Phishing-Warnmeldung

    Liebe Firefox-Community,
    ich bin eigentlich ein großer Fan von Firefox, aber mit einem habe ich im Moment persönlich sehr zu kämpfen:
    Letzte Woche wurde auf meiner Firmen-Homepage eingebrochen (ich bin selbstständig und in der Software-Entwicklung tätig) und auf der index.html wurde Schadcode eingeschleust. Es handelte sich um Javascript, der bei einer alten IE-Version Benutzer zu einer Hacker-Seite umleitet. Ich konnte das relativ schnell bemerken, und habe den Code entfernt, Passwörter ausgetauscht etc. Es ging also keine Gefahr mehr von der Seite aus. Trotzdem landete meine komplette Seite bei Google einige Tage später auf der Phishing-Blacklist, was ich leider erst spät bemerkte. Nach Aufforderung nahm Google die Seite etwa 10 Stunden später wieder von der Liste. In dieser gesamten Zeit stellte Firefox eine sehr eindrucksvolle Warnung dar, und in Folge brachen die Benutzerzahlen praktisch auf 0 ein. Die Warnung wird nun nicht mehr dargestellt, aber das Favicon in den Bookmarks ist immer noch ein Stop-Schild.
    Ich bin also auf mehrfache Art und Weise Opfer geworden:
    1.) Zunächst gab es den Einbruch, der über ein Bot-Netz kam.
    2.) Es wurde Schadcode eingeschleust, den ich wieder entfernen konnte.
    3.) Google nimmt mich in den Phishing-Index auf. Das ist eine eigentlich sinnvolle Funktion. Ich kann aber nicht verstehen, wieso man als Homepage-Benutzer (ich verwende Google-Analytics und wurde auf meiner Benutzerseite auf das Problem hingewiesen) nicht automatisch per Mail informiert wird, um rechtzeitig Stellung beziehen zu können. Meine Mail-Adresse ist schließlich bei Google hinterlegt.
    4.) Firefox stellt fälschlicherweise eine Warnung dar, in der meine Seite als Malware-Seite dar und behält auch nach diesem Fall die Warn-Icons bei.

    Das kann für meine Firma den Todesstoß bedeuten. Schließlich bin ich als Entwickler auf Vertrauen angewiesen. Der Einbruch war schließlich lediglich in der Webpräsenz und dort auch nur mit relativ geringem Schaden. Wenn ein Entwickler mitliest, dann bitte ich um Folgendes:
    Bitte weisen Sie in der Warnung darauf hin, dass es Hinweise auf eine Gefährdung gibt, aber
    a.) Die Seite möglicherweise gecrackt wurde. Dann steht man zumindest als Besitzer nicht zwangsläufig als Krimineller dar.
    b.) Die Information über die Gefährung von Google kommt, und Fehlklassifikationen nicht ausgeschlossen sind.

    Innerhalb der letzten Woche musste ich lernen, dass die gesamte Aufregung und Privacy-Debatte im Zuge der Kinderpornographie-Stoppschilder in Hinblick auf Zensur lächerlich ist im Vergleich zu dem, was man in der Privatwirtschaft erleben muss.

    Mit freundlichen Grüßen,
    gbpa005

    Zitat von gbpa005

    4.) Firefox stellt fälschlicherweise eine Warnung dar, in der meine Seite als Malware-Seite dar und behält auch nach diesem Fall die Warn-Icons bei.


    Kommen die nicht auch von Google diese Warnungen und werden vom Fux nur so wiedergegeben? Die sind doch dann in der Phishingliste integriert und die müßte Google doch ändern. Diese Liste findest Du in der urlclassifier3.sqlite. Wenn Du diese löschen würdest und Dir dafür z. B. WOT einbaust käme sowas nicht mehr vor. Vielleicht hilft das ja ein wenig für die Zukunft.

    Willkommen im Forum!

