WordPress ist weltweit das beliebteste CMS, also Content Management System, mit dem man seine Website gestaltet und bestückt – rund ein Viertel aller Webseiten weltweit (Tendenz steigend…) laufen mit WordPress; und deswegen ist WordPress auch das vielleicht beliebteste Angriffsziel für Hacker. Wie bei jeder Software gibt’s darin natürlich Bugs, Fehler, also Sicherheitslücken, und deswegen sind halt regelmäßige Sicherheitsupdates Pflicht. Auch dieses Blog läuft mit WordPress – und deswegen habe ich letzte Woche auch einfach nur zur Kenntnis genommen, dass meine Seite auf die Version 4.7.2 upgedatet worden ist. Ich habe nämlich die automatische Updatefunktion aktiv und musste da also insofern nichts unternehmen.

Diese Standard-Konfiguration ist natürlich auch für die allermeisten WordPress-User, also eher Laien, empfehlenswert. Admins mit Ahnung oder mit Verantwortung für Firmenseiten sehen das aber etwas anders. Denn jedes Sicherheits-Update – egal ob beim Betriebssystem oder beim CMS – bringt natürlich ein Risiko mit sich: Dass da Inkompatibilitäten oder Fehler drinstecken und im Worst Case die Website oder die gesamte IT des Unternehmens nicht mehr funktioniert. Damit Admins diese Nutzen-Risiko-Abwägung treffen können, brauchen sie die Information, welche Lücken ein Update denn fixt.

Und genau dabei hat WordPress dieses Mal eine reichlich diskussionswürdige Entscheidung getroffen – in den Release-Notes der Version 4.7.2 waren zunächst nur drei Sicherheitslücken beschrieben. Und nun stellt sich heraus – es gab eine vierte, sehr viel gravierendere. Man habe die Extra-Woche abwarten wollen, bis möglichst viele User das Update eingespielt haben und die Provider Maßnahmen gegen Exploit-Versuche implementieren konnten – so das Argument des WordPress-Securityteams. Die selektive Informationspolitik bringt aber die Gefahr von Interessenskonflikten mit sich – und gefährdet vor allem ausgerechnet die WordPress-Nutzer/Admins mit Know-How, so die Kritik von vielen Usern.

Fazit: Die Strategie von WordPress ist einerseits nachvollziehbar – andererseits positioniert sich das CMS damit explizit als Tool „eher für den Laien“ als für den Experten. Wie auch immer – Version 4.7.2 einspielen ist Pflicht. Sofort. Übrigens – wenn sie ein WordPress-Blog betreiben: Haben Sie eigentlich ein Backup?

DRadio Wissen – Hielscher oder Haase vom 02.02.2017 (Moderation: Till Haase)

In einem größeren Betrieb ist das nach wie vor fast unvermeidlich – irgendein Mitarbeiter klickt auf einen Link in einer mehr oder weniger überzeugend formulierten Phishing-Mail, und holt sich Ransomware auf den Rechner und ins Netzwerk. Und wenn der Verschlüsselungsalgorithmus dann sein unheilvolles Werk beendet hat und die Erpressungsbotschaft aufpoppt, hat man einen recht kurzen Entscheidungsbaum: Top-aktuelles Backup auf einem nicht betroffenen Speicherort vorhanden? Nein. Schlüssel des Trojaners schon im Netz bekannt? Nein. Zahlen oder nicht zahlen? Tja…

Embed from Getty Images

Die Stadtverwaltung oder der Secret Service (oder wer auch immer für die befallenen Überwachungskameras in Washington D.C. zuständig war…) hat jedenfalls angeblich nicht gezahlt. Das klingt plausibel – zumindest solange nicht etwas besonderes vorgefallen ist, dürfte der Verlust von ein paar Tagen Kameraaufzeichnungen verschmerzbar sein. Viel dramatischer war hingegen die Situation im österreichischen „Seehotel Jägerwirt“, als das hauseigene IT-System (wieder einmal…) von Ransomware heimgesucht worden war. Die 180 Gäste in dem ausgebuchten Hotel seien nicht mehr in ihre Zimmer, und noch viel schlimmer, nicht mehr aus ihren Zimmern heraus gekommen – so konnte man das auf einer Reihe von Websites lesen. Höchste Panikstufe also – der Hotelchef hätte keine andere Möglichkeit gehabt, als das geforderte Erpressungsgeld unverzüglich zu zahlen.

Ich hatte die Story bei Fefe gesehen, und die Sache mit den eingeschlossenen Gästen kam mir sofort spanisch vor. Natürlich muss sich bei einer Codekarten-Schließanlage in jedem denkbaren Havariefall (Stromausfall, Feuer…) die Zimmertür von innen mit dem Drehknopf öffnen lassen – aber ok, wer weiß, was Hersteller von modernen Gadgets alles verbocken. Die verlinkte Website und die sonstigen Fundstellen fielen aber alle in die Kategorie „Quelle von journalistisch fragwürdigem Wert“, um das mal vorsichtig auszudrücken. Erst auf der „wer-weiß-wievielten“ Folgeseite bei Google kam dann mal ein vernünftiger Treffer – der ORF hatte schon vor einer Woche berichtet; und da war von eingeschlossenen Gästen nicht die Rede.

