gutgelaunter_kaufaccount - 24 Mrz 2011 19:31

Zensur (Teil 3) und ihre Konsequenzen

Moin,

Erstmal sorry für den dämlichen Titel; obwohl ich der inflationären Verwendung des Zensurbegriffes - vorsichtig formuliert - skeptisch gegenüberstehe, ist er eben ein Sammelbegriff für die systematische Zerstörung der Diskussionsforen durch eBay und Liveworld geworden, die wir in den letzen Monaten erleben mußten.

Das kann man nun gutheißen oder nicht, auf jeden Fall wollte ich mit der Wahl des Titels jedes Mißverständnis dazu ausräumen, ob das, was jetzt kommt, seine Ursachen in der kompletten Fehlleistung der Forenverantwortlichen (damit sind nicht die Pinken gemeint) hat: Ja.

Gleichzeitig habe ich jetzt das EP verschwafelt und damit besteht bei den sicher bald folgenden Löschorgien kein sachlicher Grund mehr, den Thread im Ganzen zu zerstören. ,)

Zur Sache: bitte weiterlesen in #1.

gutgelaunter_kaufaccount - 24 Mrz 2011 19:34

In der eBay-Community besteht eine Sicherheitslücke, die es einem Angreifer erlaubt, mit den Rechten beliebiger hier eingeloggter Nutzer in deren Namen marodierend durch die Gegend zu ziehen. Weil es am besten immer anschaulich geht, ist eine Demonstration im www verfügbar, die jeder selbst ausprobieren kann:

http://lwsr.x10.mx/lwsrpoc.php

Der bloße Besuch der Seite ist harmlos. Wer auf der Seite sein explizites Einverständnis dazu gibt, kann dann allerdings beobachten, wie unter seinem Namen hier gepostet wird.

Es handelt sich dabei um einen sog. Proof-of-Concept, also in etwa einen "Machbarkeitsnachweis". Auf dieselbe Art und Weise lassen sich allerdings ganz andere Dinge bewerkstelligen, z.B. Einladungen in (prvate) Clubs, Rauswürfe und Sperrungen dort, das Manipulieren von Umfragen, Einstellen oder Entfernen von Inhalten, Änderung der Profile (z.B. deren Öffnung für die Allgemeinheit) usw.

Interessant wird das Ganze mit einem Pinkliner als Angriffsziel: So sind Editierungen, Löschungen, das Schließen (und Öffnen) von Threads sowie deren Komplettlöschung, der Ausspruch von Forensperren usw. möglich, um mal nur ein paar Beispiele zu nennen. Werden Accounts mit vollen administrativen Rechten ins Visier genommen, ist de facto alles möglich, was ein legitimer Admin hier eben könnte. Oder anders ausgedrückt: Ein bösartiger Angreifer kann hier Schalten und Walten, wie er will.

Die einzige wirksame Gegenmaßnahme ist, sich bis zur Behebung des Problems nicht in die Community einzuloggen. Das gilt selbstverständlich insbesondere für die bereits angesprochenen Moderatoren, Pinks und Admins. Ein entsprechender Angriff kann natürlich nicht nur in beliebige Webseiten (so auch eBay-ABs, die hier ja ständig verlinkt werden) eingebaut werden, sondern ebenfalls direkt im Forum - nicht sichtbar, versteht sich -, und ohne das Wissen der Nutzer oder gar deren Zutun durchgeführt werden.

Pinkliner müssen also letztlich damit rechnen, daß in jedem Posting hier (so z.B. in diesen böööösen Bankdatenpostings *scnr*) entsprechender Code verbaut sein könnte, der ihre Accounts im Forum Amok laufen läßt. Oder anders ausgedrückt: Daß die Lücke gefunden worden ist, beweist, daß sie gefunden werden kann...und bevor hier irgendwelche Gerüchte entstehen: Es handelt sich keineswegs um irgendeinen besonders tollen Hack dabei; das entsprechende Wissen läßt sich für jeden ergoogeln.

Und selbstverständlich sind alle europäischen Plattformen von Liveworld davon betroffen. Da es sich um einen elementaren Designfehler handelt, würde ich auch mal davon ausgehen, daß es bei den abweichenden Liveworld-Foren in den USA genauso aussieht. Achja, PNs sollte man bis auf weiteres auch nicht lesen.

gutgelaunter_kaufaccount - 24 Mrz 2011 19:39

Was das alles mit der Eskalation in den Foren zu tun hat? Ziemlich viel.

