Sicherheitsprobleme beim TM

Andreas Samjeske · #1 23.06.2013, 23:09

Hallo Spielleitung,

ich habe vor über einem Jahr auf schwerwiegende Sicherheitsprobleme beim TM hingewiesen. Im Dezember 2012 habe ich Bodo per PM nochmals darauf aufmerksam gemacht. Passiert ist seither nichts.

In meinen Augen ist der aktuelle Zustand nicht länger hinnehmbar. Es muss sich etwas ändern. Ich habe euch informiert und meine Hilfe angeboten. Das wurde zwar zu Kenntnis genommen, aber weiter passierte nichts. Mir bleibt damit nur folgender Schritt:

Am 1.10.2013 werde ich alle mir bekannten sicherheitsrelevanten Probleme des TM veröffentlichen. Somit habt ihr noch 3 Monate die Schwachstellen zu beheben.

Ciao
Andreas

Detlev Reinhardt · #2 23.06.2013, 23:48

Werden hier dann Paßwörter veröffentlicht?

Thomas Reppel · #3 10.09.2013, 10:07

Hast Du als Beweis für die Lücken jetzt ganz Malta rausgeworfen?

Michael Friedrich · #4 10.09.2013, 14:23

Zitat:

Zitat von Andreas Samjeske

Hallo Spielleitung,

ich habe vor über einem Jahr auf schwerwiegende Sicherheitsprobleme beim TM hingewiesen. Im Dezember 2012 habe ich Bodo per PM nochmals darauf aufmerksam gemacht. Passiert ist seither nichts.

In meinen Augen ist der aktuelle Zustand nicht länger hinnehmbar. Es muss sich etwas ändern. Ich habe euch informiert und meine Hilfe angeboten. Das wurde zwar zu Kenntnis genommen, aber weiter passierte nichts. Mir bleibt damit nur folgender Schritt:

Am 1.10.2013 werde ich alle mir bekannten sicherheitsrelevanten Probleme des TM veröffentlichen. Somit habt ihr noch 3 Monate die Schwachstellen zu beheben.

Ciao
Andreas

ich habe angst...

Thomas Reppel · #5 30.09.2013, 12:07

cool, morgen ist es soweit

Andy Schafroth · #6 02.10.2013, 01:40

Der TM scheint sicher zu sein. Hurra.

Andreas Samjeske · #7 05.10.2013, 00:54

Ich habe mir in den letzten Tagen eine Reihe der TM-Seiten intensiv angeschaut. Zur Demonstration gibt es hier einen kleinen Exploit:

http://tipmaster.de/cgi-mod/btm/trai...t=Hans%20Meyer

Ans Passwort anderer Spieler zu kommen ist also ein Kinderspiel. Nun soll es immer noch viele Leute geben, die für Alles das gleiche Passwort nutzen. Hat man erstmal Zugriff aufs E-Mail-Postfach kann es schnell unangenehm werden. Mittels Passwort-Rücksetztroutine der einzelnen Seiten stehen dann auch Amazon, Ebay, Apple Store, Google Play, Facebook, etc. offen.

Will TipMaster für den Schaden seiner Mitspieler verantwortlich gemacht werden?

Neben dem Aspekt des externen Schadens, steht noch der des internen Schadens. Will sagen, es ist möglich die Tippabgaben von Spieler einzusehen, zu ändern, oder gar den Account zu löschen.

Besonders übel sind zwei Seiten, da sie "user content" speichern und anderen Anzeigen:
- Profil Seite (wie oben im Exploit)
- MessageBox

Hier wäre es sogar möglich einen JavaScript-Wurm einzuschleußen:
- Jeder, der ein infiziertes Profil betrachtet, infiziert unbemerkt sein eigenes.
- Jeder, der eine infizierte Nachricht öffnet, sendet unbemerkt selber infizierte Nachrichten an anderer.

Dabei ist eine Infektion nicht so "freundlich" wie der Exploit oben und sagt dem User, dass gerade etwas passiert ist. Im Gegenteil: Besonders der Wurm im Profil hätte die Möglichkeit lange unentdeckt zu bleiben, da keine Spuren sichtbar würden. Auch könnte hier Code eingeschleußt werden, der die Rechner der Spieler infiziert!

Fazit:
- TipMaster hat keinerlei Passwortsicherheit!
- TipMaster kann als Virenschleuder missbraucht werden!

kleines FAQ
Was bedeutet das für die Mitspieler?
Benutzt euer TM-Passwort nur beim TM! Es kann euch niemand sagen, ob es nicht bereits in falsche Hände geraten ist.

