Phishing mit Ködern und ein Pwn2Own-Wettbewerb ohne Ergebnis(meldungen) liefern den Stoff für diesen Standpunkt Sicherheit.

Phishing am Marktstand

Infosecurity Europe hat 2008 schon bewiesen, dass Benutzer ihre Passwörter auch gerne mal gegen einen Schokoriegel eintauschen (siehe Standpunkt Sicherheit vom 21. April 2008). Wie wäre es also mit folgendem Phishing-Angriff: Man stellt irgendwo einen Stand auf und verkauft dort Pakete mit verschiedenen Sorten Süßigkeiten zu besonders günstigen Preisen, die man u.a. mit Kreditkarte bezahlen kann. Wer darüber tweeted, bekommt eine Tafel Schokolade gratis. Und damit das ganze schön einfach ist, müssen die Kunden ihren Twitter-Benutzernamen und das Passwort nur in ein Formular eintragen, das tweeten übernimmt dann der Standbetreiber. Das ganze ist natürlich vollkommen sicher, denn der Betreiber gibt die Daten direkt bei Twitter ein, und die Kreditkarte hat man dem Standbetreiber ja auch gegeben. Gute Idee? Eigentlich nicht, oder? Darauf würde doch wohl keiner reinfallen, oder? Nach den Erfahrungen von Infosecurity Europe wäre ich mir da nicht all zu sicher.

Und das ganze online...

Was im "Real Life" schon etwas phishig riecht, stinkt online ja geradezu: Man nehme eine Website, die verschiedene Programme als Paket besonders günstig anbietet. Und wer darüber tweeted, bekommt ein weiteres Programm gratis. Und damit das ganze schön einfach ist, müssen die Kunden ihren Twitter-Benutzernamen und das Passwort nur in ein Formular eintragen, das tweeten übernimmt dann der Website-Betreiber. Das ganze ist natürlich vollkommen sicher, denn der Betreiber gibt die Daten direkt an Twitter weiter, und die Übertragung ist genauso HTTPS-gesichert wie die beim Kauf der Software. Gute Idee? Eigentlich nicht, oder? Das stinkt doch geradezu nach Phish, oder? Schließlich weiß doch heutzutage jedes Kind, dass man seine Zugangsdaten nur auf den jeweiligen Seiten der Anbieter eingibt und nirgends sonst, egal was dafür versprochen wird.

Und nun das ganze mit vertrauenswürdigem Anbieter

MacUpdate bietet regelmäßig als "MacUpdate Promo" Programme günstiger an, zur Zeit gibt es im Rahmen des 'MacUpdate Promo Spring Bundle 2010' 10 Mac-Anwendungen für 49,99 US-Dollar, die regulär 376 US-Dollar kosten würden. Darunter z.B. den Virtualisierer Parallels 5 - und das zu einem Preis, den man sonst schon für das Update von Version 4 auf Version 5 zahlen würde. MacUpdate ist auch ein seriöses Angebot, es spricht also nichts dagegen, das Bundle zu kaufen. Wie nach den obigen Beispielen nicht anders zu erwarten, bekommt man bei MacUpdate fürs tweeten ein kostenloses Programm - und dafür muss man nur seine Twitter-Zugangsdaten eingeben. Unter dem Formular auf https://www.mupromo.com/twitter steht

"This form interfaces directly with Twitter. Your Twitter login credentials are not being stored, logged, or transferred by any MacUpdate servers."

Vertrauenserweckend, oder? Naja, halbwegs, das <form action="/tweet.php" ...> in der Seite macht doch etwas misstrauisch, das sieht doch ganz so aus, als würden die Daten doch über den MacUpdate-Server übertragen. Auf dem ersten Blick habe ich auch nichts gefunden, was auf eine direkte Kommunikation mit Twitter hinweist. Außerdem stammt ein Teil des JavaScript-Codes von MooTools und ist "obfuscated", was ihn eigentlich auch schon wieder verdächtigt macht, manche Anbieter haben das wohl immer noch nicht begriffen. Aber das ist mir eigentlich alles ziemlich egal, da ich Zugangsdaten prinzipiell nicht auf anderen Servern eingebe. Auch nicht, wenn ich ihnen bzw. den Betreibern wie in diesem Fall in anderer Hinsicht vertraue.

