26. November 2013 0 Kommentare ThrowbacksInterviews

Wie sicher sind unsere Retros?

Eine absolute Sicherheit ist nur dann gegeben, wenn es in technischer, aber auch menschlicher Hinsicht einem Angreifer nicht gelingen kann, Gebrauch von einer Sicherheitslücke zu machen. In vielerlei Hinsichten ist diese Theorie unrealistisch – das hat sich tatsächlich schon oft genug in Vergangenheit bewiesen. Es gelingt, trotz zusätzlicher Sicherheitsmaßnahmen, Hackern immer wieder, unbefugtes in Retros anzustellen. Entsetzlicher Weise auch noch, ohne dass es jemand bemerkt. Ein großes Sicherheitsrisiko stellt in allen Fällen die Homepage eines Retro Hotels dar. Von dort aus kann es einem Angreifer gelingen, durch eine anfangs “harmlose” XSS-Lücke, die Sache so auszuweiten, dass gleich das ganze Hotel gefährdet ist – aber was ist zu tun, wenn eine Fanseite der hauptsächliche Auslöser einer Ãbernahme ist? Mit diesen Sätzen möchten wir auf das gestrige Geschehen im HabboST (2) eingehen und wurden zugleich von einer unbekannten Person via Facebook angeschrieben, welche behauptet, für die gestrige Aktion mitunter verantwortlich gewesen zu sein. Auf Basis von Beweisen können wir diese Aussage tatsächlich bestätigen.

Zusammenfassend: Gestern wurde das ST (2) Opfer eines Angriffs, der gegen 20:30 Uhr stattgefunden hat. Zunächst wurden die Habbos via Hotelalert von Halluzination (gehackter Account) aufgewiesen, die Startseite neu zu laden. Wer dies tat, wurde auf die “angebliche” Loginseite des Hotels geleitet – hierbei handeltet es sich jedoch um eine gefälschte, sogenannte Phishingseite, die die eingegeben Daten der Nutzer ausspähte. Anschließend erschien eine Seite unter dem Titel “We don’t forget” – das Hotel wurde nach etwa 10 Minuten in den Wartungsmodus versetzt. Update: Heute wurde gegen 14 Uhr erneut ein Alert versendet – “HabboST hacked – in memory of yestarday”.


RetroTimes | Grüß dich und herzlichen Dank für deine Bereitschaft. Wir haben uns beisammen gesetzt, um die Sicherheit in Retros anzusprechen. Wollen wir erst einmal das anathematisieren, was Du gestern im ST (2) anstellen konntest. Wie ist das alles abgelaufen?

Unbekannt | Hey, danke gleichfalls. Nun denn, es war wirklich kein Meisterwerk, das muss ich zugeben. Jeder mit gerade mal mittelwertigen JS- und XSS-Qualifikationen hätte an meiner Stelle stehen und Gleiches resultieren können – ob das beruhigend zu begutachten ist sei mal dahin gestellt. Die ursprüngliche Lücke befand sich gar nicht im HabboST selber, sondern vielmehr in den Gedankengängen der Staffs und einer “offiziellen” Fanseite zum Hotel.

RetroTimes | Uns ist bisher nicht näher bekannt, wie man auf Basis einer Fanseite Staffaccounts übernehmen kann. Magst du uns das bitte näher erläutern, und wie du vorgegangen bist?

Unbekannt | Das mit der Fanseite hat sich eher durch Zufall ergeben. Als ich mir durch eine recht simple SQL-Lücke auf der Fanseite Zugang zur Datenbank verschaffen konnte, musste ich feststellen, dass ein dortig registrierter Nutzer zufälligerweise gleichzeitig als eXperte im Habbo.st eingestellt war. Zu meinem Glück – oder besser gesagt zur Dummheit und Inkompetenz des Besitzers – wurde das Passwort selbstverständlich nicht einmal verschlüsselt in die Datenbank übertragen, sodass es völlig im Klartext dastand – ein Vorteil. Interessiert probierte ich, ob das Passwort mit dem von seinem ST-Account übereinstimmte. Nun dürft ihr dreimal raten.

RetroTimes | Es hat wohl gepasst. Von einer Fanseite bis in den Account eines Xlers. Eine Frage hätte ich aber: Mit dem Account eines Xlers, der theoretisch nur die gleichen Rechte wie ein normaler User besitzt, lässt sich doch nicht wirklich besonderes anstellen, oder?

Unbekannt | Dasselbe dachte ich mir anfangs auch. Naja, immerhin hatte er paar seltene Rares, die ich eben auf meinen Account übertrug.  Aber um wieder zur Sache zu kommen – es gab tatsächlich zwei Vorteile. Zum einen war man automatisch mit den Moderatoren und/oder Staffs befreundet, die einem vertrauten, und zum anderen wurde man auf der HabboX Seite aufgelistet. Eine Seite, die mittels einer XSS-Lücke ausgenutzt werden konnte. Versteht es nicht falsch, an sich ist die HabboX Seite keine Gefahr, denn die Lücke ist – als normaler Habbo – unsichtbar und existiert gar nicht. Zumindest so lange, bis dort ein Xler aufgelistet wird, der zufällig einen HTML-Code in seinem Motto trägt. Durch diesen Code konnte ich einiges erreichen. Es war vielleicht nur mein Glück – aber tatsächlich hat Halluzination, die Hotelmanagerin, nur wenige Minuten danach die HabboX Seite besucht. Nun hatte ich praktisch Zugang zu ihrem Account.