Daraufhin habe ich einmal selbst beim „Seehotel Jägerwirt“ angerufen und wurde auch gleich zum Chef Christoph Brandstätter durchgestellt.

Ich glaub, das ist a bisserl die stille Post der Presse – es war niemand eingeschlossen, es konnten auch alle Gäste in ihre Zimmer hinein. Eigentlich hat es der Gast gar nicht bemerkt, die meisten Gäste haben es dann aus der Presse erfahren. Es ist so, dass die Computer unten waren und dass wir keine neue Schlüssel ausstellen konnten für anreisende Gäste.

Die Code-Türschlösser im Seehotel Jägerwirt funktionieren jedenfalls so, wie sie sollen und müssen:

Von innen kommt man immer raus. Das ist ja auch feuerpolizeilich so vorgeschrieben.

Unangenehmerweise waren durch die Verschlüsselung aber auch das Kassensystem und die aktuellen Reservierungen betroffen – Brandstätter entschloss sich also, die geforderten 1500 Euro per Bitcoin-Transfer zu „überweisen“. Wonach der Erpresser „freundlicherweise“ die Hotel-IT wieder entsperrte.

Weil so viele Kollegen gesagt haben „Ist mir auch schon passiert“, haben wir uns bewusst dazu entschieden, dass wir damit an die Presse gehen. Dass das Ding so groß wird, damit haben wir nicht gerechnet.

Screenshot vom 29.01.2017, 15.34 Uhr

Bei „Russia Today“ war beispielsweise gleich einmal von 1,5 Millionen Euro Lösegeld die Rede; zur Erheiterung von Christoph Brandstätter:

Wenn ich 1,5 Millionen übrig hätte für Schutzgelderpressung, dann würde ich wahrscheinlich was anderes machen (lacht…) zum Geldverdienen (lacht…) …

Mittlerweile hat RT eine Korrektur gebracht – vermutlich war die um den Faktor 1000 erhöhte Summe eine „Lost in Translation“-Panne (bekanntlich benutzt man im Englischen beim Schreiben von höherstelligen Geldsummen ein Komma, wo im Deutschen ein Punkt steht…). Neben einigen verbliebenen sprachlichen Holprigkeiten 🙂 ist allerdings die Artikelüberschrift und Bildunterschrift z.Z. immer noch falsch. Fefe hat übrigens inzwischen seinem Blogeintrag auch ein Update verpasst.

​​Das Geschäft mit dem Hack · DRadio Wissen

DRadio Wissen – Hielscher oder Haase vom 30.01.2017 (Moderation: Till Haase)

China will zu einer Internet-Supermacht werden, sagt der chinesische Staatspräsident Xi Jinping. In der Tat sind chinesische Firmen schon ein wichtiger Player in der IT-Branche, egal ob es um die Produktion von Smartphones und anderer Hardware geht oder um Internet-Dienstleistungen oder Software-Programmierung. Andererseits passt der chinesischen Regierung ja ganz und gar nicht, dass es im Netz freien Zugang zu Informationen gibt und vertrauliche Kommunikation – und deswegen gibt es bekanntlich die „Great Firewall“, die große Mauer zwischen chinesischen Usern und dem Rest des Internets. Die Regierung will die Mauer jetzt „noch besser“ abdichten – ab sofort müssen alle VPN-Anbieter im Land eine staatliche Genehmigung beantragen, um ihre Dienste fortführen zu können – oder eben auch eher nicht.

Embed from Getty Images

Was Anbieter im Ausland betrifft, war das Ganze ja eh immer schon ein Katz-und-Maus-Spiel; vor oder während wichtiger Ereignisse – etwa wenn der Volkskongress zusammenkommt oder sich etwas in der Führungsriege der Partei tut, wird die VPN-Blockade besonders streng durchgesetzt, außerhalb solcher kritischer Zeiträume kann eine „getunnelte“ Verbindung ins unzensierte Netz auch wieder besser funktionieren.

Auch die User in China haben natürlich ein paar Wahlmöglichkeiten, wie sie VPN denn konkret nutzen möchten – peinlich ist natürlich, wenn auf dem meist verwendeten Betriebssystem für mobile Geräte, Android also, die Mehrzahl der VPN-Apps gefährlicher Schrott ist. Und genau dies ist laut einer Untersuchung von Wissenschaftlern der „University of New South Wales“ und der „University of Berkeley“ der Fall: Die Forscher haben 283 VPN-Apps für Android untersucht – 18% davon haben überhaupt nicht verschlüsselt, 84% die Vertraulichkeit der User gefährdet, und 38% haben den Anwendern sogar gezielt Malware untergejubelt.

Ein Schelm, wer Böses dabei denkt. Merkwürdigerweise ist das Paper der Wissenschaftler in der Presse anscheinend gar nicht aufgegriffen worden. Bei dem Ergebnis ist die Vermutung, dass hinter dem Android-VPN-GAU nicht nur „gewöhnliche Kriminelle“, sondern auch interessierte staatliche Stellen stecken, „so abwegig“ nicht. 🙂 Ich selbst, das gebe ich gern zu, bin ja eh ein wenig skeptisch in Bezug auf das Android-Universum 🙂 …

DRadio Wissen – Hielscher oder Haase vom 25.01.2017 (Moderation: Diane Hielscher)