Dieses Zusammenspiel von gedruckter Aussage und ihrer Präsentation im öffentlichen Blickraum erfordert keine weiteren Worte.
Gesehen im Ihmezentrum zu Linden bei Hannover
Kategoriearchiv „Sonstiges“
Telefon-Spam
Keine Spam im eigentlichen Sinne des Wortes ist es, was einige fragwürdige Geschäftsleute veranstaltet haben, um an das Geld ihrer Opfer zu kommen – unverlangte Anrufe, Anpreisung eines Gewinnspieles, Aufforderung, eine Taste zu drücken und autsch, mit diesem Tastendruck entstehen Kosten. Aber immerhin, so dreist kommt man noch nicht vor deutschen Gerichten durch, wie sich heute bei heise online nachlesen lässt:
Das Verwaltungsgericht Köln hat heute bestätigt, dass die Weiterleitung per Tastendruck auf eine kostenpflichtige Mehrwertdienste-Rufnummer unzulässig ist. Das Geschäftsmodell „Abzocke per Anruf“ funktionierte folgendermaßen: Ahnungslose Kunden wurden angerufen und mit einem angeblichen Gewinn geködert. Um den abzurufen, sollten sie eine Taste auf ihrem Telefon drücken. Taten sie dies, führte das tatsächlich zu einem Gewinn, nämlich für den Anrufer, der den Angerufenen zu einer 0900-Rufnummer weiterleitete und dies über die Telefonrechnung abrechnete. […] Die Weiterleitung per Tastendruck verstößt gegen das Telekommunikationsgesetz und das Gesetz gegen unlauteren Wettbewerb, befand das Gericht.
Unabhängig von dieser begrüßenswerten Einschätzung durch das Gericht kann ich nicht genug davor warnen, auf irgendeine unverlangte Telefonwerbung für irgendein Produkt oder Spiel einzugehen – und ich würde ferner jedem davon abraten, auf den Anruf eines anonym bleibenden Menschen hin an einer so genannten Umfrage teilzunehmen. Alles, was an geschäftlicher Nutzung des Telefons durch unverlangte Anrufe läuft, ist unseriös, oft sogar direkt kriminell. Alles. Ohne eine einzige Ausnahme.
(Und wenn ich jemanden anrufe, kann ich mich auch mit jedem Namen und jeder Firmierung nennen. Wer in einem anonymen Medium alles glaubt, ist selbst schuld.)
Aktuelle Angriffe auf WordPress-Blogs
In den letzten Tagen entsteht immer häufiger der Eindruck, dass in den aktuellen Versionen des Blogsystemes WordPress ein schwerer Fehler vorliegen muss. Angesichts der offenbar sehr schweren Probleme wird von Bloggern schon öffentlich darüber nachgedacht, zu einer anderen Software zu wechseln, obwohl die Migration bestehender Inhalte auf ein neues System in der Regel kein Spaziergang ist. (Es sollen ja auch weiterhin alle alten Links funktionieren und Google soll auch fortan zu den richtigen Seiten führen – so segensreich Import-Skripten auch sein mögen, da ist eigentlich immer auch etwas Handarbeit nötig.) Nachdem inzwischen auch bekanntere Blogger das Problem thematisiert haben, hier auch einige Anmerkungen von mir, die vielleicht auch substanziell Neues zur Suche nach dem Problem beitragen können.
Wie tritt das Problem auf
Ein betroffener WordPress-Blogger stellt fest oder wird von Lesern darauf hingewiesen, dass seine älteren Beiträge durch typische Suchmaschinen-Spam versalzen wurden, also durch riesige Linklisten, die sich in erster Linie an Google und andere Bots richten.
Das entspricht dem bisherigen Blogmissbrauch der Spammer, wenn sie entsprechende Kommentare oder Trackbacks verfassten. Gegen diese Form der Spam gibt es vielfältige Abhilfe (zum Beispiel Akismet), die einem ungefähr 99 Prozent dieser Pest vom Halse hält.
Das qualitativ neue an der gegenwärtigen Spamwelle ist es, dass die Spam nicht mehr als Kommentar erscheint, sondern als Bearbeitung eines regulären Blogbeitrages. Wir haben es hier also nicht mehr „nur“ mit kriminellen und asozialen Spammern zu tun, sondern mit richtigen Crackern. (Ich lehne die Bezeichnung „Hacker“ für solche Barbaren ab, da sie inhaltlich falsch und eine Beleidigung für jeden Hacker ist.) Diesen Crackern ist es über eine zurzeit noch völlig unbekannte Lücke möglich, ältere Beiträge in einem Blog zu bearbeiten und mit Spam „anzureichern“, die dann als normaler Eintrag im Blog erscheint. Natürlich greift hier ein gewöhnlicher Spamschutz nicht, da die Texte des Blogbetreibers ja an sich über jeden Zweifel erhaben sind und deshalb vor der Veröffentlichung nicht überprüft werden.
Bislang habe ich nur von betroffenen WordPress-Blogs gelesen. Wenn es sich um ein Sicherheitsloch in WordPress handelt, denn ist dies das wohl schwerste Sicherheitsloch in der gesamten Geschichte dieser Software.
Wie man an den Datumsangaben sehen kann (im Screenshot ist es der 16. März, die verlinkten Blogeinträge sind vom 22. März), handelt es sich um eine ganz aktuelle Gefahr. Da die genauen Bedingungen eines solchen Angriffes zurzeit noch nicht bekannt sind, besteht die Möglichkeit, dass momentan jedes WordPress-Blog in eine Litfaßsäule für Spammer umgewandelt werden kann.
Oder anders gesagt: Niemand kann sich im Moment sicher vor diesem Angriff fühlen. Die „kleinen“ Blogs mit wenigen Zugriffen sind genau so bedroht wie die „großen“ mit einem riesigen Leserstamm. Die Zielrichtung des Angriffes sind nicht menschliche Leser, sondern es geht um die Manipulation der Ranking-Verfahren der großen Suchmaschinen; da ist dem Cracker jeder Link recht.
(Um diese Unsicherheit ein bisschen zu beheben, wäre es wünschenswert, dass wenigstens die Versionsnummern der betroffenen Blogs und die darin verbauten Plugins offen bekannt würden. Wenn es sich nicht um die ganz aktuellen Versionen handelt, sollten betroffene Blogger allerdings vorher ihr WordPress updaten, bevor solche Informationen an eine feindselige Welt gegeben werden.)
