DoS des tages

Was passiert, wenn die EU-kommissjon sich im web ein kleines meinungsbild (neu- und scheißjornalistendeutsch: eine abstimmung) über die zukunft der sommerzeit einholen will, um eine abschaffung dieses dummfugs vorzubereiten? Richtig, die leute finden es so gut, nach jahrzehnten des ausgeliefertseins an p’litische beglückungsideen mal zu diesem tema befragt zu werden und stürzen sich so massenhaft auf diese möglichkeit, dass gleich der niemals für so viel interesse ausgelegte sörver der EU unerreichbar wird.

Ich glaube, wenn man eine volxabstimmung machte, gäbe es für das zweimalige zeitumstellen im jahr keine mehrheit. Eine solche mehrheit gab es die ganzen jahrzehnte lang nur unter den korrupten, lebenswirklichkeitsentwöhnten und menschenfeindlichen scheißp’litikern in berlin und brüssel.

Mein tipp an die EU: stellt einfach noch einen zweiten sörver dazu, damit die webseit auch ein bisschen last abkann und holt mal ein meinungsbild der menschen in europa zu TTIP (oder wie immer ihr die näxste versjon nennen werdet), automatischen vorzensurfiltern fürs internetz oder ein spezjelles standesrecht für presseverleger, das zitate illegal macht ein. Ach, das wollt ihr nicht, da reicht euch das meinungsbild der lobbyisten, und die zahlen auch viel besser und haben besseres essen und bessere nutten? Ich verstehe. Möge das französische rasiermesser über eure beschissenen, korrupten, asozjalen scheißköpfe gehen!

Security des tages

Könnt ihr euch noch erinnern, dass vor ein paar monaten mit einem botnetz-DoS auf den DNS-anbieter „dyn“ ein großer teil des internetzes weggekegelt wurde? So dass zweitscherchen, spottifein, netficks, saundklaut, ihh-bäh und andere geschäftemacher mit äpp- und webdienst-geschäftsmodell auf einmal nicht mehr erreichbar waren? Mit einem botnetz aus lauter schrottteilen der marke „internetz der dinge“?

Wer macht sowas? Ist es vielleicht die organisierte kriminalität gewesen, die begleitend zu erpressungen zeigen wollte, was sie anrichten kann? Oder war es ein staat, der mal mit großen resorßen die muskeln spielen ließ? Waren es die gefährlichen cyber-cyber-terroristen?

Stellt sich doch raus: das war womöglich nur ein von SoNie frustrierter spieler, der sich einfach schnell ein botnetz gemietet hat und seinen angriff auf das pläjhstäjschen-netzwerk halt nicht ganz so professjonell, sondern eher wie ein anfänger-skriptkind vorgetragen hat, so dass er mehr versehentlich große teile des internetzes damit abgeschossen hat.

Bwahahahaha!

Screenshot aus DooM mit überlagerten Text 'Ich töte euch alle!'

Angesichts dieser informativen kleinigkeit wünsche ich unserer neu eingerichteten cyber-truppe bei der bundeswehrmacht viel spaß beim cyber-cyber-krieg! :mrgreen:

(Ich sags ja immer: es ist eher glück, dass noch niemand einen ernsthaften angriff auf infrastruktur gefahren hat. Mit dem „internetz der dinge“ steigen die angriffsmöglichkeiten sogar noch. Wenn erstmal jedes leuchtmittel eine eigene IP hat, reicht es, eine ganze stadt einmal gleichzeitig aus- und wieder einzuschalten, und schon sublimieren die dicken stromkabel unter dem einschaltimpuls weg. Da muss nicht einmal mehr ein kraftwerk am internetz hängen, um die stromversorgung zu sabotieren.)

Wer sich dafür interessiert: das bildschirmfoto zeigt das olle „doom“ mit dem großartigen, aber auch sehr schwierigen WAD sunlust, aufgenommen mit zdoom, und zwar mit dem softwäjhr-renderer, und nicht mit einem modernen 3D-renderer, der wesentlich bessere grafik hinbekäme. Nein, leider ist nicht jeder level in sunlust so großartig anzuschauen, aber jeder ist deutlich überdurchschnittlich. Wenn man nur zum hinschauen käme, bei den monsterhorden…

Wördpress-ALARM des tages

So eine pingback-funkzjon ist schon toll, vor allem für böswillige häcker, die ein wördpress-blog aus dem netz kegeln wollen. Dazu sucht man sich einfach eine liste von wördpress-blogs zusammen — zur vereinfachung dieses vorgangs steht ja (fast) immer schön <meta name="generator" ... im kwelltext — und sendet jedem dieser wördpress-blogs so dreihundert bytes XML-daten, dass die zielseite des angriffs einen link gesetzt hat und gibt dazu eine URI der verlinkenden seite an. Das wördpress-blog sendet daraufhin einen rekwest nach der URI, der in diesem gefälschten pingback angegeben wurde. Natürlich hängt man da immer ein paar hübsche parameter dran, so dass kein caching möglich ist, und schon hat man es mit (leicht in einer sekunde zu versendenden) rd. 20.000 bytes geschaft, eine zielseite mit hundert rekwests zu beschäftigen. Da freut sich das moppelchen wördpress, wenn es dafür jedesmal seine zwanzig SQL-abfragen macht, weil caching verhindert man ja.

Dass es möglich ist, als einzeltäter ganz ohne botnetz mit handelsüblichen progrämmchen wie… sagen wir mal… curl und einem kleinen shellskript ein blog aus dem web zu kegeln, ist vermutlich die wördpress-sicherheitskatastrofe des jahres. Jeder vierjährige, auf dem pisspott sitzende nachwuxhäcker kann das. Da man nicht allzuviel datendurchsatz benötigt, hängt man noch sein TOR als socks-sörver dazwischen, so dass die bei den missbrauchten wördpress-blogs geloggten IP-adressen keine einfache identifikazjon zulassen. Auch dazu dürfte jedes kind imstande sein.

Abhilfe ist gar nicht so einfach. Alle anfragen kommen von völlig unverdächtigen adressen, auf rDNS würde ich mich niemals verlassen wollen. Man kann natürlich die pingbacks abstellen… das geht (in einem deutschen wördpress) unter „Einstellungen ▷ Diskussion“ durch enfernen des häkchens vor „Erlaube Link-Benachrichtigungen von anderen Weblogs“. Das problem dabei ist, dass diese einstellungen nicht pro blog gelten, sondern pro beitrag, dass also alle bisherigen einträge bearbeitet werden müssten, was unerfreulich ist. Wer keine softwäjhr (wie wpcmd) zum bloggen benutzt, kann natürlich einfach seine xmlrpc.php umbenennen und ist dann gegen den einfachen angriff etwas sicherer, der websörver muss sich dann nur noch um die vielen 404er-fehler kümmern — die übrigens auch über wördpress ausgeliefert werden. Etwas radikaler ist eine rewrite-rule in der .htaccess (achtung, das ist völlig ungetestet und ohne blick in die dokumentazjon formuliert!):

RewriteEngine On
RewriteCond %{THE_REQUEST} "POST /xmlrpc.php HTTP/1.0" [NC] 
RewriteRule (.*) - [F]

Letztlich werden sich die wördpress-entwickler etwas gegen dieses problem einfallen lassen müssen. Ich sage der zeit, in der sich blogs einfach untereinander ihre verlinkungen mitteilen konnten, schon leise tschüss — es bleibt ja immer noch der handbetrieb im kommentarbereich. Der automatismus führt zurzeit leider nur zu einer echokammer für destruktive idjoten.

Nachtrag:Disable XML-RPC Pingback“ sollte helfen. 😉