    Zitat von gbpa005

    3.) Google nimmt mich in den Phishing-Index auf. Das ist eine eigentlich sinnvolle Funktion. Ich kann aber nicht verstehen, wieso man als Homepage-Benutzer (ich verwende Google-Analytics und wurde auf meiner Benutzerseite auf das Problem hingewiesen) nicht automatisch per Mail informiert wird, um rechtzeitig Stellung beziehen zu können. Meine Mail-Adresse ist schließlich bei Google hinterlegt.
    4.) Firefox stellt fälschlicherweise eine Warnung dar, in der meine Seite als Malware-Seite dar und behält auch nach diesem Fall die Warn-Icons bei.

    Dafür ist Google verantwortlich

    Zitat von gbpa005

    ....... Wenn ein Entwickler mitliest, dann bitte ich um Folgendes:
    Bitte weisen Sie in der Warnung darauf hin, dass es Hinweise auf eine Gefährdung gibt, aber
    a.) Die Seite möglicherweise gecrackt wurde. Dann steht man zumindest als Besitzer nicht zwangsläufig als Krimineller dar.
    b.) Die Information über die Gefährung von Google kommt, und Fehlklassifikationen nicht ausgeschlossen sind.

    Dies ist ein Forum von Nutzern für Nutzer. Entwickler lesen hier seltenst mit. Wende dich an Mozilla.

    Zitat von Heaven_69


    Kommen die nicht auch von Google diese Warnungen und werden vom Fux nur so wiedergegeben? Die sind doch dann in der Phishingliste integriert und die müßte Google doch ändern. Diese Liste findest Du in der urlclassifier3.sqlite. Wenn Du diese löschen würdest und Dir dafür z. B. WOT einbaust käme sowas nicht mehr vor. Vielleicht hilft das ja ein wenig für die Zukunft.

    Nun ja, es geht hier weniger darum, dass ich selbst diese Icons dargestellt bekomme, sondern dass die anderen Nutzer das Icon angezeigt bekommen und auf diese Weise der Schaden für mich aufrecht erhalten wird.

    Für dich ist das Kind ohnehin bereits in den Brunnen gefallen. Sollte der "Fehler" behoben werden, wird das noch eine ganze Weile dauern. Die werden keinen Hotpatch für dich raus bringen. ; )

    Die Verantwortung liegt ohnehin bei dir. Und das Problem mag "technisch" nur klein gewesen sein. Aber wenn deine Seite gut besucht war (vor allem durch entsprechend ungepatchte IEs), dann war das Risiko für andere und die Gesellschaft als solches nicht so unbeträchtlich. Daher ist so eine Phishing-Liste ja da. Google ist auch nicht verpflichtet dich zu informieren. Die tragen ja keine Verantwortung für deine Seite. Und Firefox zeigt auch nichts fälschlich an. Höchstens zeitverzögert. Der fragt nicht alle 3 Sekunden bei Google nach, ob sich die Liste aktualisiert hat.

    Unterm Strich bleibt hier nur zu sagen, dass wenn die Seite so wirtschaftlich relevant ist, dann muss man auch entsprechende Massnahmen treffen, sie abzusichern.

    Aber sowas passiert den Besten. Also weise deine Kunden auf den Grund hin und hoff aufs Beste. Und falls Du nicht willst das du Stopschilder als Favicon in den Lesezeichen deiner Kunden haben möchtest, dann vielleicht auch ein Hinweis das sie das Lesezeichen neu anlegen mögen. Wenn du befürchtest das das Favicon die Leute davon abhält, das Lesezeichen nochmal aufzurufen, dann muss ich dir eine schreckliche Nachricht überbringen: ohne einen erneuten Besuch wird sich das Favicon auch nicht mehr ändern. Selbst wenn Fix im Firefox verhindert das jemals ein neues Stoppschild als Favicon erscheint.

    Wie bereits hingewiesen findest Du hier auch keine Entwickler. Wende dich hierzu an mozillazine.org bzw. bugzilla.mozilla.org (dort werden Bugs/Verbesserungswünsche entgegengenommen. Aber vorher bitte die Suche verwenden, ob der "Bug" nicht vielleicht zu bekannt ist).

    Einmal editiert, zuletzt von bugcatcher (17. Dezember 2009 um 20:58)

    Insgesamt kann ich Deinem Post zustimmen, nur eines stößt mir sauer auf:

    Zitat von bugcatcher

    Die Verantwortung liegt ohnehin bei dir.