In punkto Umgang mit Sicherheitslücken gibt es zwei konkurrierende Ansätze, full disclosure und responsible disclosure. Ersteres bedeutet, ohne Rücksicht auf Verluste zu veröffentlichen und folgt der jahrelangen Erfahrung, daß gewisse Konzerne nur dann tätig werden, wenn es negative Öffentlichkeit gibt. Zweiteres meint das Informieren der betroffenen Firma bei gleichzeitigem Zurückhalten einer Lücke vor der Öffentlichkeit, damit genug Zeit ist, um das Problem zu fixen.

Man kann trefflich über beide Ansätze streiten, und das wird auch getan. Fakt ist, daß "responsible" nur möglich ist, wenn es auf der anderen Seite jemanden gibt, der mit derlei Meldungen eben verantwortlich umgeht. Das ist bei eBay nicht der Fall.

Die prinzipielle Kenntnis dieses Problems hat eBay mindestens seit Dezember 2009. eBay weiß explizit, daß u.a. die Forenplattform anfällig ist - auch, wenn es damals noch eine andere war. Warum solche Informationen keinen Eingang in den Designprozeß der NNC gefunden haben, keine Ahnung.

Zum Start der Foren haben die Nutzer versucht, mit den Verantwortlichen für die eBay-Foren in Kontakt zu treten. Die Pinkliner werden z.B. einen entsprechenden Versuch vom 12.08.2010 in Erinnerung haben. In der Folge gab es einigen Mailverkehr mit der Presseabteilung in Dreilinden (die sind wohl als einzige autorisiert, qualifiziert nach @extern zu kommunizieren). In einer ca. 5-seitigen E-Mail wurden verschiedene Probleme angesprochen, u.a. wurde auch das nicht vorhandene "Sicherheitskonzept" von LiveWorld kritisiert.

Es kam sogar zu einem Rückruf eines "Manager Seller Communications" (s. presse.ebay.de/news.exe?typ=KO), der zumindest Gespräche in Aussicht stellte. U.a. war eine Telefonkonferenz angedacht mit den verschiedenen Verantwortlichen. Es wird euch jetzt sicher wenig erstaunen, daß nach anfänglichen Versprechungen niemand je wieder von @PR gehört hat - nichtmal was Abschlägigis. ,)

Trotzdem wurde eBay über das Problem erneut informiert, das war im November 2010. Passiert ist: nichts.

Mittlerweile, und hier schließt sich der Kreis zum EP, hat eBay dann eindruckvoll unter Beweis gestellt, daß der Schutz der eigenen Kunden schlichtweg keine Priorität hat. Ob nun aus Geld- oder Zeitgründen, ob aus Unverständnis oder mit Vorsatz, das spielt keine Rolle. Fakt ist, daß eBay den angeblichen Datenschutz von organisierten Kriminellen höher bewertet als den Schutz der Mitglieder vor ebendiesen. Daß 15 Millionen aktiven Kunden in D. nichtmal ein Vollzeitäquivalent an Forenbetreuung gegenübergestellt wird (zzgl. der beiden Moderatoren, die wohl eher deshalb nicht "@ebay.com" heißen, weil sie von Liveworld eingekauft sind: liveworld.com/clients/solutions-ebay.html), spricht eine ebenso deutliche Sprache wie die Dienstanweisung, die im Ergebnis jede Form von sinnvoller Betrugswarnung im Forum unmöglich macht.

Ja @eBay, die Botschaft ist angekommen. Schon lange. Es hat sich auch nie jemand irgendwelche Illusionen darüber gemacht, welchen Stellenwert die Forenschreiber für euch haben. Keinen. Ihr braucht ein Forum, weil eine Firma im Web 2.0 eben ein Forum braucht. Das ist ok. Wenn ihr nicht zuhören wollt oder könnt, wenn ihr nicht in der Lage seid, bei eklatanten Problemen eurer Plattform "responsible" zu reagieren, dann ist das eure Entscheidung. Wir drängen uns da nicht auf, und schon gar nicht bis zur Selbstverleugnung.

Was allerdings nicht eure Entscheidung ist, sind die Konsequenzen aus dieser Firmenpolitik. In diesem Fall (und für die Zukunft) heißt das, daß das Problem eben öffentlich auf den Tisch kommt. Dann kann jeder User anhand der vorliegenden Informationen selbst entscheiden, für wie ernst er das einschätzt und entsprechend handeln oder halt nicht.