Angriffszenarien in meinen Blogs
Auch meine Blogs waren (nicht nur) in den letzten Tagen von Angriffsversuchen betroffen, ich weiß allerdings nicht, ob diese Versuche im Zusammenhang mit den aktuellen Cracks stehen. Dennoch möchte ich diese versuchten Angriffe hier kurz charakterisieren, damit ein Eindruck von der kriminellen Energie entsteht, die sich im Moment an gängigen Blogsystemen entfesselt und mit aller Gewalt Lücken reißen will.
IP-Adressen – Die IP-Adressen der angreifenden Rechner waren über die gesamte Welt verstreut. Es handelte sich durchweg um dynamisch vergebene IP-Adressen von Providern. Das bedeutet, dass diese Angriffe von gewöhnlichen Desktop-PCs ausgingen, die mit Hilfe von Malware übernommen wurden, alle diese PCs dürften Windows-Rechner sein, die von der Spam-Mafia mit Hilfe untergejubelter Trojaner übernommen wurden. Es ist nicht möglich, den Angriff zu vermeiden, indem bestimmte IP-Bereiche blockiert werden.
Leserregistrierungen – Obwohl das bei den meisten meiner Blogs nicht möglich ist, wurden mehrfach automatische Registrierungen von Lesern versucht. Die dazu verwendeten Mailadressen lagen allesamt bei Google Mail, was zeigt, dass die Spammer momentan leicht und automatisch an diese Adressen kommen können. Das könnte bedeuten, dass die von den Crackern ausgebeutete Lücke etwas mit einer Möglichkeit angemeldeter Benutzer zu tun hat, sich Rechte zu holen oder eine SQL-Injection auf das Blog loszulassen.
XMLRPC – Der letzte Bug in der xmlrpc.php von WordPress, der ausbeutbar war, liegt schon einige Zeit zurück. Offenbar vertrauen die Cracker dennoch darauf, dass noch eine größere Menge älterer WordPress-Installation in Benutzung sind und probieren deshalb auch ältere Lücken aus. Da es sich hier um einen HTTP-POST handelt, weiß ich aus den Logdateien nichts von den Daten, die transportiert werden sollten.
Wörterbuch-Attacken – Immer wieder kam es zu verteilten Login-Versuchen, die natürlich alle scheiterten. Gerade hier war die Häufung in den letzten Tagen sehr auffällig. Offenbar werden Passwörter aus einem Wörterbuch ausprobiert, bis dieser Angriff irgendwo einmal klappt. Da auch XMLRPC eine Anmeldung ermöglicht, kann es gut sein, dass die verteilte XMLRPC-Attacke ebenfalls in diese Kategorie fällt und in Wirklichkeit ein Versuch ist, die regulären Zugangsdaten des Blogs zu ermitteln.
Vertiefende Anmerkungen
Der Angriff auf die xmlrpc.php ermöglicht, wenn er erfolgreich ist, sogar das Hochladen von Dateien. Wer eine alte WordPress-Version mit dieser Lücke hat, sollte unbedingt einen Upgrade machen, wenn er seinen Webserver nicht in eine Malware-Schleuder der Spammafia umgestalten will.
Die Wörterbuchattacken sind sehr gefährlich. Wenn es einem Angreifer gelingt, sich an einem Blog als Administrator einzuloggen, steht ihm die gesamte Funktionalität des Blogs über eine leicht automatisierbare Schnittstelle (XMLRPC) zur Verfügung. Er kann mit leicht zu schreibenden, kleinen Programmen jeden Beitrag löschen oder bearbeiten und beliebige Dateien im Blog hochladen. Natürlich wäre das der größte denkbare Gewinn für die kriminellen Cracker, die sich gerade auszutoben scheinen.
Der Gefahr von Wörterbuchattacken muss in jedem Fall begegnet werden. Die erste und wichtigste Regel lautet dabei: Sichere Passwörter verwenden!
Ein sicheres Passwort findet sich nicht in einem Wörterbuch und enthält auch Ziffern, eingestreute Großbuchstaben und Sonderzeichen, sollte sich aber dennoch leicht merken lassen. Ein alter Trick ist die Verwendung von Anfangsbuchstaben eines leicht einprägsamen Satzes wie „Du solltest dein Passwort so wählen, dass es sicher ist“ – hieraus würde „DsdPswdesi“, wenn man jeweils den Anfangsbuchstaben des Wortes nimmt. Natürlich ist auch der zweite Buchstabe geeignet, natürlich kann man auch die Wortlänge nach jedem Buchstaben schreiben und vieles mehr. Dieser Trick ist nicht der Weisheit letzter Schluss, aber er ist viel besser als der Vorname der Freundin gefolgt von ihrem Alter. Und er ist natürlich auch viel besser als ein Passwort, das so schwer zu merken ist, dass man es sich irgendwo notieren muss.
(Eine kleine Anmerkung am Rande: Ich habe vor Jahren einmal in einem größeren Unternehmen die Passwörter der Mitarbeiter auf ihre Sicherheit untersuchen müssen. Es war sehr erstaunlich, dass damals etwa fünf Prozent der Mitarbeiter das Passwort „Passwort“ verwendet haben, und diese waren fast ausschließlich Mitarbeiter, die in der betrieblichen Hierarchie recht weit oben standen. Wer nach dem Lesen dieses Textes auf die Idee kommt, jetzt für sein Blog das Passwort „DsdPswdesi“ zu verwenden, darf sich bei mir eine kostenlose Ohrfeige abholen.)
Für relativ unsicher halte ich übrigens die Passwörter, die WordPress automatisch nach der Installation für den Benutzer „admin“ vergibt. Es handelt sich einfach nur um sechsstellige Sedezimalzahlen. Davon gibt es zwar gut 16,7 Millionen, was zunächst nach „viel“ klingt. Aber ich weiß nicht, ob diese Zahlen vielleicht leicht zu erraten sein könnten, da sie eine Abhängigkeit vom Zeitpunkt der Installation enthalten. (Ich werde mir in den nächsten Tagen den WordPress-Quelltext einmal anschauen, ich weiß es im Moment wirklich nicht.) Der Zeitpunkt der Installation ist einem Angreifer mit einer Genauigkeit von ein bis zwei Sekunden bekannt, wenn der ebenfalls automatisch erstellt erste Post „Hallo Welt“ im Blog erhalten bleibt; so dass hier leicht ein Problem liegen könnte – vor allem, wenn jemand diesen „ersten Post“ nicht löscht.