    Hey, ich bin hier auch Opfer einer Straftat geworden. Schon mal das Schlagwort "Blaming the victim" gehört? Ich hatte alle notwendigen Sicherungsmaßnahmen getroffen und der Einbruch in meinen Rechner erfolgte immerhin über ein Firefox-Plugin (aktuelle Java-Runtime)!

    Oh man, Ihr bringt mich echt auf die Palme.

    Firefox ist natürlich nicht für das Sun-Plugin und für Google verantwortlich. Das einzige was ich wollte ist zum Ausdruck bringen, dass die Phishing-Warnung ergänzende Informationen gut gebrauchen könnte.

    Zitat von gbpa005

    Hey, ich bin hier auch Opfer einer Straftat geworden. Schon mal das Schlagwort "Blaming the victim" gehört? Ich hatte alle notwendigen Sicherungsmaßnahmen getroffen und der Einbruch in meinen Rechner erfolgte immerhin über ein Firefox-Plugin (aktuelle Java-Runtime)!


    Und wer hat die Verantwortung für den Rechner? Na? Genau! DU!

    Du bist dafür verantwortlich alle Plugins immer aktuell zu halten. Ich könnte wetten Du benutzt auch ein Adminkonto anstatt eines Kontos mit eingeschränkten Rechten, hab ich recht?

    Plugins wiederum sind Software von 3.Anbietern. Hier wäre im Grunde wenn überhaupt die Schuld bei SUN, dem Hersteller von Java zu suchen. Sofern es sich um eine ungepatchte Lücke handelt. Wenn die Lücke nur existiert, weil Du verfügbare Patches nicht einspielst, kann man dem Hersteller auch keinen Vorwurf machen.

    Geh du mal vor ein Gericht und lass dich über deine PFLICHTEN aufklären, wenn Du RECHTE einfordern willst. Stell ich mir lustig vor.

    A: Herr Richter! Bei mir wurde Eingebrochen! Ich bin Opfer!
    B: Ja! Schlimm! Wie konnte das denn passieren?
    A: Ich hab das Fenster offen gelassen und der Verbrecher ist da einfach durch, als ich gerade nicht da war!
    B: ...

    ---------------------

    Wir wollen dich nicht auf die Palme bringen. Dir nur vor Augen führen in welcher (auch rechtlichen) Situation du dich befindest ; )

    Und die Information wird in der Regel automatisch generiert. Da schreibt keiner spezielle Zusammenfassungen für jede blockierte Seite. Daher gibt es nur die allgemeinen Weisheiten, was so die üblichen Gründe sind.

    Wie gesagt ist das System in allen Teilen auf dem neuesten Stand, aber leider hat auch aktuelle Software Sicherheitslücken. Nein ich arbeite nicht als Administrator.

    Macht Euch keine Mühe zu antworten. Ich lese hier eh nicht mehr.

    Helfen können wir dir eh nicht. Viel Erfolg bei Mozilla und deiner Seite!

    EDIT: wer ne Ahnung welche Lücke Java 1.6.0.17 haben soll? Kann keine Informationen über Exploits oder bekannt gewordene Sicherheitslücken finden. Oder kann ich davon ausgehen das gbpa005 nur sein Ansehen retten will?

    Aber natürlich. Hat er doch gesagt, dass alles aktuell ist. Also muss es einen Exploit geben für den es noch keinen Patch gibt. Sonst hätte er ja die Kontrolle seiner Kiste nicht verloren. Und möglich ist das natürlich immer, dass man ZeroDay-Lücken hat. Daher wäre es schön davon zu wissen. Würde mich wundern wenn darüber keine Informationen existieren würden, wenn die Lücke bereits aktiv ausgenutzt wird.

    Ich steige da sowieso nicht so ganz durch.

    Zitat von gbpa005

    Letzte Woche wurde auf meiner Firmen-Homepage eingebrochen

    Zitat von gbpa005

    und der Einbruch in meinen Rechner erfolgte immerhin über ein Firefox-Plugin (aktuelle Java-Runtime)!