Ist mein Rechner beim Surfen auf tipmaster.de in Gefahr?
Vermutlich nicht, aber man kann es nicht ausschließen. Oben erwähnte JS-Würmer könnten durchaus Sicherheitslücken in Browsern ausnutzen. Man sollte sein System immer up-to-date halten!

Warum mache ich diese Probleme hier öffentlich?
Ich habe die Verantwortlichen des TM bereits vor über einem Jahr auf Schwachstellen hingewiesen und meine Hilfe angeboten. Es gab keine Reaktion. Vor 3 Monaten habe ich dann die Veröffentlichung angekündigt.
Dies ist ein anerkanntes Vorgehen, wenn man Sicherheitsprobleme entdeckt, meldet, aber keine Reaktion erfolgt.
http://en.wikipedia.org/wiki/Responsible_disclosure

Abschließend möchte ich darauf hinweisen, dass ich für Rückfragen zur Verfügung stehe, weiterhin bei der Behebung der Probleme zur Mitarbeit bereit bin und keinerlei finanzielle Interessen verfolge.

Andreas Samjeske

Andreas Samjeske · #8 05.10.2013, 01:25

Noch 2 Dinge:
- Bitte an die Moderatoren diesen Thread und meinen Beitrag stehen zu lassen.
- Nur zur Klarstellung: Ich sammle keine Passwörter ein. Ich weise nur darauf hin, dass die Möglichkeit besteht und entfernt werden sollte. Ich verschaffe mir durch mein Wissen keinen Vorteil im Spiel.

Thomas Sassmannshausen · #9 05.10.2013, 11:10

Also ich sehe auf der Seite von Herrn Meyer nicht sein Passwort. Im Quelltext erscheint nur mein eigenes. Wo ist der Exploit?

Andreas Samjeske · #10 05.10.2013, 22:10

Zitat:

Zitat von Thomas Sassmannshausen

Also ich sehe auf der Seite von Herrn Meyer nicht sein Passwort. Im Quelltext erscheint nur mein eigenes. Wo ist der Exploit?

Quelltext? Geht bei dir keine Infobox auf, wenn du dem Link folgst?
Der Exploit ist, dass von mir eingeschleußter Code dein PW anzeigen kann.
Nichts für ungut, aber wer nicht versteht, dass das ein Problem darstellt, sollte sich an dieser Diskussion besser nicht beteiligen.
Anstatt dein PW lediglich anzuzeigen, hätte ich es auch an mich übermittlen lassen können. Oder ich verändere direkt mal deine Tippabgabe (vor Fr 18h) oder trage Wechselabsichten auf Jobbörse oder Vereinstausch ein oder lösche einfach deinen Account o.ä.

Andreas Samjeske · #11 05.10.2013, 22:17

Hmm, ich muss feststellen, dass das Profil von Hans Meyer editiert wurde und der Exploit nicht mehr enthalten ist.

Liebe Spielleitung,
warum nehmt ihr den Exploit aus dem Profil, aber keinen Kontakt zu mir auf?
Sind weitere Maßnahmen geplant?
Oder geht Alles weiter wie bisher?

Thomas Sassmannshausen · #12 05.10.2013, 22:43

Zitat:

Zitat von Andreas Samjeske

Quelltext? Geht bei dir keine Infobox auf, wenn du dem Link folgst?

Nein, es passiert gar nichts.

Zitat:

Zitat von Andreas Samjeske

Der Exploit ist, dass von mir eingeschleußter Code dein PW anzeigen kann.

Das steht unverschlüsselt in jedem TM Cookie und im Seitenquelltext. Hallo, die Seite ist uralt

Zitat:

Zitat von Andreas Samjeske

Nichts für ungut, aber wer nicht versteht, dass das ein Problem darstellt, sollte sich an dieser Diskussion besser nicht beteiligen.

Nichts für ungut, aber wer nicht versteht, dass das kein Problem darstellt, ... (ich denke jedem ist Bewusst, wie alt diese Seite ist, und da nur ca 1800 Leute hier mitspielen, gibt es auch nix wildes zu holen)

Zitat:

Zitat von Andreas Samjeske

Anstatt dein PW lediglich anzuzeigen, hätte ich es auch an mich übermittlen lassen können. Oder ich verändere direkt mal deine Tippabgabe (vor Fr 18h) oder trage Wechselabsichten auf Jobbörse oder Vereinstausch ein oder lösche einfach deinen Account o.ä.

