Sicherheitslücke (Improper Access Control) ?

Sicherheitslücke (Improper Access Control) auf meinem Blog? Bin ich dadurch hackbar? Was es damit auf sich hat, versuch ich hier zu erklären.

Heute muss ich mal ein Thema ansprechen, das weder was mit Wolle noch mit Stoffen zu tun hat und alles andere als angenehm ist. Trotzdem halte ich es für wichtig, es anzusprechen, einfach um andere WordPress-Blogger aufzuklären.

Wie alles begann

Am 08.02.2021 wurde ich ein wenig überrascht und verunsichert. Ich habe ca. 15 eMails mit dem gleichen Inhalt erhalten. Diese gingen zwar an unterschiedliche eMail-Adressen meiner Domain, doch in meinem Webmaster-Postfach laufen alle eMails zusammen, zu denen kein separates Postfach erstellt ist. So geht grundsätzlich nichts verloren.

Jedenfalls dachte ich zuerst an Spam. 15 mal die identische, englisch-sprachige eMail, das kann doch nichts seriöses sein. Ich wollte die eMails schon als Spam markieren, hab mir dann aber doch mal eine durchgelesen. Spam kann auch durchaus erheiternd sein. War er in diesem Fall aber nicht. Da stand was von einer Sicherheitslücke auf meinem Blog. Über einen Link gelangte ich auf die Seite von openbugbounty.org.

eMail von openbugbounty.org

eMail von openbugbounty.org

Dort erfuhr ich, dass es sich bei der Sicherheitslücke um „Improper Access Control“ handelt. Ein User namens Cyber_India hat ihn gemeldet. Will ich mehr wissen, muss ich den Melder kontaktieren.

Wer oder was ist openbugbounty.org

Soweit ich das mit meinen Englisch-Kenntnissen richtig verstanden habe, geht es bei openbugbounty.org darum, dass jeder Sicherheitsexperte dort Bugs auf jeder beliebigen Internetseite melden kann. Über openbugbounty.org wird dann der Webseitenbetreiber darüber informiert und kann mit dem Melder Kontakt aufnehmen.

In der Regel gibt der Melder dem Webseitenbetreiber dann weitere Informationen zum Bug und wie dieser behoben werden kann. Der Webseitenbetreiber kann dem Melder dann ein Dankeschön zukommen lassen. In der Regel wird es wohl auf eine Zahlung per Paypal hinauslaufen. Aber auch Merchandise, wie im Falle von heise.de, ist wohl denkbar.

Aber auch wenn der Betreiber der Seite vielleicht nur gute Absichten hat, kann die Plattform auch sehr leicht mißbraucht werden, wie dieser Fall zeigt.

Da mein Englisch aber keineswegs verhandlungssicher ist, habe ich erstmal abgewartet und mich, wie man sieht, erstmal ein wenig schlau gemacht.

Sicherheitslücke (Improper Access Control), was ist das?

Zugegeben, ich dachte im ersten Moment, dass der Zugang zu meinem Blog, über den ich mich einloggen muss, um Beiträge zu schreiben, wohl nicht sicher ist und damit angreifbar sprich hackbar ist. Meine Gedanken rotierten. Könnte sich da jemand ungewollt Zugang verschaffen? Sollte ich den Blog erstmal vom Netz nehmen? Immerhin wird auf openbugbounty.org damit gedroht, dass der Bug nach 30 Tagen öffentlich gemacht würde. Aber was würde jemand mit diesem Blog schon anfangen wollen? Ich habe keine Kundendaten, die man stehlen könnte. Bis auf einige Spam-Kommentare und einige wenige Beiträge in Vorbereitung, ist alles öffentlich einsehbar. Ein Hacker würde sich doch nicht die Mühe machen, hier einzubrechen?

Die Lösung

Die Lösung brachte dann der nette Schreiber von diesem Beitrag auf ekiwi.de. Er hat Cyber_India kontaktiert und die Lösung erhalten, die er mit mir geteilt hat.

Scheinbar gibt es eine, wohl veraltete, Schnittstelle in WordPress, die früher für verschiedenste Anwendungen benutzt wurde, aber später abgelöst wurde. Damit WordPress aber abwärtskompatibel bleibt, ist diese Schnittstelle noch aktiv. Es gibt aber verschiedene Wege, die Schnittstelle zu deaktivieren.

