In dem betroffenen System werden von Technikern Mängel eingetragen. Treten diese mehrfach nacheinander auf, schlägt das System Alarm. Bisher war unklar, warum das vor zwei Jahren nicht geschah.

“Wer einmal lügt, dem glaubt man nicht auch wenn er dann die Wahrheit spricht.”

Nach Angaben der Webseite Gizmodo.com hat die Stadt Leon in Mexiko ein solches System installiert (F-Secure berichtete). Es funktioniert mittels Iris-Scan und kann 50 Personen pro Minute und Scanner verarbeiten.

Fast hätte ich es vergessen: Alles zur Sicherheit der Bürger und zur Verbrechensbekämpfung.

“Wie angekündigt haben wir vor Kurzem eine Online-Funktion gestartet mit der Sie Ihr Haus bzw. Grundstück vor der Veröffentlichung in Street View durch uns unkenntlich machen lassen können.
Diese Funktion steht Ihnen jetzt unter http://www.google.de/streetview zur Verfügung.”

Folgt man dem Link, gelangt man auf die Streetview Informationsseite – Ein wenig Werbung, falls man es sich nochmal anders überlegen will. Alle anderen, die weiter von ihrem Widerspruch überzeugt sind, müssen auf Unkenntlichmachung beantragen klicken. Dort erfährt man unter Anderem, dass Street View zunächst für die folgenden Städte gestartet wird: Berlin, Bielefeld, Bochum, Bonn, Bremen, Dortmund, Dresden, Duisburg, Düsseldorf, Essen, Frankfurt am Main, Hamburg, Hannover, Köln, Leipzig, Mannheim, München, Nürnberg, Stuttgart und Wuppertal. In diesen Städten gilt eine Widerspruchsfrist bis zum 15.09.2010, 24:00 Uhr.

Mit einem Klick auf Weiter gelangt man auf eine Seite, auf der man mit Google Maps das Gebäude suchen soll und einige Angaben zum Haus machen soll, um eine Verwechslung auszuschließen.Wenn man das nicht will, bekommt man den folgenden Hinweis:

“Nähere Angaben helfen uns, das richtige Gebäude/Grundstück zu identifizieren. Ohne diese Angaben können wir Ihren Antrag  unter Umständen nicht bearbeiten. Sind Sie sicher, dass Sie keine näheren Angaben machen wollen?”

Danach kommt man auf eine Seite, die Missbrauch vermeiden soll:

“Zur Vorbeugung von Missbrauch dieses Dienstes senden wir Ihnen per Post einen Brief zu, der einen Verifizierungscode enthält. Nachdem Sie Ihren Antrag eingereicht haben, erhalten Sie (…) einen Link zu einer Website, auf der Sie den Verifizierungscode eingeben müssen.”

Für die oben genannten Städte muss dieser Verifizierungscode bis zum 06.10.2010 eingeben werden, für alle anderen Gebiete bis zum 31.12.2010.

Der Ablauf im Zeitraffer:

1. ⟶ Widerspruchsmail (Februar 2010)
2. ⟵ Bestätigungsmail (Februar 2010)
3. ⟵ Hinweismail (heute)
4. ⟶ Webanmeldung zum Widerspruch (heute)
5. ⟵ Bestätigungsmail (heute)
6. ⟵ Bestätigungsbrief (in den nächsten Tagen)
7. ⟶ Verifizierungscode eingeben (bis zum 06.10.2010)
8. ⟵ Bestätigungsmail (direkt danach)
9. ⟵ Eventuelle Rückfragen per Mail (dazwischen)
10. ⟶ Beantwortung der Rückfragen (dazwischen)
11. ⟳ Bilder unkenntlich machen (bisher kein Termin)
12. ⟳ Start von Google Street View

PS: Für all die, die es nicht glauben können: Das Video ist wirklich von Google! Auf jeden Fall passt es farblich ganz gut zum Blog, oder?

Laut n-tv prüfe Google derzeit offenbar den Einsatz von kamerabestückten Drohnen für seine Kartendienste Google Earth und Google Maps. Der Chef des deutschen Drohnenherstellers Microdrones, Sven Juerss, sagte der Wirtschaftswoche, sein Unternehmen habe bereits eine Drohne an die Google-Zentrale nach Kalifornien geschickt:

Wir haben gute Chancen, mit Google dauerhaft ins Geschäft zu kommen.

Google sagte nach Angaben der Wirtschaftswoche dazu:

Wir testen oder nutzen diese nicht.

Google setze keine Drohnen für Google Maps, Street-View oder Google Earth ein, heißt es in der Wirtschaftswoche. Die einfache Erklärung: ein Google-Manager habe die Drohne zum Privatgebrauch gekauft. Ach so – dann ist die ganze Aufregung wieder umsonst gewesen.

Nachdem Facebook ja dauernd Sicherheitslücken hat (siehe Beiträge hier im Blog), kam jetzt eine neue dazu, die auch auf Dauer ein interessantes Feature hätte werden können. The Register berichtete von dem Vorfall. Die Zeit war also knapp. Wenn man jedoch dass ebenfalls veröffentlichte Skript genutzt hat, dann reichte sie aus, um seine E-Mail-Adressen ohne Namen zu aktualisieren. Solche zeitlich begrenzten Sonderangebote kennt man ja aus dem Marketing.