Was wahrscheinlich keinen Schutz bietet
Momentan wird an verschiedenen Stellen diskutiert, ob es sinnvoll ist, die Versionsnummer der WordPress-Installation nach außen zu verbergen. Ich kann dazu nur drei Dinge zur Aufklärung sagen und jedem die Benutzung seines Gehirnes empfehlen:
Security by obscurity hat noch nie funktioniert. Die Angriffe auf meine Blogs betreffen eine ganze Bandbreite verschiedener Versionen, und ich verberge meine Versionsnummern nicht. Allein deshalb glaube ich nicht, dass diese Information von den gegenwärtigen Crack-Skripten überhaupt ausgewertet wird. Es handelt sich nicht um einen Angriff pubertierender Jugendlicher, die ihre „Kreativität“ in destruktiven Attacken verwenden, um sich daran aufzubauen. Es handelt sich um einen Angriff der Spam-Mafia. Spam ist ein Milliardengeschäft, und da draußen sind zehntausende asoziale Zeitgenossen, die alles versuchen werden, um ein paar Link- und Malwareschleudern mehr in die Welt zu setzen.
Das Verbergen der Version ist schwierig; es reicht keineswegs aus, wenn man die entsprechende Meta-Angabe im Template löscht. Die Versionsnummer findet sich zum Beispiel auch in allen RSS-Feeds. Um sie dort (und vielleicht noch an anderen Stellen, die mir gerade nicht bewusst sind) sicher zu entfernen, ohne nach jedem Upgrade in die Quelltexte des Kernsystems einzugreifen, muss man sich eines Plugins bedienen, das diese Information löscht. Das ist allerdings ein Eingriff ins System, der zum Beispiel auch den Hinweis sabotiert, dass eine neue Version von WordPress verfügbar ist. Im Falle eines aktuen Sicherheitsproblemes kann das leicht bedeuten, dass man den Hinweis auf ein erforderliches Upgrade gar nicht mitbekommt, was unter Umständen viel schlimmere Löcher aufreißt. (Wer es dennoch machen will, sollte zumindest alle zwei Tage nachschauen, ob es eine neue WordPress-Version gibt und sich nicht in falscher Sicherheit wiegen.)
Wir wissen gar nicht, ob dieses Problem an eine bestimmte Version von WordPress gebunden ist oder ob es alle derzeit erhältlichen Versionen betrifft. Die externe Sichtbarkeit der Versionsnummer ist zwar ein gewisses Problem, aber es kann völlig unbedeutend für die gegenwärtigen Attacken sein.
Was etwas mehr Schutz bietet
Nun aber ein paar praktische Tipps, wie man mit geringem Aufwand etwas mehr Schutz für sein Blog erreichen kann.
Bekannte Lücken schließen – Wer noch eine Version mit einer anfälligen xmlrpc.php hat, sollte diese Lücke unbedingt und sofort schließen.
Installationsbenutzer löschen – Bei der Installation wird ein Account mit dem Login „admin“ angelegt, der volle administrative Rechte (auch über XMLRPC) hat. Hier ist einem Angreifer immerhin schon der Login-Name bekannt, auch weiß er, wie das Passwort aufgebaut ist. Ich empfehle jedem WordPress-Blogger dringend, diesen Account nur zu einem einzigen Zweck zu verwenden, nämlich, um damit einen anderen administrativen Account anzulegen. Danach mit dem anderen Account anmelden und den Benutzer „admin“ löschen. Wenn ich ein Cracker wäre, würde ich immer eine Attacke auf diesen „admin“-Benutzer versuchen, denn ich wüsste ja, dass er fast überall existiert.
Installationspost löschen – Bei der Installation erstellt WordPress ein „Posting“ mit dem Titel „Hallo Welt“ und einen „Kommentar“ zu diesem Posting. Dieses „Posting“ sollte immer gelöscht werden, da es die Information verfügbar macht, zu welchem Zeitpunkt die Installation vorgenommen wurde. Wenn diese Uhrzeit in einige Parameter einfließt, die besser privat bleiben sollten, haben Cracker nur durch diese Uhrzeit bereits einen wertvollen Hinweis für mögliche Angriffe erfahren. Außerdem ist der automatsch erstellte Text so schön nicht.
Keine Leserregistrierung – Wer es nicht aus irgendeinem Grund tun muss, sollte keine Registrierung von Lesern ermöglichen. Ein registrierter Leser hat die Möglichkeit, sich am Blog anzumelden und im Admin-Bereich herumzuklicken, er hat damit schon eine Hürde überwunden, die einem potenziellen Cracker im Wege stehen sollte. Die Möglichkeit zum Login ist ein Privileg, sie sollte niemals leichtfertig gewährt werden. Schon gar nicht. Jedem.
Der Login ist kein Anzeigename – Bei WordPress kann man einen Anzeigename (zum Beispiel für den Autor der Blogeinträge) verwenden, der frei gewählt ist. Es macht Angreifern das Leben leichter, wenn der Login-Name offen sichtbar angezeigt wird, sie müssen dann nur noch das Passwort rauskriegen. Wer besonders sicher sein will, wählt seinen Login-Namen ähnlich kryptisch wie das zugehörige Passwort. Das macht eine Wörterbuch-Attacke sehr schwierig und gibt zusätzliche Sicherheit gegen diese Art von Angriffen. Wer einen „guten“ Login-Namen verwenden will, sollte sich darüber bewusst sein, dass sich zwar der Login-Name nicht ändern lässt, dass es aber sehr leicht möglich ist, einen neuen Benutzer anzulegen. Wenn der alte Benutzer gelöscht wird, fragt WordPress nach, an welchen Benutzer die Artikel übertragen werden sollen. Hier einfach den neuen auswählen, und es sollte keine Probleme geben.