    Das wirft bei mir die Frage auf, wo denn die Firmen-Homepage gehostet ist und wer den Server administriert. Ich stelle es mir etwas grotesk vor, wenn ein Server über eine clientseitige Laufzeitumgebung kompromittiert wird. Abgesehen von dem notwendigen 0day-Exploit für die JRE, wie ernst kann man den Admin nehmen, der so etwas zulässt? Ist gbpa005 selbst der Admin seines Servers? Wenn nicht, dann würde ich über einen Wechsel des Anbieters nachdenken. Ansonsten ist das so dargestellte Einbruchsszenario hier völliger Blödsinn und ich fürchte für das Vertrauen in einen Software-Entwickler abträglicher als die Warnmeldung selbst, denn der sollte es eigentlich besser können oder wissen.

    Zitat

    Es ging also keine Gefahr mehr von der Seite aus.

    Grundsätzlich sollte die Frage gestellt und untersucht werden, ob der Server als ganzes oder nur eine Webanwendung kompromittiert wurde. Das anschließende Einspielen eines Backups in Verbindung mit der Behebung der Schwachstelle ist obligatorisch.

    Zitat

    Ich kann aber nicht verstehen, wieso man als Homepage-Benutzer (ich verwende Google-Analytics und wurde auf meiner Benutzerseite auf das Problem hingewiesen) nicht automatisch per Mail informiert wird, um rechtzeitig Stellung beziehen zu können. Meine Mail-Adresse ist schließlich bei Google hinterlegt.

    Es gibt kein standardisiertes Verfahren zur Benachrichtigung, so einfach ist das. Darüber hinaus macht eine Benachrichtigung nicht immer einen Sinn und muss im Einzelfall geprüft werden. Die Ressourcen dafür kosten Geld - wer bezahlt es?

    Zitat

    Firefox stellt fälschlicherweise eine Warnung dar

    Die Warnung war laut der Aussage doch gerechtfertigt.

    Zitat

    Die Seite möglicherweise gecrackt wurde. Dann steht man zumindest als Besitzer nicht zwangsläufig als Krimineller dar.

    Mir wäre nicht bekannt, dass Google Seitenbetreiber als Kriminelle bezeichnet.

    Ein Nachtrag: Bei Mozilla steht man meinem Vorschlag aufgeschlossen gegenüber: https://bugzilla.mozilla.org/show_bug.cgi?id=535628

    Zu Java: Ich habe als Java-Entwickler natürlich die neueste Runtime (1.6.0_17), aber bis Version 0_15 blieben alte Runtimes bei einem Update auf dem Rechner liegen. Jetzt im Nachhinein habe ich 5 Runtimes gefunden, die zwar alle aus der 1.6.er-Reihe stammen, aber eben doch zum Teil unsicher sind.
    Konkret ereignete sich der Einbruch, als ich nach Tutorials für iText (einer PDF-Library für Java) recherchierte und bei einer Webpage ein Applet mit einer älteren Runtime startete. Es gingen sofort die Virenscanner los, ich trennte den Rechner vom Netz und reinigte ihn mit mehreren verschiedenen Antivirenprogrammen, die ich über Linux-Boot-CDs drüber laufen lies. Offensichtlich genügte aber die kurze Zeit, dass die Nutzerdaten aus meinem FTP-Programm WinSCP abgefragt wurden, wo verschlüsselt die Verbindungsdaten zu meinem Webspace lagen. Der Angriff startete nur 10 Minuten nach der Virenmeldung, während ich den Rechner säuberte und er kam verteilt aus einem Bot-Netz.

    So, und jetzt schaut bitte mal in Euren Ordner c:\Programme\Java\ (sofern ihr auf Windows arbeitet), und wer dort nicht mehrere Runtimes findet, der werfe den ersten Stein. Und dann gibt es noch das Problem der Zero-Day-Exploits. Ich glaube, dass JEDE Anwendung Lücken hat, auch wenn sie nicht bekannt sind. Auch bei Firefox gibt es regelmäßig Patches. Wer von Euch kann sich sicher sein, dass diese nicht in irgendwelchen Hacker-Foren bereits kursieren und die Mozilla Foundation noch nichts davon weiß?