Atul Agarwal von Secfence Technologies, der die Schwachstelle veröffentlicht hat, schreibt selbst:

PS: I did not report this, as I am unsure on what to call it, a “bug”, “vuln” or a “feature”.

<meta name="generator" content="WordPress 3.0" />

Erstens kann das bewusst verfälscht worden sein und in vielen Fällen werden keine Subversionierungen angezeigt. Will man also wissen, ob eine Webseite für eine bestimmte Schwachstelle gepatcht wurde, oder nicht, muss man genauer nachforschen. Der BlindElephant WebApp Fingerprinter ist dazu da, die Version einer bekannten Webapplikation herauszufinden. In unserem Beispiel von oben wäre das die Blog-Software WordPress. BlindElephant kann aktuell die folgenden Produkte erkennen:

• WordPress (inklusive einiger Plugins)
• Drupal (inklusive einiger Plugins)
• Joomla
• MediaWiki
• MovableType
• phpBB
• PHP-Nuke
• Liferay
• Moodle
• osCommerce
• phpMyAdmin
• SPIP

Das in Python programmierte Tool vergleicht dazu vorhandene Dateien auf dem Server gegen Hash-Werte der verschiedenen Versionen. Diese Methode ist schnell, schont die Bandbreite und ist sehr flexibel einsetzbar. Um das Tool zu nutzen reicht es aus, den Tarball herunterzuladen und in einem beliebigen Verzeichnis zu entpacken. Eine Installation mit python setup.py install ist nur nötig, wenn man beabsichtigt das Tool als Library zu verwenden. Danach ist das Tool extrem einfach zu bedienen:

python BlindElephant.py http://example.com wordpress

Nach diesem Befehl rattert der blinde Elefant nun alle möglichen WordPress-Dateien auf dem Server durch und verbessert seinen Tipp, um welche Version es sich handelt. Am Ende kommt er zu einer Einschätzung:

Fingerprinting resulted in:
3.0
3.0-IIS
3.0-RC1
3.0-RC1-IIS
3.0-RC2
3.0-RC2-IIS
3.0-RC3
3.0-RC3-IIS
Best Guess: 3.0


Also insbesondere bei der Unterscheidung der Vorabversionen gibt es Schwierigkeiten, weil die Unterscheidungsmöglichkeiten am kleinsten sind. Die Trefferquote ist jedoch sehr hoch. Wer übrigens tatsächlich versucht example.com zu scannen, der bekommt die Fehlermeldung zu sehen, die BlindElephant zeigt, wenn man mit der Webseiten-Software daneben lag:

File produced no match. Error: Error code: 404 (Not Found)
(...)
Error: All versions ruled out!

Example.com wird also nicht mit WordPress betrieben! Für diese Erkenntnis hat sich das Tool doch schon gelohnt.

Was man mit dem Tool noch so alles anfangen kann, hat Qualys auf der letzten BlackHat in Las Vegas gezeigt und dazu Folien und ein Whitepaper veröffentlicht.

Versions before 2.5 are affected by a Critical vulnerability. 4% of administrators have not updated to the patched versions.

Mir sind nun Negativ-Hitlisten in Blogs aufgefallen die zwar Qualys als Quelle nennen, die sich aber weder mit den Qualys-Folien noch mit dem zugehörigen Whitepaper in Zusammenhang bringen lassen.

Als schlechtestes CMS wird dort phpBB genannt, wo angeblich 100% der untersuchten Installationen “kritische” Schwachstellen zeigten. Das Whitepaper sagt dazu:

Version 3.0.7 is affected by a “Moderate” severity vulnerability, and versions below 3.0.4 (in the 3.x branch) are affected by a minor vulnerability. The 2.x branch is considered obsolete. 40% of administrators have not updated to the patched versions of phpBB3, while 19% run an obsolete 2.x variant.

Ich komme da nicht auf 100% “Critical”. Auf Platz zwei der Negativliste soll mit 95% “kritischen” Schwachstellen Mediawiki stehen. Im Whitepaper heißt es:

Versions before 1.15.4 are affected by a Serious vulnerability. 96% of administrators have not updated to the patched versions.

“Serious” (3) und und “Critical” (4) sind aber zwei verschiedene Severity-Level bei Qualys. Insgesamt gibt es davon 5:

1. Minimal
2. Medium
3. Serious
4. Critical
5. Urgent

Qualys selbst trägt natürlich zur Verwirrung bei, da sich Whitepaper und Folien mit den verwendeten Levels “Minor”, “Moderate”, “Major” und “High” selbst nicht an die Qualys-Vorgaben halten. Die Qualys-Level weichen darüber hinaus nicht selten von den Herstellerangaben ab. Also auch hier kann man zu unterschiedlichen Hitlisten kommen. Wenn Sie wissen wollen, wo Ihr CMS steht, sollten Sie also besser selbst einen Blick in die Studie werfen.