Kein überflüssiges Plugin verwenden – Jedes Plugin ist Code, der innerhalb des Blogsystemes auf dem Server ausgeführt wird. Während das Kernsystem von WordPress noch von einer größeren Anzahl Menschen auf gewisse Probleme durchgesehen wird, ist die Sicherheit eines Plugins eher eine Glückssache. Wer den Quelltext nicht lesen kann, ist auf sein Vertrauen gegenüber dem Programmierer des Plugins zurückgeworfen. Ein ganz kurzer Tipp: Jedes Plugin, dass direkt auf die Datenbank zugreift, kann bei schäbiger Programmierung von einem Angreifer aus dem Internet dazu missbraucht werden, in der Datenbank und damit auch in den Bloginhalten herumzupfuschen. Solche direkten Zugriffe können im Quelltext an den SQL-Schlüsselwörtern SELECT, INSERT, UPDATE oder DELETE erkannt werden; und jeder Editor hat eine Suchfunktion. Natürlich braucht es viel mehr Kenntnisse, um eine angreifbare Programmierung zu erkennen, aber dieser einfache Tipp kann helfen, die meisten „harmlosen“ Plugins sicher daran zu erkennen, dass nicht direkt auf die Datenbank zugegriffen wird. Aber Vorsicht! Es gibt noch eine ganze Reihe weiterer Programmiertechniken, die in einer Webanwendung sehr gefährlich sind und die sich nicht so leicht erkennen lassen. Wer auf der sicheren Seite sein will, vermeidet jedes unnötige Plugin. (Nötig ist zum Beispiel ein guter und wirksamer Spamschutz, den sollte man auf keinen Fall vermeiden.)
Backups – Angesichts der Angriffe, die den Inhalt eines Blogs zerstören können, ist zurzeit nichts so wichtig wie eine tägliche Sicherung der Daten. Ob man hierzu einen Dump der Datenbank anlegt oder ob man sich der Export-Funktion von WordPress bedient, ist zweitrangig: Hauptsache, man kann ein von kriminellen Crackern zerstörtes Blog mit möglichst geringer Mühe wiederherstellen. Da die Zerstörung offenbar auch schleichend verlaufen kann, sollten die Backups zwei Monate aufgehoben werden. Wer kann, sollte den Vorgang der Backup-Erstellung automatisieren. Aber nicht, ohne sich regelmäßig zu überzeugen, dass der automatische Vorgang auch wie geplant abläuft. Wenn sich jemand im Katastrofenfall über sein Backup freut und einen Null Byte großen Datenbankdump vorfindet, ist das eine Situation, die auch der friedlichsten Seele wenig druckreife Worte entlockt.
Mit sauberem Rechner bloggen – Die besten Schutzmaßnahmen im Blog nützen nichts, wenn der Arbeitsrechner, an dem man bloggt, mit Malware verseucht und deshalb für kriminelle Cracker offen wie ein Scheunentor ist. Wenn Passwörter aller Art mitgeloggt und unauffällig im Hintergrund an die Spam-Mafia versendet werden, denn kann man genau so gut jedem Verbrecher dieser Welt volle Schreibrechte in seiner persönlichen Website geben. Wer völlig sicher gehen will, verwendet zum Bloggen ein Betriebssystem, das nicht anfällig ist. Alle Programme zum „Virenschutz“ taugen nicht viel, da sie den aktuellen Schadprogrammen um einige Tage hinterherhinken – und schon ein einziger Tag mit mitgelesenen Passwörtern vom eigenen Blog, von Mailkonto, vom eBay-Account und anderen Webdiensten kann großen Schaden anrichten und einem richtig die gute Laune versauen. Tatsächlich können Programme zum „Virenschutz“ sogar gefährlich sein, da sie ihre Anwender in falsche Sicherheit wiegen. Die Tatsache, dass die meisten Angriffe auf Windows-Rechner ausgerichtet sind, sollte jeden darüber nachdenken lassen, ob Windows ein gutes System zur Nutzung empfindlicher Webdienste ist. Im jedem Fall ist ein Knoppix schnell von CD gebootet (dieses Medium verhindert auch die Manipulation des Betriebssystemes durch Kriminelle) und schon ein deutlicher Zugewinn an Sicherheit.
WordPress und die Sicherheit
Am letzten Punkt wird schon deutlich, dass es noch nicht einmal sicher ist, dass wir es bei den gegenwärtig erfolgreichen Attacken mit einem Problem in WordPress zu tun haben. Letztlich kann ein gecracktes Blog viele Ursachen haben.
Dass sich die Aufmerksamkeit dennoch vor allem auf WordPress als mögliche Ursache richtet, hat seine Ursache in den vielen Unstimmigkeiten dieses Blogsystemes, die WordPress immer wieder auf wenig vorteilhafte Weise ins Gerede bringen. Man kann schnell auf die Idee kommen, dass in der gegenwärtigen WordPress-Entwicklung völlig falsche Schwerpunkte gesetzt werden.
Die größte Stärke von WordPress, die konsistente und leicht verständliche Benutzerführung, wird ohne Not aufgegeben. Zudem wurden gerade in letzter Zeit immer wieder Versionen herausgegeben, die sogar ärgerliche Fehler bei den Grundfunktionen hatten (etwa beim Versenden administrativer Mails oder im Editor für Beiträge), was denn für die Version 2.3 auch noch um ein „Feature“ ergänzt wurde, welches ein völlig unnötiges Datenschutzproblem in WordPress einführte. Zu allem Überfluss haben sich die WordPress-Entwickler freiwillig unter einen unangemessenen Zeit- und Projektdruck gesetzt, anstatt dass sie einfach dann die neue Version veröffentlichen, wenn sie fertig ist. Unter Zeitdruck und dem damit verbundenen Stress hat noch niemals ein Mensch bessere Arbeit geleistet. Immerhin wird jetzt auch bei WordPress „endlich“ der „Standard“ befolgt, dass Termine nicht eingehalten werden können. Als ob. Man keine anderen Probleme hätte.
Als wenn das alles noch nicht schlimm genug wäre, hat WordPress auch eine gewisse Sicherheits-Geschichte; es gab immer wieder schwere Lücken. Diese hatten übrigens fast alle ihre Ursache in einer frühen Entscheidung zum Thema, wie man auf die Datenbank zugreifen will. Die Filterung von Benutzereingaben (und solche kann bei einer Webanwendung jeder Mensch im Internet machen) wird nicht zentral an einer Stelle vorgenommen, sondern stets jeweils dort im Code, wo die Eingaben verarbeitet werden – dabei wurden auch immer wieder einmal schwere Fehler verbaut. Oft wird davon gesprochen, dass WordPress bereits in seinem Design (solche Entscheidungen bei Software werden als „Design“ bezeichnet) unsicher sei.