RetroTimes | Demnach ist es also gar nicht HabboST, oder je nach dem einem anderen Retro zu verschulden, wenn man auf diese Weise einen Staffaccount entwendet? Wie haben sich deine Gedanken zu diesem Augenblick gewendet?

Unbekannt | 50% 50%. Halluzination war in dieser Sicht total unschuldig, sie hatte einfach nur Pech, die manipulierte Seite aufgerufen zu haben. HabboST würde ich vorwerfen, nicht auf die Zuverlässigkeit seiner Fanseiten zu achten – aber bitte, welches Retro tut das schon? Nach dieser Aktion hoffentlich mehr als davor. Naja, meine Gedanken ¦ ich konnte nun eigentlich einiges tun, da ich das Housekeeping besaß und einen Adminaccount. Wollte jedoch nicht unklug vorgehen und wartete, bis Halluzination off ging. 99% aller Staffs loggen sich am Ende ihres Aufenthalts sowieso nicht aus, ein weit verbreitetes Sicherheitsrisiko. Es hat Spaß gemacht das Housekeeping als Zeitvertrieb ein weiteres Mal zu durchschauen, ich war auch an den davorliegenden Angriffen vor einigen Wochen beteiligt, da basierte das ganze jedoch auf Lücken ausschließlich im Hotel CMS.

RetroTimes | Interessant. Konntest du denn feststellen, dass sich das Hotelmanagement um eine höhere Sicherheit im Hotel bemüht hat?

Unbekannt | Ja. Auch wenn ich’s nur teils nachvollziehen kann. Für das Housekeeping werden mittlerweile 2 Sicherheitscodes und ein weiteres Passwort angefordert. Auf den ersten Blick ist das ein Vorbild für andere Hotels – es genügt also nicht, nur das Passwort eines Mitarbeiters zu haben, um ins Housekeeping zu kommen. Dennoch ist es nur ein sinnloser Schutz, vor allem deshalb, da die heutigen Angriffe größtenteils auf Session Hijacking basieren. Durch die manipulierte Seite, die von Halluzination aufgerufen wurde, brauchte ich also nicht einmal mehr ihr Passwort oder ganze zwei weitere Sicherheitscodes – diese Sicherheitsüberprüfung wurde durch die PHPSESSID übersprungen. Das Housekeeping zu finden war nach wie vor einfacher denn je, schließlich wurde es auf der Startseite verlinkt. Und: Um in den Clienten zu kommen, benötigt man nach wie vor keinen Sicherherheitscode – also kann man noch immer Schaden anstellen.

RetroTimes | Letzteres hast du es geschafft, das ganze Hotel zu übernehmen – wie das? Und wie war’s im Vergleich zu den letzten Malen?

Unbekannt | Den letzten Malen war es praktisch dem Hotel total selbst zu verschulden, die Möglichkeit einer unbefugten Ãbernahme zu ermöglichen. Ich kann nicht behaupten, sie hätten nicht daraus – nach ganzen 4x – gelernt: denn gäbe es diese eine Fanseite nicht, würde das gestern Geschehene nie geschehen sein. Somit in dieser Hinsicht ein Lob, aber nach wie vor massive Lücken in den Vorgehensweisen der Staffs: aber hey, wir sind alle nur Menschen. Ich wartete bis Halluzination off ging und schnipselte mir bis dahin die Codes zusammen. Als sie offline ging wartete ich einige Minuten und da ich Zugang zum Seitenalert via Housekeeping hatte, konnte ich dort jeden beliebigen Code auf der Startseite platzieren. Die Habbos wurden beim Aufruf der Startseite zu einer Phishingseite von mir geleitet, während ich unbemerkt zusätzlich ihre Sessions erhielt – dazu muss ich später noch was sagen. Wer seine Daten bei der Phishingseite angegeben hat, wurde auf eine schwarze Seite mit einer Nachricht geleitet. Das war’s eigentlich schon. Ich glaube das Hotel war dann nach 10 Minuten im Wartungsmodus. Bis dahin haben sich viele Daten gesammelt – keine Sorge, ich habe der Fairness halber alle gelöscht – ausgenommen die von den Staffs oder Moderatoren. 😀

RetroTimes | Was hat dich dazu veranlasst, alle Daten, bis auf die der Mitarbeiter, wieder zu löschen? Und – was gibt es zu den Sessions noch zu sagen?

