Tim-Oliver Schulz am 14. November 2008

Wie gerade im t3n Blog zu lesen ist, ist der Angreifer über ein zu kurzes Passwort in das typo3.org Backend eingedrungen. Dort ist im Gegensatz zu der Mail der TYPO3 Association auch die Rede davon, dass der Angreifer bisher unerkannt ist.

Wenn ich das so lese, ist es schlimm genug, dass die FE-Passwörter im Klartext vorhanden zu sein scheinen. Aber wenn dann auch noch ein BE-Passwort eines Admins zu kurz ist, über das man Zugriff auf alles bekommt, sollte man sich doch schon ernsthafte Sorgen machen.

Da gibt es nun extra das TYPO3 Security-Team, das für Sicherheit sorgen soll, Extensions unter die Lupe nimmt und prüft… aber man hat wohl vergessen auch mal bei sich selbst zu prüfen. Jedenfalls haben die Jungs jetzt einen Grund das mal bei typo3.org nachzuholen.

Ich gehe mal davon aus, dass durch diesen Vorfall nun endlich das im t3n Blog angesprochene TYPO3 Defizit der Klartextpasswörter per Standardinstallation behoben wird. Wie wärs mit einem TYPO3 Privacy-Team?

Man stelle sich vor, dass praktisch jeder TYPO3-Admin, der einen FE-Login auf der Seite anbietet, die Möglichkeiten des Hackers hat! Benutzernamen mit dazugehörigem Passwort in Klartext und das per Standardinstallation…

…TYPO3 - entdecke die Möglichkeiten!

Dabei gibt es mehrere Extension, die die Verschlüsselung der FE-Passwörter übernehmen:

Hoffen wir, dass andere TYPO3-Communites da vorbildlicher arbeiten. Vielleicht schicke ich gleich mal eine Anfrage an typo3.net… würd mich mal interessieren ;-)

[Update vom 26.11.2008]

Der Support von typo3.net hat sich tatsächlich auf meine Anfrage hin gemeldet. Hat zwar etwas gedauert, aber immerhin…

Das Ergebnis ist, dass auch auf typo3.net die Passwörter derzeit NICHT verschlüsselt in der Datenbank liegen! Allerdings soll die verwendete TYPO3 Version bei typo3.net nicht von der Sicherheitslücke betroffen sein… Welche Sicherheitslücke? Soll wohl heißen, dass alle Admins sichere Passwörter verwenden ;-)

Jedenfalls wurden, laut dem Support-Team, bereits die nötigen Maßnahmen getroffen, um möglichst bald eine Verschlüsselung der Daten durchführen zu können. Als Implementierungstermin wurde die kommende Woche genannt.

Wollen wir es mal glauben und hoffen…

Weitersagen: Diese Icons verlinken auf Bookmark Dienste bei denen Nutzer neue Inhalte finden und mit anderen teilen können.
  • Digg
  • del.icio.us
  • StumbleUpon
  • Reddit
  • Webnews
  • MisterWong
  • Y!GG
  • TwitThis

Tags: ,

12 Kommentare zu “Nachtrag - TYPO3.org gehackt”

  1. selbst Schuld, wer ein Passwort für mehrere Accounts verwendet.
    Aber in Anbetracht von OpenID wird das Risiko ja sowieso nicht kleiner…

  2. @Steffen:
    das stimmt! Trotzdem heißt das nicht, dass man Passwörter einfach so unverschlüsselt speichern sollte…

    Jetzt stelle man sich vor, ein OpenID-Anbieter läuft über die TYPO3 FE-Benutzer… geht das eigentlich? ;-)

  3. Es geht in diesem Falle gar nicht darum, ob Passwörter verschlüsselt in einer DB vorgelegen haben oder nicht, oder ein System nun gut ist oder nicht. TYPO3 ist ein sehr gutes CMS.

    Es zeigt lediglich, dass schwache passwörter leicht auszuspähen und knackbar sind, auch wenn diese verschlüsselt vorliegen.

    Im Endeffekt, ist die größte Schwachstelle nun mal der Mensch. In jedem System.

  4. @Siegfried:
    Das TYPO3 ein sehr gutes CMS ist, kann und will ich auch gar nicht bestreiten. Ich setze es selber in fast allen Projekten ein.

    Ich denke aber, dass hier die Schwachstelle Mensch nur die Tür zum “Erfolg” war und größerer Schaden durch verschlüsselte FE-Passwörter hätte vermieden werden können.

    Für mein Empfinden wurde dadurch nicht alles Systemmögliche getan, um die Benutzerdaten der Community zu schützen, zumal der Aufwand mit einer Extension-Installation recht gering ist…

  5. @Tim-Oliver

    Recht hast du auf jeden Fall!

    Wir setzen immer Systeme mit md 5 FE-Verschlüsselung via Extension ein und im Falle von LDAP, SSO und Co. kommen ebenfalls nur verschlüsselte PW in Frage und im Falle von SSO Mechanismen, braucht man heutzutage gar kein PW mehr durch die Weiten des http://www. zu versenden.

    Es ist schon, ein Unding, dass auf manchen Systemen Klartext PWs vom Admin gelesen werden können….

  6. “Jetzt stelle man sich vor, ein OpenID-Anbieter läuft über die TYPO3 FE-Benutzer… geht das eigentlich?”
    @Tim-Oliver Was meinst Du damit genau? Ob man mit einer ausgelesenen OpenID etwas anfangen kann? Nein, denn dazu bräuchte man den Zugang zum OpenID-Account und diesen kann man mit den unterschiedlichsten Methoden beschränken. Angefangen vom einfachen Passwort über SSL-Zertifikate bis hin zu Cardspace/Infocard.