Da ist es gar kein Wunder, dass sich der Verdacht auf eine Schwäche in WordPress richtet, wenn etliche WordPress-Blogs von Spammern gecrackt und zu Litfaßsäulen für kriminelle Angebote gemacht werden:
Da scheinen etliche WP-Versionen von diesen Hacks betroffen zu sein, es wird Zeit das sich das mal jemand näher anschaut. Langsam wird es nämlich unheimlich.
Inzwischen ist der Ruf von WordPress derart ramponiert, dass vereinzelt sogar Blogs völlig aufgegeben werden, wie etwa fridaynite.de:
Für gestern war ja der verschobene Termin für WordPress 2.5 angekündigt. Geschehen ist nichts. Ich hab mich vorhin allerdings gerade mal im Bugtracking System umgesehen. Da sind noch 3-400 Bugs zu finden. Ich frage mich jetzt natürlich:
Warum gibt es bei einer Software, die seit 5 Jahren entwickelt wird noch immer so viele Schwachstellen? Muss man immer auf Teufel komm raus neue Features, egal ob sinnvoll oder nicht, mit Gewalt irgendwo einbauen? Wäre es nicht wirklich sinnvoll, die Software einfach nur mal SICHER zu machen?
Warum ich das schreibe? Weil mir vor 3 Tagen ein kompletter Server gehackt wurde über ein Leck in einer WordPressinstallation. […]
Mein Entschluss steht jetzt fest: Dieser Blog wird zu gemacht.
Die Leute, die im Moment die strategischen Entscheidungen für die weitere Entwicklung von WordPress treffen und die von allen guten Geistern verlassen zu sein scheinen, sollten sich vielleicht wieder auf das besinnen, was WordPress einst stark und so überaus beliebt gemacht hat: Eine klare Benutzerführung, ein relativ minimales Grundsystem und eine einigermaßen ausgereifte Software, die für Menschen geeignet ist, die „einfach nur bloggen“ wollen. Denn ein Blog ist etwas für Menschen, es ist kein technischer Selbstzweck. Alles, was über diesen Kern hinaus geht, gehört meines Erachtens in Plugins.
Wer zu den gar nicht so wenigen Menschen gehört, die schon einmal nach einem Upgrade eine zerstörte Datenbank und deshalb einen Haufen Arbeit mit gleichermaßen aufgeblähter wie unreifer Software hatten, der weiß, dass diese Zeiten vorbei sind.
hi
Hi dear!!
Hallo, unbekannter Sexlockvogel aus dem kalten, fernen Russland, der du nicht einmal meinen Namen kennst und doch so „persönlich“ klingen willst.
My letter will surprise you!!
Ich wäre eher überrascht, wenn ich einmal meine Mail abholte und von so einem Schrott verschont würde.
Übrigens: Interessanter persönlicher Stil mit dem doppelten Ausrufezeichen!! Verbraucht sich aber spätestens beim zweiten Mal!!
My name – Elena. My age-26 years.
Dein Name könnte alltäglicher nicht sein. Dein Alter nicht besser gewählt. Selten nur wurde mit so wenigen Worten eine Kulisse für flüchtige Sexträume geschaffen.
I live in Russia!!
Irgendwie ist das der einzige Satz in dieser Mail, den ich glauben kann.
Private life didn\’t turn out well. I decided to find a foreign man.
[Der Backslash vor dem Apostroph kommt aus dem Original und verrät deutlich, dass die Textfragmente aus einer Datenbank kommen. Es kann ja eigentlich nicht so schwer sein, diesen technischen Müll aus der Mail zu entfernen. Aber so viel Sorgfalt sind die Opfer den Spammer nicht wert. Das wäre ja ein Testlauf und vielleicht ein halbes Stündchen zusätzlicher Arbeit.]
Ich kann mir vorstellen, dass das Leben nicht so toll ist, wenn man für die Spammafia Texte schreibt. Aber ausgerechnet mit millionenfacher Mail nach einem Mann im Ausland suchen? Du musst ja ganz ordentlich Hornhaut auf den Schamlippen haben, wenn du es so hart brauchst.
I dream to meet a decent, kind and clever man!!
Träum weiter!!
It is difficult to tell about myself.
Kein Wunder, wenn man gar nicht wirklich existiert. Was will man da schon über sich erzählen. Wahrscheinlich war die Angabe des Namens und des Alters schon eine Überforderung deiner literarischen Phantasie.
If this is of any interest to you, write to me. My address – ramsdams@gmail.com
Immerhin, zwei Dinge hast du geschafft. Erstens ist es dir gelungen, dass deine Antwortadresse mit der Absenderadresse übereinstimmt. Und zweitens scheinst du die Captchas aus der GoogleMail-Anmeldung ab und an mal entziffert zu kriegen. Bei so viel technischer Fähigkeit hättest du dir doch wirklich jemanden suchen können, der etwas überzeugendere Trieftexte schreibt. Aber zu viel Mühe willst du denn doch nicht in deine Betrugsnummern investieren.
I\‘ll wait!! Kisses Elena
Fick dich selbst!!
Und wenn das mit Spams von Google-Konten in den nächsten Tagen bestehen bleiben oder gar zunehmen sollte, denn wird die komplette Domain gmail.* von mir als Spamquelle behandelt und alles von dort wandert ungesehen in den digitalen Orkus. Ich werde bestimmt nicht der einzige sein, der genau so vorgehen wird, und ich glaube kaum, dass Google das wollen kann. Länger als – sagen wir mal – eine Woche werde ich mir die neue Quelle der Spampest nicht zu Gemüte führen. Danach ergeht es Google bei mir so, wie es jetzt schon längst Yahoo und mail.ru ergangen ist. Denn ich habe Besseres mit meiner beschränkten Lebenszeit zu tun, als mir so eine miese Scheiße in die Augen zu reiben.
Die Sinnlosigkeit der „Captchas“
Dass so genannte „Captchas“, das sind kleine Grafiken mit einem vorsätzlich schwer lesbaren Text, die zum Zugriff auf Funktionen vom menschlichen Anwender abgeschrieben werden müssen, die Benutzbarkeit eines Webdienstes für Menschen deutlich verschlechtern, das weiß jeder, der schon einmal erlebt hat, dass so ein „Captcha“ dermaßen schwer zu lesen ist, dass man schließlich aufgibt. So etwas passiert mir zum Beispiel immer wieder bei den Kommentarfunktionen einiger Blogs, wo ich nach dem dritten Versuch klein beigebe.
