Skirtclub – Gutachten

„Du musst dich sofort bei Max Hoppenstedt von der VICE melde“ steht in der iMessage, die ich von einem Freund bekomme. In der Tat, in meinen Emails finde ich eine Mail von Max und seine Telefonnummer. Es gehe um eine Sicherheitslücke und die solle sich ein Experte (damit meinte er mich) mal ansehen. Da ich schon immer mal die VICE-Räume von innen sehen wollte, willige ich ein.

Hier könnte der Blogpost schon aufhören, denn was ich zu sehen bekam, steht alles in dem Artikel, den Max zusammen mit Wlada Kolosowa geschrieben hat (die für die VICE bereits über den Skirtclub berichtet hatte).

Max bittet mich um eine Einschätzung und ob ich das genauer untersuchen kann, bittet mich aber ausdrücklich, nur legale Mittel einzusetzen. Ein wenig rumklicken? Aber gerne doch. Raus kommt ein Kurz-Gutachten, dass ich Max am 15.12.2016 per Mail zusende. Damit ihr bewerten könnt, wie absurd die Lücke bei Skirtclub war, gibt es hier das Gutachten.


Einfaches Sicherheitsgutachten

Stephan „tomate“ Urbach
mail@stephanurbach.de

Version 1 vom 15.12.2016
Version 1.1 vom 28.01.2017 (Rechtschreibung und Formulierungsschwächen korrigiert), Umformulierungen die Rückschlüsse auf die Quellen vermeiden.

Seite: http://skirtclub.co.uk
Auftraggeber: VICE

Alle Angaben beziehen sich auf den Zustand am 15.12.2016

Ausgangslage:

skirtclub.co.uk ist eine soziales Netz zum Zwecke der Verabredung von Frauen untereinander, um sich zu treffen und sexuelle Wünsche auszuleben. Es richtet sich vor allem an Frauen, die nicht öffentlich als lesbisch oder bisexuell geoutet sind und solche, die ihre Neugierde auf gleichgeschlechtlichen Verkehr ausleben wollen.

Die Seite skirtclub.co.uk wird von der Skirt Club Ltd. in London UK betrieben. Die Domain verweist auf die IP 199.223.114.2321, die im Netz der amerikanischen In Motion Hosting, Inc. liegt2.

Quellen meldeten VICE die Problemlage, dass der Bilderordner der Seite frei zugänglich ist und alle Bilder, die je auf der Seite hochgeladen wurden, frei zugänglich sind.
Der Gutachter wurde von VICE beauftragt, ein schnelles Sicherheitsgutachten zu erarbeiten und dabei nur legale Mittel einzusetzen.

1. Verbindungsverschlüsselung:

Die Betreiberin der Seite gibt unter http://skirtclub.co.uk/privacy an, dass alle Eingaben vor Übertragung an den Server verschlüsselt wird.

Der Aufruf der Seite über http leitet nicht zu einer gesicherten Verbindung weiter. Der Aufruf mit https leitet auf https://skirtclub.co.uk/cgi-sys/defaultwebpage.cgi weiter. Die Weiterleitung lässt darauf schließen, dass der Webserver nicht für die Nutzung einer https-Verbindung für die Domain konfiguriert ist.

In Zeiten von Let’s encrypt ist das grob fahrlässig. Technisch unversierte Nutzerinnen, die sich auf den Privacy-Hinweis verlassen werden hierbei grob fahrlässig gefährdet3

Lösung: TLS Zertifikat installieren und das Aufrufen einer verschlüsselten Verbindung durch Eintrag in die .htaccess erzwingen. beispielhaft kann dies so aussehen:

RewriteEngine On
RewriteCond %{HTTPS} !^on$ [NC]
RewriteRule . https://%{HTTP_HOST}/%{REQUEST_URI} [L] HTTPS_HOST ???