    P.S.:

    Zitat

    Es gibt kein standardisiertes Verfahren zur Benachrichtigung, so einfach ist das. Darüber hinaus macht eine Benachrichtigung nicht immer einen Sinn und muss im Einzelfall geprüft werden. Die Ressourcen dafür kosten Geld - wer bezahlt es?


    Das ist richtig, aber es ist dennoch eine massive Form von Zensur und zwar eine wesentlich drastischere, als bei den ehemals geplanten KiPo-Sperren. Falsch-Positive Ergebnisse lassen sich nie völlig verhindern. Man sollte zumindest versuchen, Kolateralschäden klein zu halten.

    P.P.S.:

    Zitat

    Das wirft bei mir die Frage auf, wo denn die Firmen-Homepage gehostet ist und wer den Server administriert. Ich stelle es mir etwas grotesk vor, wenn ein Server über eine clientseitige Laufzeitumgebung kompromittiert wird. Abgesehen von dem notwendigen 0day-Exploit für die JRE, wie ernst kann man den Admin nehmen, der so etwas zulässt? Ist gbpa005 selbst der Admin seines Servers? Wenn nicht, dann würde ich über einen Wechsel des Anbieters nachdenken. Ansonsten ist das so dargestellte Einbruchsszenario hier völliger Blödsinn und ich fürchte für das Vertrauen in einen Software-Entwickler abträglicher als die Warnmeldung selbst, denn der sollte es eigentlich besser können oder wissen.

    Meine statischen Seiten werden bei 1und1 gehostet. Der Angriff ereignete sich über ausgespähte FTP-Zugangsdaten und es wurde Code an die statischen index.html und die Javascript-Dateien angehängt. Webapplikationen betreibe ich nicht.

    Zitat von gbpa005

    Zu Java: Ich habe als Java-Entwickler natürlich die neueste Runtime (1.6.0_17), aber bis Version 0_15 blieben alte Runtimes bei einem Update auf dem Rechner liegen. Jetzt im Nachhinein habe ich 5 Runtimes gefunden, die zwar alle aus der 1.6.er-Reihe stammen, aber eben doch zum Teil unsicher sind.


    Nö, das ist schon seit geraumer Zeit so (mindestens für 1 1/2 Jahr hier nachvollziehbar, nach meiner Erinnerung jedoch schon deutlich länger), daß die alten Runtimes automatisch entfernt werden - und zwar restlos. Einen Stein werfe ich dennoch nicht, aber wenn es bei dir anders war, so liegt der Verdacht nahe, daß auf deinem System möglicherweise schon seit einiger Zeit einiges nicht stimmt. Das von dir beschriebene Ereignis verstärkt den Verdacht und leider ist es auch bei einem Reinigungsversuch von "außen" so, daß es keine Gewähr für die restlose Reinigung gibt, eine Reinigung einer kompromittierten Registry dürfte von Linux aus gar nicht (oder nur eingeschränkt) möglich sein.

    Im übrigen kommen mir Zweifel in die Stirn, wenn dein Rechner einerseits kompromittiert worden ist, du andererseits aber schreibst, nicht als Administrator zu arbeiten. Zwar beschreibst du nicht im Detail, wo und was exakt von der Linux-CD gereinigt worden ist- du schreibst auch nicht, ob es früher schon einmal Angriffe gab, die du mit oder ohne die griffbereite(!?) Linux-CD bereinigen mußtest - die Symptome sind aber verdächtig.

    Zitat von gbpa005

    Ein Nachtrag: Bei Mozilla steht man meinem Vorschlag aufgeschlossen gegenüber: https://bugzilla.mozilla.org/show_bug.cgi?id=535628


    Das wird dir zwar nicht mehr helfen, aber sicher werden sich andere die dem selben Problem in der Zukunft aufsitzen darüber freuen. Ist doch ein guter Anfang. : )

    Zitat von gbpa005

    Offensichtlich genügte aber die kurze Zeit, dass die Nutzerdaten aus meinem FTP-Programm WinSCP abgefragt wurden, wo verschlüsselt die Verbindungsdaten zu meinem Webspace lagen.


    Joa. Ein weiteres tragisches Beispiel für "so schnell kanns gehen". Und du gehst sicher erheblich vorsichtiger vor wie die Mehrheit der Internet-Nutzer.