    Der Hack um typo3.org stellt meiner Meinung nach einen schweren Schlag gegen TYPO3 dar. Nicht nur, dass TYPO3 sich fragen lassen muss, warum so sensible Informationen immer noch nicht verschlüsselt in der Datenbank abgelegt werden, sondern auch aus dem Vertrauensverlust in das Produkt TYPO3. Ich werde auch in Zukunft TYPO3 einsetzen und empfehlen, sollten Kunden aber von diesem Hack erfahren haben, wird es schwer, Argumente zu finden, den Sorgen entgegenzutreten. Das Totschlagargument “andere Systeme haben auch ihre Fehler” benutze ich nur recht ungern. :)

  7. @Stephan: das war nur mal so rumgesponnen… wäre es technisch möglich dass ein openID-Anbieter zur Nutzerverwaltung die TYPO3 FE-User Verwaltung benutzt? Hab mich noch nicht wirklich intensiv mit openID auseinandergesetzt…

    Klar ist der Hack hart für das Vertrauen in TYPO3. Dass unsere Projekte trotzdem weiterhin darüber laufen, steht ebenfalls außer Frage! Ich denke, man sollte mit seinen Kunden das Thema in Ruhe besprechen wenn sie sich daraufhin Sorgen machen. Einfach aufzeigen wie das passieren konnte und was man für Maßnahmen ergreifen kann/soll/muss, damit sich dies nicht beim Kunden wiederholt. Der “Einbruch” selbst hätte ja schon mit einem besseren Passwort verhindert werden können…

  8. @Stephan
    Ich sehe da keine Schwierigkeiten dem Kunden zu erklären, dass TYPO3 sicher ist, da ich fe-Passwörter immer md5 verschlüsselt speicher und der Zugriff durch eine schwaches admin Passwort gelang. Ein guter Fall dem Kunden zu demonstrieren was passieren kann wenn er einfache Passwörter einsetzt.

  9. Vielleicht war das Backend Passwort auch einfach nur “joh316″ ? ;)

    Ich arbeite auch schon sehr lange mit TYPO3, aber verstanden habe ich es noch nie, warum im Klartext gespeichert wird.

  10. @Tim-Oliver Bei OpenID wird nur der Identifier (URL) der OpenID bekannt gegeben/abgespeichert. Die eigentliche Authentifizierung findet dann erst bei meinem OpenID-Provider (der ich auch selber sein kann) statt. OpenID ist eigentlich nur durch Man-in-the-middle-Attacken angreifbar und auch hier gibt es Mechanismen, dies zu unterbinden.

    Klar, kann man seinem Kunden an diesem Beispiel schön erklären, was nicht vorhandene Verschlüsselung und schwache Passwörter anrichten können. Negativ ist es trotzdem, dass es beim Hersteller der Software-Grundlage an sich passiert ist.
    Schauen wir einfach mal, ob typo3.org in den nächsten Tagen noch eine informativere Nachricht verteilt, wie es zum Hack kam und vielleicht auch, welche Daten in welcher Form geklaut wurden.

  11. Warum die Möglichkeit besteht die FE Passwörter im Klartext abzuspeichern liegt eigentlich auf der Hand - nur so kann man sich die Verschlüsselung selbst aussuchen. Ich denke, dass dies eher als Feature zu bewerten ist, denn gerade zur Integration oder Bildung von Mashups ist dies ein großes Plus an Flexibilität.

    Wobei ich auch kein großer Fan davon bin, dass diese Variante als Standard ausgeliefert wird. Es arbeiten zu viele unvorsichtige Leute, die sich um solche Dinge keine Gedanken machen, mit Software wie TYPO3. Besonders bei komplexen Systemen ist es nicht unklug, die Standard-Einstellungen so zu wählen, dass möglichst wenig Schaden angerichtet werden kann. Natürlich sollten die Administratoren von komplexer Software auch über das notwendige KnowHow verfügen - leider sind solche Ressourcen im Fall von TYPO3 verblüffend spärlich gesät.

    Zum Thema TYPO3.net - ich weiß nicht ob hier mit verschlüsselten FE Passwörtern gearbeitet wird. Jedenfalls lässt sich eine Vermutung anstellen, dass keine der drei oben genannten Extensions eingesetzt wird - was mich auch eher überrascht:

    Installierte Extensions liegen ja typischer Weise in /typo3conf/ext/ oder eben /typo3/sysext/ (die OldSchool-Variante /typo3/ext/ lasse ich mal außen vor). Aufgrund der Konfiguration von mod_rewrite auf http://www.typo3.net/ lassen sich hier Nachforschungen anstellen - man vergleiche die resultierenden 403er sofern die Verzeichnisse existieren:
    http://www.typo3.net/typo3/sysext/cms/
    http://www.typo3.net/typo3conf/ext/mm_forum/

    mit folgenden Rückmeldungen:
    http://www.typo3.net/typo3conf/ext/kb_md5fepw/
    http://www.typo3.net/typo3/sysext/kb_md5fepw/
    http://www.typo3.net/typo3conf.....cryptauth/
    http://www.typo3.net/typo3/sys.....cryptauth/
    http://www.typo3.net/typo3conf/ext/md5passwords/
    http://www.typo3.net/typo3/sysext/md5passwords/

    Ich möchte mich deutlich davon distanzieren, dass dies nun automatisch bedeutet das TYPO3.net mit unverschlüsselten FE Passwörtern arbeitet! Dieser Rückschluss ist nicht möglich - dazu sollten bei Interesse die Verantwortlichen befragt werden.

  12. @Andreas: Da hattest Du wohl Recht mit Deiner Vermutung! Siehe Update…

Schreibe ein Kommentar