es zumindest stichpunktartig auf die Techniken des Internet und des Web eingeht. Dieser Teil fehlt hier fast vollständig. Auch werden relevante Aspekte wie beispielsweise SSL zu kurz behandelt. Demgegenüber halte ich die Erwähnung des BTX-Hacks und anderer im Rahmen des Buches vernachlässigenswert.

Im ersten und zweiten Teil des Buches findet sich ein ausführliches Literaturverzeichnis. Das sollte dem Leser helfen, tiefer in die Thematik einzusteigen. Es wäre besser, dass die Zitierschlüssel geändert werden und mehr auf Fachliteratur statt auf Zeitschriftenartikel verwiesen wird.

Ich kann mich schlecht mit Java als Sprache für das Buch anfreunden. Aus verschiedenen Aspekten halte ich diese für weniger gut geeignet und Sprachen wie PHP, Python oder Ruby wären für mich eine bessere Wahl gewesen.

Im Buch selbst ist nach meiner Meinung zu viel Quellcode zu finden. Mindestens ein Fünftel besteht aus abgedrucktem Quellcode. Dabei ist zu viel Irrelevantes mit gedruckt. Für die Beispiele im Buch reichen oft wenige Zeilen. Code über viele Seiten finde ich zu unübersichtlich. Insbesondere auf Grund der Tatsache, dass sich der Autor auch die Arbeit gemacht hat und eine Demoanwendung mitliefert. Hier wäre es empfehlenswert, einfach die zur Erklärung des Beispiels relevanten Zeilen zu drucken und dann auf die betreffende Datei in der Demoanwendung zu verweisen.

Insgesamt bietet das Buch Licht und Schatten. Es hat viele gute Ansätze, die aber noch ausgearbeitet werden sollten. Wenn der Autor dies in einer nächsten Auflage schafft, so ist das Buch dann zu empfehlen. Derzeit bin ich unsicher, ob das Buch dem Publikum wirklich den erhofften Mehrwert bringt.

Continue reading "Rezension des Buches „Web-Sicherheit“ von Sebastian Kübeck"
cronjob