Wie dies genau funktioniert, steht in diesem Beitrag auf kinsta.com.

Ob man die Schnittstelle aber so einfach deaktiveren sollte, muss man natürlich selbst prüfen. In der Regel wird sie aber nicht mehr benötigt. Wer hier aber Bedenken hat, braucht meiner Meinung nach jetzt aber keine Panik haben. Ohne ein gültiges Passwort kommt wohl trotzdem niemand auf euren Blog. Das Passwort sollte allerdings ein sicheres sein. Ich verwende für meine Passwörter gerne den Passwortgenerator von lastpass.

Fazit

Für mich hat diese Meldung bei openbugbounty.org einen faden Beigeschmack. Natürlich habe ich mir mal angesehen, was dieser Cyber_India sonst noch für Sicherheitslücken gemeldet hat. Auffällig finde ich, dass er seit über einer Woche jeden Tag bestimmt 500 oder mehr Webseiten meldet, die scheinbar alle das gleiche „Problem“ haben. Und dass es so viele Webseiten gibt, bei denen diese Schnittstelle noch aktiviert ist, ist ja auch nachvollziehbar. Trotzdem kann ich mich des Verdachts nicht erwehren, dass dieser Cyber_India hier versucht, aus unbedarften Blog-Betreibern Geld rauszuholen. Er scheint sich zwar an die Regeln der Plattform zu halten, dass er für die Lösung des Bugs kein Geld oder ähnliches fordert, doch kann ich mir schon vorstellen, dass er darauf aus ist, dass man ihm ein kleines Dankeschön spendet. Und dass es überall auch schwarze Schafe gibt, habe ich ja oben auch schon gezeigt.

Also, seit vorsichtig, wenn ihr von dieser Seite eine Sicherheitslücke gemeldet bekommt. Macht euch erstmal im Internet schlau. Ich kann mir nicht vorstellen, dass die Entwickler von WordPress eine echte Sicherheitslücke lange drin lassen, wenn diese bekannt ist. Also immer schön alles auf dem aktuellen Stand halten.

Zum Abschluss habe ich noch ein Video eines Anwalts zu diesem Thema gefunden. Auch wenn das Video von 2017 ist, dürfte sich die rechtliche Lage nicht stark geändert haben. Aber natürlich gilt das nur innerhalb Deutschlands. Wie das in anderen Ländern aussieht und wie das mit der grenzübergreifenden Strafverfolgung aussieht, kann ich natürlich nicht einschätzen, da ich kein Anwalt bin.

Basilikumernte

Braucht jemand Basilikum? Nachdem ich vor wenigen Wochen bereits einmal das Basilikum abgeerntet habe, war es schon wieder soweit gewachsen, dass dringend ein neuer Schnitt fällig war. (Von der Petersilie hab ich zwischendurch immer mal was an den Salat gemacht, sodass die nicht ganz so gewuchert ist.) Eine Basilikumpflanze hat sogar schon zu blühen begonnen und dann kann man die Blätter nicht mehr wirklich gebrauchen. Sie verlieren dann wohl sehr stark an Aroma. Also habe ich fleißig zurechtgeschnitten:

Basilikumernte

Basilikumernte

Die Frischhaltedose war doch reichlich klein gewählt, aber die größte, die ich bekommen habe. Also das ganze schonmal kleinschneiden, da später eh Pesto draus werden soll. Über eine Stunde hat es gedauert, aber ich hab die große Schüssel voll tatsächlich in die kleine Dose bekommen. Was gut zu wissen ist, denn in 3 Wochen spätestens ist die nächste Ernte fällig und wenn das so weiter wächst, wird es nicht weniger werden. Also kauf ich mir schonmal vorsorglich nochmal so eine Dose. Dann brauch ich nur noch mehr Platz im Tiefkühlfach. Also muss ich in den nächsten Wochen das Eis dort wegessen. Aber das krieg ich hin 😉

Und nächstes Jahr brauch ich kein Basilikum zu pflanzen oder nur sehr sehr wenig, denn das gibt einen Vorrat an Pesto, der sicher ein ganzes Jahr hält. Ich sollte mir jetzt dringend mal nen ordentlichen Mixer dafür zulegen.

geerntet

Am Wochenende hab ich meine Kräuter geerntet. Das Basilikum fing schon regelrecht zu wuchern an und auch die Petersilie war reichlich gewachsen. Beides hat meinen „verunglückten“ Urlaub halbwegs schadlos überstanden. Ein paar kleinere Petersilien-Pflänzchen sind leider eingegangen, aber der Großteil hat sich wieder erholt. Beim Basilikum mußte ich viele welke Blätter wegwerfen. Aber das ist zu verschmerzen, da das Zeug wie Unkraut wächst.