2. Software:

Durch Blick auf die möglichen Zugriffe ist ersichtlich, dass es sich um eine WordPressinstallation handelt. Ein kurzer Scan mit Hilfe von https://hackertarget.com/wordpress-security-scan/ hat ergeben, dass eine veraltete WordPressinstallation eingesetzt wird und diverse Plugins ebenfalls nicht geupdatet wurden. Das Ergebnis ist in Anlage 1 zu finden (in diesem Blogpost nicht veröffentlicht).

Das laufende WordPress (Version 4.4.2) stammt vom 02.02.2016. Am 06.05.2016 wurde bereits ein Update veröffentlicht, das eine XSS-Lücke in der Datei Upload Bibliothek schließt. Der Betreiberin der Seite scheint die Aktualität der eingesetzten Software egal zu sein – WordPress besitzt seit der Version 3.7 eine Autoupdate-Funktion, die ebenfalls Plugins mit einschließt – bei einer schnellen Übersicht über die Changelogs hat der Gutachter keine schweren Sicherheitslücken in den verwendeten Plugins ausmachen können. Die ist auch nicht relevant, da die eingesetzte Basissoftware bereits anfällig ist.

Lösung: Autoupdater von WordPress einschalten und schnellstens WordPress und alle Plugins aktualisieren.

3. Zugriff auf die Verzeichnisstruktur:

Der Zugriff auf die Verzeichnisstruktur ist bei einer Standardinstallation von WordPress nicht vorgesehen (wenn man den empfohlenen Zugriffsrechten des Herstellers folgt)  – das normale Verhalten bei versuchtem Zugriff auf den Ordner /wp-content/uploads/ liefert eine in der Standardinstallation eine Fehlermeldung. Bei skirtclub.co.uk ist der gesamte Inhalt abrufbar.

Die verwendeten Plugins verändern nicht die Zugriffsrechte auf die Ordnerstruktur – es wird sogar geraten, die rewrite Regeln der .htaccess zu verbessern.

Lösung: Die .htaccess-Datei der Installation nach den Spezifikationen des Herstellers betreiben, Zugriffsrechte richtig setzen und die Änderungen, die Buddypress vorschlägt einarbeiten.

4. Fazit:

Die Betreiberin kann die Sicherheitsversprechen, die sie auf ihrer Seite skirtclub.co.uk aufstellt nicht einhalten. Technisch veraltete Software und mangelhafte Konfiguration ist vermeidbar, zumal die verwendete Software einen Updater mitliefert. TLS Zertifikate für die Verwendung einer sicheren Verbindung sind mit geringem Aufwand zu erhalten.


Ich bin in dem Gutachten mit Absicht _nicht_ darauf eingegangen, ob die Software für den gewünschten Verwendungszweck geeignet ist oder nicht, denn das war nicht die Fragestellung.

Durch Rückfragen der Betreiberin war klar, dass fast kein technisches Wissen vorhanden ist. Das halte ich gerade in einem Bereich, in dem sichere Räume für Frauen geschaffen werden sollen, für grob fahrlässig. Wenn ihr solche Netzwerke betrieben wollt, nehmt Geld in die Hand und lasst das ordentlich machen. Eure Userinnen vertrauen euch und es ist an euch, dieses Vertrauen nicht zu enttäuschen.

Seit dem 27.01.2017 ist skirtclub.co.uk offline – warum die Betreiberin die Seite vom Netz genommen hat, kann ich nicht sagen und werde hier nicht spekulieren, das sollen andere machen.

Fußnoten

  1. Lilliefee:~ tomate$ host skirtclub.co.uk
    skirtclub.co.uk has address 199.223.114.232
  2. Lilliefee:~ tomate$ whois 199.223.114.232
    Organization: InMotion Hosting, Inc. (INMOT-1)
  3. Ich bin mir bewusst, dass mein eigener Blog Zertifikatsfehler schmeisst. Das fixe ich, wenn ich mal weniger Zeit habe.

Kommentar verfassen