Unbekannt | Mit den Daten der Habbos kann und möchte ich nichts anfangen. Es waren teils lustige Passwörter dabei, aber mehr als angeguckt und wieder gelöscht hab ich sie auch nicht. Die der Staffs habe ich erhalten – aus einem einfachen Grund: Ich wollte mich von der Dummheit (oder Inkompetenz, wie man’s nimmt) der Staffs selbst noch einmal überzeugen lassen. Wäre es möglich, dass das Hotelmanagement nach dem Angriff nichts unternommen hat und ich es am nächsten Tag theoretisch wiederholen konnte? Ja, es war möglich – in Grenzen. Halluzination wurde entrankt, zwar nicht gebannt, aber entrankt. Ich hatte also nur noch die Moderatorenaccounts, insgesamt 3 Stück, zu denen ich noch heute Mittag problemlos zugreifen konnte. Als Hinweis dafür habe ich einen kleinen Alert verfasst. ST hat also nichts mehr getan, damit die Folgen des Angriffs am nächsten Tag beseitigt sein würden. Viel schlimmer: Ich habe mich mit einem Administrator im Staff Chat des Clients für 5 Minuten unterhalten können und ihm bewusst gesagt, dass ich noch Zugriff auf die Accounts hab. Das einzige was er tat, war, mir zu drohen, nächstes Mal einen Proxy zu verwenden – anschließend ging er off. Und ich stand da, mit 3 Modertoraccounts in meiner Macht.

RetroTimes | Durchaus erschreckend. Eine letzte Frage haben wir an dich – bist du stolz auf das, was du gemacht hast? Wenn ja, wieso? Und was würdest du anderen Retros raten, damit so etwas nicht wieder passiert?

Unbekannt | Stolz .¦ hm. Nein, nicht direkt. Näheres möchte ich dazu nicht sagen. Seid ihr stolz auf die Tat? Auf alle Fälle gibt es viel zu sagen, was den gestrigen Vorfall hätte verhindern können. Ich rate einfach jedem Hotel, seine offiziellen Fanseiten auf Zuverlässigkeit in der Technik zu überprüfen, um keine Risiken einzugehen. Eine offizielle Fanseite sollte nämlich auch Zuverlässig und sicher sein. Jede Fanseite sollte am besten mit dem großen Hinweis versehen sein, ein anderes Passwort bei der Registrierung als im jeweiligen Retro Hotel zu verwenden. Außerdem ist es zu einfach, in den internen Administrationsbereich zu kommen – die Verlinkung auf der Homepage sollte auf jeden Fall weg, für den Fall, dass ein Staffaccount unbefugt übernommen wird. Da die meisten Hotels das HabboRE/Holo-CMS verwenden empfiehlt es sich auch, die URL zum Housekeeping in eine eigene umzubenennen, die nur die Staffs kennen. So wäre schon mal gewährleistet, dass ich gestern beispielsweise nicht ins Housekeeping gekommen wäre. Ansonsten lässt sich noch sagen, nicht an Bemühungen zu sparen.

RetroTimes | Danke für das entsprechend interessante Interview.


Der Entschluss steht also fest – Lücken wird es immer geben. Das Ziel eines jeden Retros sollte darin stehen, die Gefahren und das Risiko so minimal einzuschränken, dass es kaum oder nur noch sehr schwer besteht. An diesem Beispiel können sich einige Hotels ein gutes Bild nehmen, um die innere Sicherheit zu stärken. Ob der Angriff von auf das ST (2) Notwendigkeit war lässt sich bestreiten. Man hätte es durchaus auch auf die friedliche Art ausquatschen können, so wenn man einen Staff direkt drauf anspricht – aber, wer tut das heute schon noch? Sobald eine Lücke gefunden wurde, wird sie, sofern möglich, ausgenutzt. Und dahinter wird direkt ein guter Zweck gesetzt. Unsere Gemeinschaft ist an einem Punkt angekommen, in dem nicht mehr geredet und geklärt wird, sondern vielmehr ausgenutzt und betrogen – und das schon seit längerem, was kein Geheimnis ist. Retros mit minderwertigen Sicherheitsstandards sollten daher diesen Artikel besonders zu Herzen nehmen und Unternehmungen einleiten.

Hinweis | Es haben sich vermehrt Faker auf Skype, Facebook oder in einzelnen Hotels gemeldet, die vortäuschen, der hier unbekannte im Interview zu sein. Diese Aussagen stimmen nicht – uns wurde versichert, dass die jeweilige Person anoynm bleiben möchte und sich garantiert nicht bei der Öffentlichkeit melden wird – andernfalls hätte er auch nicht im Interview anonym gehalten werden wollen. Vorsicht vor Betrügern.

Like
Like Love Haha Wow Sad Angry

Hinterlasse einen Kommentar

avatar
 
smilegrinwinkmrgreenneutraltwistedarrowshockunamusedcooleviloopsrazzrollcryeeklolmadsadexclamationquestionideahmmbegwhewchucklesillyenvyshutmouth
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types