Darüber hinaus verhindert man durch den Einsatz von „Captchas“ als Maßnahme gegen Spam, dass behinderte und blinde Menschen eine Website benutzen können. Das mag manchem Menschen gleichgültig sein, ich habe immer Wert auf barrierefreie Projekte gelegt. Wer einen Browser benutzt, der keine Grafiken darstellt oder eine reine Textversion der Website zur Verfügung stellt (und zum Beispiel vorliest), der kann nicht wissen, welcher Text in solchen vorsätzlich unleserlichen Grafiken steht. Die Bitte, diesen dann Text einzugeben, ist ein Ausschluss jener Menschen, die wegen körperlicher Einschränkungen nur den reinen Text der Website zur Verfügung haben. Mit einem etwas gröberen Wort könnte man auch von Diskriminierung sprechen, da eine solche Maßnahme einem Schild „Nicht für Blinde und schwer Behinderte“ gleichkommt. Was auf einer Parkbank als Ausfluss des faschistoiden Unmenschentums betrachtet würde, das ist im spamverseuchten Internet immer mehr zu einer Normalität geworden. Der hilflose Kampf gegen die tägliche Flut der Spam führt hier zu Zuständen, deren Unmenschlichkeit an bittere Zustände gemahnt. Wo die geballte Hirnlosigkeit täglicher Attacken auf Netzprojekte trifft, da werden die betroffenen Menschen leider leicht etwas gedankenlos.
Aber das ist noch nicht alles, was zu diesem Thema zu sagen wäre.
Denn die Captchas sind auch sinnlos als Kampfmittel gegen die Umwandlung des Internet zu einer Litfaßsäule für asoziale und kriminelle Angebote von Spammern. Natürlich ist es mit einem gewissen Aufwand möglich, die vorsätzlich schwer lesbaren Texte mit Hilfe eines Programmes zu entziffern und dabei eine so gute Quote zu erzielen, dass ein nennenswerter Anteil der Spam durchkommt.
Im Moment ist Googles Maildienst davon betroffen, dass Spammer die Captchas automatisch auswerten und offenbar genug Erfolg haben, dass sich dieser Aufwand lohnt, wie heise online heute meldet:
[…] Nach Angaben des Maildienstleisters MessageLabs liegt die Erkennungsrate der Captchas (Completely Automated Public Turing Test to Tell Computers and Humans Apart) durch die Spammer-Tools zwischen 20 und 30 Prozent. Damit lassen sich ausreichend viele Konten für den Versand von Spam-Mails anlegen.
Wer jetzt meint, dass sein Blog oder sein Forum keine so lohnende Angriffsfläche bildet, weil einfach nicht so eine große Wirkung wie mit dem Missbrauch eines Google-Dienstes zu erzielen sei; wer deshalb meint, dass diese „Captchas“ auch in Zukunft eine sinnvolle Maßnahe sein könnten, obwohl die Benutzung der Website für Menschen erschwert oder zum Teil auch unmöglich gemacht wird; der denke bitte noch einmal in Ruhe nach. Die meisten „Captchas“ in Blogs und Foren werden mithilfe spezieller Plugins eingebunden, die eine zum Teil recht breite Nutzergemeinschaft haben, so dass die Analyse des Verfahrens und der Angriff den Spammern durchaus lohnend erscheinen können. Die bloße Möglichkeit, dass man mit einer etwas aufwändigeren Programmierung eine sehr große Anzahl von bisher zu gut geschützten Websites für den Missbrauch als Spamfläche öffnen kann, wird genügeng kriminelle Energie entfachen, dass ein solcher Angriff auf gängige „Captchas“ irgendwann durchgeführt wird.
Und dann ist im Ergebnis die Benutzung der Site für Menschen erschwert, für Blinde und Behinderte sogar unmöglich gemacht; aber der Spammer kann dennoch beliebigen Missbrauch treiben.
Es wird also langsam Zeit, mit dieser Art des Spamschutzes aufzuhören, da er das Internet unzugänglicher macht und da überdem absehbar ist, dass er schon in Kürze (so in den nächsten 12 Monaten) gar kein Schutz mehr sein wird. Es gibt bessere Verfahren, die überdem den Vorteil haben, dass sie sich einem Nutzer nicht in den Weg stellen – ein gutes Beispiel sind die kleinen, textuellen Rechenaufgaben und Quizspiele, die gut konfigurierbar sind und für Menschen keine besondere Hürde darstellen. (Wer keine Blinden ausschließen möchte, sollte aber nicht gerade nach der Farbe des Himmels fragen, wie ich es vor einigen Wochen auf der Website eines Projektes für Blinde und schwer Sehbehinderte beim Kommentieren lesen musste.) Denn ein Mensch hat im Allgemeinen gewisse Informationen über die Beschaffenheit der Welt, die sich in einem Computerprogramm trotz des Versprechens „künstlicher Intelligenz“ immer noch nicht adäquat abbilden lässt.
Kurz: Hört damit auf, diese idiotischen und zunehmend wirkungsloseren „Captchas“ zu verwenden!
Achtzig Prozent Spam-Blogs…
…meint Matt in der Bloggosphäre auszumachen (die schnelle Übel-Setzung ist von mir):
[…] Als prozentualen Anteil der gesamten Bloggosphäre – diese wird von Technorati in der ungefähren Region von 100 Millionen Blogs angegeben – bei dem es sich um Splogs [Spam-Blogs, meine Anmerkung] handelt, würde ich sagen, dass diese Zahl weit höher [als ein Drittel, meine Anmerkung] liegt. Vermutlich liegt sie um die achtzig Prozent. Das ist nicht ganz so schlimm, wie es sich anhört. Ich glaube, dass Spammer sehr effektiv darin sind, hundertausende oder gar Millionen von Blogs zu erzeugen, die einfach nur ungenutzt herumliegen, und ich fühle, dass Technorati in seinen Zahlen keinen angemessenen Weg findet, diese aus der Analyse verschwinden zu lassen. […]
Willkommen im Internet der Spammer! Millionen von Blogs, die einfach nur angelegt wurden, um andere Blogs mit Pingbacks und Trackbacks zu Litfaßsäulen für windige und kriminelle Angebote zu machen, und die dann, nachdem die gängigen Spamfilter erst einmal gegriffen haben, als Müllhalden ungenutzt herumliegen. Was für ein tolles „soziales“ Netzwerk. Und. Was für eine Offenbarung des Charakters der durchschnittlichen Spamsau!