    Zitat von gbpa005

    So, und jetzt schaut bitte mal in Euren Ordner c:\Programme\Java\ (sofern ihr auf Windows arbeitet)


    *werf*

    Ich hab nur eine. : )

    Aber ich kenn das Problem von anderen, dass da sich die Runtimes auch mal sammeln. Und oft beschert das auch Probleme, wenn die sich ins Gehege kommen. Wobei ich Java im Browser für inakzeptabel halte und daher grundsätzlich deaktiviert ist.

    Zitat von gbpa005

    Wer von Euch kann sich sicher sein, dass diese nicht in irgendwelchen Hacker-Foren bereits kursieren und die Mozilla Foundation noch nichts davon weiß?


    Daher frag ich ja, ob was bekannt ist. Wenn bereits Exploits aktiv genutzt werden, dann sollte man da sehr schnell eine Nase dran bekommen. Aber bei dir war das wohl keine ZeroDay, sondern aufgrund der verschiedenen veralteten Runtimes passiert. Da hat ein Entwickler natürlich besonders vorsichtig zu sein. Ich hab auch eine Reihe von Browsern an Bord die EoL sind und als Testgründen noch am Start sind. Da muss ich natürlich auch vorsichtig sein.

    Zitat von gbpa005

    Das ist richtig, aber es ist dennoch eine massive Form von Zensur und zwar eine wesentlich drastischere, als bei den ehemals geplanten KiPo-Sperren. Falsch-Positive Ergebnisse lassen sich nie völlig verhindern. Man sollte zumindest versuchen, Kolateralschäden klein zu halten.


    Wenn deine Seite verändert wurde, dann war das nicht False-Positive. Und die Nutzung von Spam/Phishing/usw. Filtern ist freiwillig. Was unsere gute ehemalige KiPo-Ministerin gefordert hatte, hatte nichts mit Freiwilligkeit zu tun. Mag sein das Du in diesem Fall echt doof da standest, aber man kann es auch übertreiben. ; )

    Zitat von gbpa005

    Meine statischen Seiten werden bei 1und1 gehostet. Der Angriff ereignete sich über ausgespähte FTP-Zugangsdaten und es wurde Code an die statischen index.html und die Javascript-Dateien angehängt. Webapplikationen betreibe ich nicht.


    Besser so als wenn es der Webhoster zu verantworten gehabt hätte. Deine eigene Sicherheit kannst du ja verbessern. Auf deren hast du keinen Zugriff.

    Quelle: gbpa005

    Zitat von gbpa005

    Konkret ereignete sich der Einbruch, als ich nach Tutorials für iText (einer PDF-Library für Java) recherchierte und bei einer Webpage ein Applet mit einer älteren Runtime startete.
    [...]
    Offensichtlich genügte aber die kurze Zeit, dass die Nutzerdaten aus meinem FTP-Programm WinSCP abgefragt wurden, wo verschlüsselt die Verbindungsdaten zu meinem Webspace lagen.

    Das erklärt nun den Zusammenhang - danke für die offene Aufklärung! Die Aussage, dass auf der Firmenseite eingebrochen wurde, klang zunächst nicht nach simplem Passwortklau. Allerdings gibt es auch hier eine Unstimmigkeit. Wenn die Zugangsdaten verschlüsselt auf der Platte lagen, wie war es dann möglich diese im Klartext zu erhalten? Die Vermutung liegt nahe, dass es sich höchstens um eine Pseudo-Verschlüsselung handelt. Dementsprechend solltest du zu einer anderen Praxis der Passwortspeicherung greifen.

    Zitat

    Wer von Euch kann sich sicher sein, dass diese nicht in irgendwelchen Hacker-Foren bereits kursieren und die Mozilla Foundation noch nichts davon weiß?

    Niemand, aber du hast ja nun selbst erläutert, dass eine veraltete JRE dafür verantwortlich war. 0day-Exploits sind einfach eine größe Hürde.

    Zitat

    Das ist richtig, aber es ist dennoch eine massive Form von Zensur und zwar eine wesentlich drastischere, als bei den ehemals geplanten KiPo-Sperren.

    Inwiefern drastischer?