Cool, dann kannst Du ja für mich die Formulare erstellen

Im ernst: Hab das eben falsch verstanden. Dachte Du würdest durch das Besuchen der Seite unsere PWs abfischen. Dann wäre ich wohl eher zur Polizei gegangen, weil das glaube ich, nicht legal ist

Thomas Sassmannshausen · #13 05.10.2013, 22:50

Mal ne Frage: Diese Javascript Dinger, die man ins Profil einbaut, die liegen ja nicht auf dem Tipmaster-Server. Also würde bei Surfen mit noscript, etc. doch nix passieren, oder?

Andreas Samjeske · #14 06.10.2013, 00:28

Zitat:

Zitat von Thomas Sassmannshausen

Nein, es passiert gar nichts.

Siehe mein zwischenzeitliches Posting. Exploit wurde stillschweigend von irgendjemandem entfernt.

Zitat:

Zitat von Thomas Sassmannshausen

Das steht unverschlüsselt in jedem TM Cookie und im Seitenquelltext. Hallo, die Seite ist uralt

Ja, genau. Das ist eben inzwischen als unverantwortlich anzusehen. Man sollte den Usern dieses Sicherheitsproblem mitteilen. Dann können sie angemessen reagieren.

Zitat:

Zitat von Thomas Sassmannshausen

Nichts für ungut, aber wer nicht versteht, dass das kein Problem darstellt, ... (ich denke jedem ist Bewusst, wie alt diese Seite ist, und da nur ca 1800 Leute hier mitspielen, gibt es auch nix wildes zu holen)

Ok, sagen wir kein großes Problem. Aber wie oben erwähnt: lass mal einen sein TM-PW auch für sein Email-Konto benutzen. Schon ist Schaden, auch finanzieller Art, möglich.
Witzigerweise speichert auch communio PWs im Klartext auf ihrem Server. Dort habe ich darauf hingewiesen, dass das nicht mehr state-of-the-art ist. Antwort: "So isses für uns und unsere Nutzer am einfachsten!"
Ja, klar, einfach. Aber eben nicht so sicher, wie es sein könnte/sollte.

Zitat:

Zitat von Thomas Sassmannshausen

Cool, dann kannst Du ja für mich die Formulare erstellen

Im ernst: Hab das eben falsch verstanden. Dachte Du würdest durch das Besuchen der Seite unsere PWs abfischen. Dann wäre ich wohl eher zur Polizei gegangen, weil das glaube ich, nicht legal ist

Naja, ICH tue das nicht, hätte es aber gekonnt. Wer sagt dir, dass Dritte das nicht schon längst getan haben, oder bald tun werden?

Zitat:

Zitat von Thomas Sassmannshausen

Mal ne Frage: Diese Javascript Dinger, die man ins Profil einbaut, die liegen ja nicht auf dem Tipmaster-Server. Also würde bei Surfen mit noscript, etc. doch nix passieren, oder?

Jein. Auf dem TM musste JS ja zulassen, da zB. das Menü (unnötigerweise) darauf angewiesen ist. Mein Exploit-JS hat sehrwohl auf dem TM-Server gelegen. Hier bringt dir NoScript also wenig, da du vermutlich für tipmaster.de eine Ausnahme eingetragen hast. Würde der Exploit nun malicious code von einer Drittseite nachladen, würde dein NoScript das Blocken. Insofern bist du da auf der sicheren Seite, was Infektionen deines Rechners angeht.
Allerdings könnte man auch versuchen malicious code komplett im Profil unter zu bringen. Da ist dann vermutlich die Größe des Datenbankfeldes der begrenzende Faktor. Existiert keine Größenbeschränkung, biste doch wieder in Gefahr.
Dein Passwort isses in jedem Fall!

Das Sessionmanagement zu überarbeiten ist zwar angeasgt, aber nicht dringend. Die Scriptinglücken müssen aber umgehend geschlossen werden!

Olaf Best · #15 07.10.2013, 15:25

Ob es wieder ein Jahr dauern wird?
Ändert sich doch nicht wirklich was, oder?