Da ich die Kräuter nicht direkt verarbeiten konnte, die Pflanzen aber dringend zurecht schneiden mußte, hab ich mir extra kleine Frischhalteboxen dafür geholt, um sie erstmal einzufrieren. Aus beidem kann man leckeres Pesto machen, dafür geht auch Eingefrorenes. Und dann hab ich mich ans Ernten gemacht. Etwa die Hälfte vom Basilikum ist in Form von welken Blättern im Biomüll gelandet. Trotzdem war die gekaufte Frischhaltebox dann doch fast zu klein:

Mein kleiner Kräutergarten auf der Fensterbank - Basilikum geerntet

Und dabei war ich sehr großzügig bei den welken Blättern. Alles, was auch nur einen leichten Gelbstich hatte oder sonst irgendwie nicht „perfekt“ war, kam weg. Nur das beste vom besten habe ich zum einfrieren aufgehoben. Ich hab zwar gelesen, dass man auch die etwas gelblicheren Blätter noch prima für Pesto nehmen kann, aber ich wollte da kein Risiko eingehen. Schließlich ist es auch so viel geworden, dass ich nun wirklich nicht damit geizen muss. Und nachgewachsen ist der ja wirklich sehr schnell.

Für die Petersilie hab ich eine kleinere Box geholt. Ich dachte wirklich, die würde reichen. Aber so sah es dann schon beim ersten Topf aus:

Mein kleiner Kräutergarten auf der Fensterbank - Petersilie geerntet

Und zwei weitere Töpfe hatte ich noch vor mir. Aber wie heißt es so schön: Was nicht paßt, wird passend gemacht. In diesem Sinne hab ich einfach gestopft. Fürs Pesto wird eh alles zerkleinert, da merkt man hinterher nicht mehr, ob das aus schönen Blättern gemacht ist. Hauptsache, es schmeckt. Und wie es schmeckt, werde ich sicher in wenigen Wochen testen. Ich will mir nur einen geeigneten Mixer dafür kaufen. Denn die ganzen Kräuter von Hand kleinschneiden erscheint mir wie eine Lebensaufgabe 😉

Achja, der Schnittlauch lebt auch noch, wenn man das so nennen kann. Er ziert sich immer noch. Ein bißchen ist er gewachsen, aber so wirklich viel scheint das nicht zu werden. Als Deko im Topf vielleicht ganz nett, aber wenn ich nur ein bißchen was für einen Salat abschneiden möchte, müßte ich alles abschneiden, um später im Salat was von Schnittlauch zu bemerken. Keine Ahnung, was ich da falsch mache. Vielleicht mal eine andere Sorte probieren? Da gibt es ja zig verschiedene Sorten, die unterschiedliche Eigenschaften haben. Aber das mache ich wenn erst nächstes Jahr. Man muss es ja nicht übertreiben 😉

Kräuter-Fensterbank

Vor einiger Zeit hatte ich ja bereits über meinen kleinen Kräutergarten auf der Fensterbank berichtet. Mittlerweile ist auch die Petersilie ordentlich gewachsen. Leider sieht der Schnittlauch immer noch sehr spärlich aus. Ich befürchte fast, daraus wird nichts. Einzelne dünne Halme sind nur zu sehen, die kaum lang genug zum Ernten sind. Und dann fangen die ersten schon an, braun zu werden. Schade, dabei mag ich doch Schnittlauchsalat ganz besonders.