Deutlich über 10.000 Benutzer haben sich aber an diesen Grundsatz nicht gehalten. Geht man davon aus, dass ein Teil direkt getweeted hat, was nach einem Kommentar zum Bundle möglich ist, und ein weiterer das Passwort direkt nach dem tweeten geändert hat, bleiben immer noch eine große Anzahl Twitter-Accounts, die man damit prinzipiell als kompromittiert betrachten muss.

"Er hat sich redlich bemüht..."

Ich gehe davon aus, dass die MacUpdate-Betreiber nichts Böses im Sinn haben, der Sicherheit haben sie damit aber auf jedem Fall einen Bärendienst erwiesen. Wenn das Eingeben der Zugangsdaten auf mupromo.com OK ist, warum dann nicht auf phishmich.invalid? Vor allem, wenn man da sogar 2 kostenlose Programme bekommt? Oder auf haschmich.invalid, auf dem es dann Nacktfotos von [insert your favorite star] gibt? Vor allem, wenn diese Seiten auch über HTTPS gesichert sind? Ob Twitter von dieser Lektion in Sachen Unsicherheit begeistert ist, wage ich zu bezweifeln.

"Gut gemeint" ist halt in den meisten Fällen nicht automatisch auch "gut gemacht" - die MacUpdate-Konkurrenz von MacHeist kommt beim gleichen Angebot ohne die Eingabe des Twitter-Passworts aus, benötigt dafür allerdings mehrere Schritte, während MacUpdate das alles in einem erledigt.

Gut oder Böse?

Weder das Zertifikat für www.mupromo.com noch die SSL-gesicherte Verbindung sagt irgend etwas über die Sicherheit der Twitter-Zugangsdaten aus. Ein Zertifikat beweist nur, dass der Server der darin angegebenen Organisation gehört - in diesem Fall ist die sogar nur mit www.mupromo.com angegeben! Und die SSL-Verschlüsselung sorgt nur dafür, dass die Daten während der Übertragung nicht belauscht werden können (oder nicht mal das) - was danach damit passiert, weiß nur der Betreiber des Servers.

Es gibt nichts, was einen Phisher daran hindert, sich ein Zertifikat für den Server phishing.invalid der Organisation Phishing Inc. zu beschaffen. Wer sicher sein möchte, dass seine Twitter-Zugangsdaten wirklich nur bei Twitter landen, muss sie auf dem Twitter-Server eingeben, der das Zertifikat von Twitter vorweisen kann. Dass das in diesem Fall von der gleichen CA wie das von www.mupromo.com stammt und als Organisation nur twitter.com enthält, ist wohl eine Ironie des Schicksals.

Pwn2Own 2010 sanft entschlafen?

Eigentlich wollte ich heute auch die Ergebnisse des Pwn2Own-Wettbewerbs kommentieren, aber der scheint nach dem ersten Tag sanft entschlafen zu sein. Zumindest habe ich nirgends Berichte über die Ergebnisse des 2. und 3. Tags gefunden. Nicht mal darüber, dass es ggf. keine Ergebnisse mehr gab, weil sich keiner mehr an den verbleibenden Smartphones oder dem Notebook mit Google Chrome versucht hat. Die letzte Nachricht ist ein Tweet der ZDI vom 26.3.:

"The contest is still officially open until the end of the conference. Someone is actively working on the Nokia."

Die Konferenz endete am 26. - sollte die Abschlussfeier so heftig ausgefallen sein, dass alle Teilnehmer noch ihren Rausch ausschlafen? Mangels ausreichenden Materials verschiebe ich die Kommentare jedenfalls auf die nächste Woche und hoffe, bis dahin berichtet irgend jemand über die restlichen Ergebnisse.