Tino Lehmann · #16 09.10.2013, 20:50

Ich finde das auch sehr schade, das es durchaus ein paar fähige Leute gibt, die FREIWILLIG und UNENTGELDLICH das Problem anpacken könnten, wenn mal jemand aus der Chefsesseletage "Grünes Licht" geben würde, was aber scheinbar nicht passiert oder auch nicht gewollt ist (?)

Leider kann man hier Niemanden wie in der Politik (die FDP) abwählen.

Rainer Mueller · #17 01.01.2014, 17:11

Hab ne Mail eines Mitspielers bekommen, der beim Aufruf der TM-Seite folgende Meldung seines Virenschutzprogramms (avast) bzgl. Blockierung einer schädlichen Webseite bekommen hat:

Infektion JS:Redirector-BJC [trj]

Ernstzunehmend?
Kann jemand was dazu sagen....?

Andreas Samjeske · #18 02.01.2014, 21:38

Zitat:

Zitat von Rainer Mueller

Hab ne Mail eines Mitspielers bekommen, der beim Aufruf der TM-Seite folgende Meldung seines Virenschutzprogramms (avast) bzgl. Blockierung einer schädlichen Webseite bekommen hat:

Infektion JS:Redirector-BJC [trj]

Ernstzunehmend?
Kann jemand was dazu sagen....?

Ich vermute, dass es sich um einen Fehlalarm handelt. Weitere Infos wären hilfreich. Welche (Unter-)Seite ist betroffen? Was steht im Log des Scanners?

Markus Reiss · #19 03.01.2014, 11:29

Die Spielleitung ist informiert und seit heute gibt es diese Meldung nicht mehr.

Andreas Samjeske · #20 10.01.2014, 02:07

Zitat:

Zitat von Markus Reiss

Die Spielleitung ist informiert und seit heute gibt es diese Meldung nicht mehr.

Kannst du mir erklären, warum auf manche Probleme hier kurzfristig reagiert wird, auf andere aber nicht?

Markus Reiss · #21 10.01.2014, 13:06

Ich gehe davon aus, dass Probleme, die schnell bzw. ohne besonderen Aufwand zu beheben sind, auch unkompliziert gelöst werden. Technische Probleme wie fehlerhafte Tippformulare können wohl leicht korrigiert werden.

Meine Einschätzung ist: Werden anderen Vorschläge oder Probleme nicht (schnell) behoben, dann kann man davon ausgehen, dass entweder diese nicht als besonders wichtig oder gar notwendig bewertet werden oder die Behebung mit größerem Aufwand verbunden ist.

Das was ich Dir sagen kann ist, dass Probleme, die auch hier im Forum beschrieben werden, kommuniziert werden.

Thomas Seth · #22 10.01.2014, 16:33

gibt es denn Erkenntnisse, ob irgendwann mal wieder die E-Mail-Funktionalitäten repariert werden? Sowie das automatische Login im Forum?

Tipp-Reminder, Tippbestätigung usw. ?

Und der Weihnachtsmann auf der Startseite ist auch obsolet

Markus Reiss · #23 10.01.2014, 18:53

Wie gesagt, die Probleme und Vorschläge werden kommuniziert, was und wann die Spielleitung davon etwas umsetzt, entzieht sich meiner Kenntnis.

Thomas Sassmannshausen · #24 10.01.2014, 20:43

Zitat:

Zitat von Thomas Seth

gibt es denn Erkenntnisse, ob irgendwann mal wieder die E-Mail-Funktionalitäten repariert werden?

Die funktionier bei mir. Sowohl Tipp-Reminder, als auch die Ankündigung eins neuen Forms.

Andreas Samjeske · #25 17.03.2014, 22:13

Zitat:

Zitat von Andreas Samjeske

Hmm, ich muss feststellen, dass das Profil von Hans Meyer editiert wurde und der Exploit nicht mehr enthalten ist.

Liebe Spielleitung,
warum nehmt ihr den Exploit aus dem Profil, aber keinen Kontakt zu mir auf?
Sind weitere Maßnahmen geplant?
Oder geht Alles weiter wie bisher?

Oh man!
Ich bin damals davon ausgegangen, dass hier endlich mal jemand aktiv geworden ist. Es wurde aber lediglich der Demo-Exploit entfernt, nicht die Sicherheitslücke!
Was muss denn passieren, damit sich hier mal was ändert?

Habe gerade noch nen weiteres Problem bemerkt: Die Anmeldung spuckt E-Mail-Adressen von Mitspielern aus, wenn man versucht sich unter einem Namen anzumelden, der bereits existiert.