Aber wenigstens das Basilikum und die Petersilie gedeihen recht gut. Bereits vor ca. zwei Wochen hatte ich einzelne Basilikumpflänzchen ausgedünnt. Am Samstag hab ich nun eine größere Umpflanzaktion gestartet. Hier die Ergebnisse in Bildern:

Die Petersilie sieht noch ein wenig mitgenommen aus:

Mein kleiner Kräutergarten auf der Fensterbank - Petersilie

Petersilie

Hiervon hab ich jetzt diesen Topf mit 8 Pflänzchen und noch einen großen Topf mit 16 Pflänzchen.

Das Basilikum hat es deutlich unbeschadeter überstanden:

Mein kleiner Kräutergarten auf der Fensterbank - Basilikum

Basilikum

Davon gibt es einen großen Topf mit 16 Pflänzchen, zwei Töpfe mit je 9 Pflänzchen und 2 kleine Töpfe mit je 8 Pflänzchen. Insgesamt also 50 Basilikum-Pflänzchen.

Und hier mal noch eine Basilikum-Pflanze, die ich schon vor ca. 2 Wochen umgepflanzt hatte:

Mein kleiner Kräutergarten auf der Fensterbank - Basilikum

Basilikum – Nahaufnahme

Aus dem winzigen Pflänzchen aus dem letzten Beitrag wurde in nur zwei Wochen diese beachtliche Pflanze. Nicht mehr lange, dann kann ich bestimmt das erste eigene Pesto machen. Also stell ich mir jetzt der Frage, wo ich die Pinienkerne fürs Pesto herbekomme. In „meinem“ Supermarkt hier hab ich nur alle möglichen anderen Kerne gesehen. Ob das auch mit Sonnenblumenkernen gehen würde?

So viele Pflänzchen habe ich umgepflanzt und ausgedünnt und ich habe immer noch Basilikum- und Petersilien-Pflänzchen übrigen. Also muss ich am besten die Woche nochmal im Baumarkt vorbei. Am Samstag war es leider schon etwas spät, um nochmal loszugehen. Und nach der Schlepperei von 10l Blumenerde über 1,6 km war meine Motivation nicht mehr allzugroß. Und ich hab ja schon reichlich Pflänzchen. Vermutlich mehr, als ich tatsächlich verbrauchen kann. Aber irgendwie hat es was, wie die Kräuter da so in den mediteranwirkenden Töpfen auf meiner Fensterbank vor sich hinwachsen.

Wenn ich Fenster geputzt hab, gibt es noch ein Bild, auf dem man meine gesamte Fensterbank sieht. Aber die schmutzigen Fenster will ich keinem meiner Leser zumuten. Hat es jetzt sogar ein Vogel geschaft, mein Fenster als Toilette zu mißbrauchen 🙁

Kräutergarten auf der Fensterbank

Guckt mal, was sich auf meiner Fensterbank entwickelt:

Mein kleiner Kräutergarten auf der Fensterbank

Basilikum

In meinem Urlaub vor zwei Wochen hab ich im Baumarkt ein Kräuter-Starter-Set entdeckt. Drei kleine Töpfe mit Samen für Schnittlauch, Petersilie und Basilikum. Nur noch Wasser zugeben und fertig. Klingt wie ein Fertiggericht, ich weis *lach*

Ganz so schnell wie ein Fertiggericht ging es aber nicht. Das Basilikum ist das einzige, was schon nennenswerte Wachstumsfortschritte gemacht hat. Lange Zeit war von Petersilie und Schnittlauch gar nichts zu sehen. Erst vor ein paar Tagen hat sich der Schnittlauch gezeigt. Und bei der Petersilie kann ich seit heute auch endlich was erkennen. Leider ist beides noch ein wenig zu klein, um vernünftige Fotos machen zu können. Daher seht ihr auch nur das Basilikum auf dem Foto. Das muss ich wohl bald ausdünnen, wenn das so weiter wächst. Also nochmal zum Baumarkt, ein paar Töpfe kaufen.

Am meisten freue ich mich ja darauf, wenn ich das erste mal ernten kann. Ich liebe Basilikum-Pesto. Die Fertigsoßen aus dem Supermarkt sind leider alle nicht so der Renner. Ich bin mal gespannt, wie das selbstgemachte Pesto dann schmeckt. Ein Rezept für Basilikum-Pesto hab ich mir auch schon bei Chefkoch.de rausgesucht. Wie lange es wohl noch dauern wird, bis ich es ausprobieren kann? Ich werde auf jedenfall hier berichten.