Engagement Mapping
Jetzt einmal keine Spam, sondern ein trüber Einblick in die legale Werbung. Microsoft versucht, Daten zu sammeln, um mit verbesserter Methode noch mehr Menschen so zu manipulieren, dass sie auf Werbung klicken. Alle folgenden Zitate sind der Meldung von heise online entnommen, alle Anmerkungen sind von mir.
Engagement Mapping heißt ein Ansatz, mit dem Microsofts Entwickler bessere Auskünfte über den Erfolg von Online-Werbebannern ermöglichen wollen.
Die Marketing-Heinis von Microsoft denken sich mal wieder so richtig irreführende Sprache aus, um damit das Sammeln von Daten und die auf solcher Sammlung basierende, möglichst wirksame Manipulation möglichst vieler Menschen zu verbessern. Datensammeln klingt gar nicht gut, da spricht man lieber von einer „Abbildung des Engagements“.
Im Hintergrund steht der Gedanke, dass die Kaufentscheidung eines Verbrauchers nicht nur dem letzten Klick auf die Reklame für das angepriesene Objekt zuzurechnen ist, sondern vielmehr der gesamten Dosis, in welcher die betreffende Werbung den Konsumenten erreicht hat.
Offenbar stellt man auch bei Microsoft fest, dass immer weniger Menschen so verblendet von den überall eingestreuten, blinkenden Glücksideen der Werber sind, dass sie auch darauf wie die Deppen darauf rumklicken. Das gesamte Geschäft der Online-Werbung ist langsam, aber sicher rückläufig, und wenn man sich die entsetzliche Penetranz mancher Reklameidee anschaut, kann man eigentlich nur noch froh darüber sein. Zum Glück ermöglicht ein moderner Browser – also einer, der nicht bei Microsoft programmiert wurde – seinem Anwender, diese ganze, meist unerwünschte Vergällung der Inhalte des Internet wirksam auszufiltern.
Das ist natürlich hoch problematisch für Unternehmen, die mit Online-Werbung Geld verdienen wollen. Deshalb pusten die geschickten Verkäufer von Mircosoft über ihre Presseleute diesen Blah heraus, um die Werbekunden schon einmal darauf vorzubereiten, in Zukunft auch für solche Werbung blechen zu müssen, die nicht zu einem Klick durch den Rezipienten führte. Natürlich wird den Werbekunden auch dafür etwas geboten. Das ist zwar kein Verkauf, aber immerhin ein bisschen Statistik.
„Die letzte angeklickte Anzeige ist ein überholter und verbrauchter Maßstab“, erklärt Brian McAndrews, Chef von Microsofts Sparte für Anzeigen- und Verlagssoftware. Bedeutungsvoller ist demnach die komplette Historie der Wahrnehmung von Werbebotschaften, und genau die gilt es mit Engagement Mapping aufzuzeichnen, um den Return on Investment für Werbeausgaben zu ermitteln.
Technisch gelöst werden soll diese Kleinigkeit durch ein genaues Datensammeln, wer wann welche Website mit welcher Werbung vor Augen hatte. Den Rest erledigt man dann mit so genannten „Data Mining“, einem parastatistischen Verfahren, auch noch aus den sinnlosesten Datensammlungen so etwas Ähnliches wie einen Sinn herauszulesen. Und gemäß dieser Kunstfertigkeit des Kaffeesatzlesens in Datenspuren wird man wohl in Zukuft die Rechnungen für Werbekunden schreiben – nachdem man ihnen vorher (natürlich gut werbend und mit aller Technik der Verblendung) erzählt hat, dass auch die wirkungsloseste Kampagne noch eine Wirkung gehabt habe. Das ganze mit dem üblichen Bullshit aus Psychologie und Geschäftsleben angereichert, und schon gibt es genug Affen, die daran glauben werden. Und das ist schließlich das Wichtigste. Wenn. Man etwas verkaufen will. Egal. Ob es sich um altmodische Amulette oder den moderneren marktwirtschaftlichen Aberglauben handelt.
Zur technischen Umsetzung siehe den Artikel auf heise online.
Eine ganz tolle Idee!
Und vor allem ist es gar nicht absurd, dass Werbetreiber darauf hereinfallen. Und dafür zahlen, dass sie nummerische Informationen über die Wirkung ihrer durch aufdringliche, repetitive Zwangshypnose erzeugten Gehirnveränderungen erhalten. Da wächst zusammen, was zusammen gehört: Die Borg (Microsoft) und die Ferengi (Kaufleute) – vor allem wächst beider Seiten Dummheit zusammen.
Wer Galle in meinen Anmerkungen findet, betrachte sie einfach als Gewürz! Ein Werber würde sie auch als solches anbieten – „Gallwürz, denn bitter macht lecker“
Und plötzlich ist ein Popup da…
VORAB – Nur, um das völlig klar zu stellen, weil einige Menschen doch Probleme mit dem Lesen haben: Es geht hier nicht um Spam, sondern um eine legale Form der Werbung als Geschäftsmodell, dennoch dürften viele vom Auftreten dieser Werbung überrascht werden. Weil sie in höchst lästiger Weise auf der eigenen Website auftritt.
Ich wäre vielleicht niemals auf das Abgebot einer kostenlosen Statistik für Websites durch motigo webstats aufmerksam geworden, wenn ich nicht regelmäßig ein Blog lesen würde, das von der hier beschriebenen Form der Werbung betroffen war. Wie aus heiterem Himmel ging plötzlich ein Popup-Fenster mit so einer unsäglichen Reklame der Machart „Herzlichen Glückwunsch, sie haben gewonnen“ auf (Screenshot siehe auf der rechten Seite, zum Vergrößern anklicken), wenn man an irgendeine Stelle in das Blog klickte. Und. Damit man diese Reklame auch wirklich sicher zu Augen kriegte, wurde das Popup auch noch einmal beim Schließen des Browserfensters eingeblendet. Eine Werbung, die sich vor die gesamte Funktionalität eines Blogs stellt, die sich dazwischendrängelt, gleich ob man einen Link anklicken oder einen Kommentar verfassen möchte, eine solche Form der Werbung ist doch ziemlich aufdringlich und nervend. Ja, ich würde sogar sagen, dass eine solche Form der Werbung dazu führen kann, dass man einige Leser seines Blogs nachhaltig verscheucht.
Deshalb wunderte ich mich schon ein bisschen. Die Verwunderung wurde aber noch größer, als ich im Blog mitbekam, dass die Betreiberin dieses Blogs gar nichts davon wusste, dass sie irgendwo eine Popup-Werbung geschaltet hat. Sie war selbst ehrlich überrascht. (Und sie hat das Problem inzwischen behoben.)
Das Rätsel um den Ursprung dieser Blogvergällung klärte sich schnell auf. Es handelt sich um einen kostenlosen Zähler von motigo. Dieses Angebot ist ganz einfach zu verwenden. Wer einen solchen Zähler haben möchte, fügt über die Zwischenablage eine kurze JavaScript-Anweisung in die eigene Seite ein, die ein Skript von einem Server von motigo einfügt, dass denn in der eigenen Website läuft. Und genau dieses Skript sorgt dann irgendwann dafür, dass die äußerst lästigen Popups auftauchen – manchmal durchaus zur Überraschung dessen, der die Website betreibt.
Das ist insofern eine legale Form der Werbung, als dass in den Nutzungsbedingungen (diese sind Bestandteil des mit dem Anbieter geschlossenen Vertrages) darauf hingewiesen wird. Allerdings ist den emsigen Übersetzern der motigo-Website ausgerechnet an dieser Stelle nicht in den Sinn gekommen, dass ein solcher Text auch auf Deutsch zur Verfügung stehen sollte:
Some of the Products and Services are supported by advertising, enabling WMS to provide them to you at no cost. When you use these free services, you agree to allow WMS to display advertising, including third party advertising, through the Products and Services.
In Deutsch klänge dieser Part aus dem Punkt 1 der Bedingungen ungefähr so:
Einige der Produkte und Dienste werden durch Werbung getragen. Dies ermöglicht es WMS [Diese Abkürzung steht für die Firma, die motigo betreibt, meine Anmerkung], Ihnen diese Produkte kostenlos zur Verfügung zu stellen. Wenn Sie diese kostenlosen Dienste verwenden, willigen Sie darin ein, dass WMS über diese Produkte und Dienste Werbung anzeigt, was sich auch auf Werbung dritter Parteien erstreckt.
Im weiteren Verlauf des Textes räumt sich WMS das Recht ein, jederzeit die Form, in der die Werbung eingeblendet wird, zu ändern, und zwar ohne dass der Benutzer darauf eigens hingewiesen wird. Natürlich sind die hier gegebenen Übelsetzungen und Erläuterungen von mir zur Dokumentation erstellt und veröffentlicht worden, sie sind nicht von WMS autorisiert und ersetzen nicht die englischsprachige Vereinbarung im juristischen Sinne. Sie sind eventuell nicht fehlerfrei und schon gar nicht juristisch „dicht“. (Das war die übliche Beschwörungsformel für die Göttin Justizia, deren Waagschalen sich unter der Last des Geldes besonders leicht senken.)
Wie eingangs schon gesagt, es handelt sich um eine völlig legale Form der Werbung, nicht um Spam. Niemand, der davon betroffen ist, sollte sich über das Ergebnis beklagen – die Vereinbarungen sind Bestandteil des Vertrages mit WMS. Wer sich nicht davon gestört fühlt, dass andere auf seiner Seite eine beliebige Form der Werbung – und sei sie auch störend und aufdringlich – machen können, sollte sich von der Erwähnung des Angebotes in diesem Blog nicht abhalten lassen.
Allerdings zeigt sich in der besonderen Darreichungsform dieser Werbung auch die gefühlte Nähe legaler Werbeformen zur Spam. Das beginnt bereits damit, dass eine Überrumpelung versucht wird, indem die Bedingungen für die Nutzung in englischer Sprache präsentiert werden, während ansonsten die gesamte Site und ihre Benutzerschnittstelle (so weit ich das als Nicht-Nutzer absehen kann) in deutsch gehalten ist. Dass viele der Interessierten an einem solchen Angebot die Tragweite dieses Textes gar nicht verstehen können, macht in diesem Zusammenhang durchaus den Eindruck, von Seiten WMS erwünscht und gewollt zu sein. Dementsprechend groß ist dann auch manchmal die Überraschung, wenn man plötzlich eine Website betreibt, die durch eine besonders garstige Werbeform ihre Leser und Nutzer vertreibt.
Ob die von WMS erbrachte Dienstleistung eine solche Einschränkung der Nutzbarkeit der eigenen Website rechtfertigt, kann ich nicht beurteilen, da ich kein Nutzer dieses Dienstes bin. Ich glaube aber, dass schon nach kurzer Zeit Sitebetrieb mit diesen leidigen Popups wesentlich weniger Besucher zu zählen sind. WMS würde ich nahe legen, eine weniger aufdringliche Form der Werbeeinblendung zu verwenden, um nicht viele der jetzigen Nutzer zu verlieren.
Generell kann ich nur eine Empfehlung aussprechen: Wer eine Website betreibt und Skripte anderer Anbieter dort einfügt, sollte sehr genau verstehen, welche Rechte sich diese Anbieter in den jeweiligen Nutzungsbedingungen einräumen und gründlich abwägen, ob das im Einzelfall tragbar ist. Mit der Verwendung solcher Dienste gibt man immer auch anderen Menschen und Firmen das Privileg, beliebigen Code auf der eigenen Website auszuführen. Das tatsächliche Nutzung dieses Privilegs kann überraschend und äußerst unerwünscht sein – ich persönlich würde tendenziell den vollständigen Verzicht auf solche Dienste empfehlen. So etwas wie eine Statistikfunktion lässt sich auch ohne derartige Verträge realisieren, bei einem müßigen Stündchen mit Google wird sich gewiss eine gute Lösung finden lassen.
Ach ja, und das noch: Wer solche Popups auf seiner Site hat und sie wieder loswerden möchte, kann einfach den eingefügten Code entfernen. Weitere Maßnahmen sind nicht erforderlich. Und. Die Site wurde nicht gehackt. Es wurde nur ein Vertrag eingegangen, bei dem man eventuell eine Überraschung erlebt… 😉