The enemy within: Hintertür in Wordpress-Source eingeschleust

Wie Golem heute nacht be­rich­tet, ist es einem An­grei­fer ge­lun­gen, eine Si­cher­heits­lü­cke in den of­fi­zi­el­len Down­load von Word­press ein­zu­schleu­sen. Jeder, der in den letz­ten drei bis vier Tagen die Ver­si­on 2.1.1 von wordpress.​org her­un­ter­ge­la­den hat, soll­te un­be­dingt seine In­stal­la­tio­nen ak­tua­li­sie­ren (und sein Log nach Que­rystrings "ix=" und "iz=" durch­su­chen). Eine Ver­si­on ohne der Hin­ter­tür wurde nun mit der Ver­si­ons­num­mer 2.1.2 zum Down­load be­reit­ge­stellt.

Ser­ver, die sol­che po­pu­lä­ren Down­loads zur Ver­fü­gung stel­len, sind na­tür­lich ein idea­ler Mul­ti­pli­ka­tor für sol­che Hin­ter­tü­ren - der An­grei­fer muß sich nicht die Mühe ma­chen, viele ein­zel­ne Rech­ner zu ha­cken: Pflicht­be­wu­ß­te Ad­mi­nis­tra­to­ren ak­tua­li­sie­ren die bei ihnen in­stal­lier­te Soft­ware re­gel­mä­ßig und bauen dabei un­frei­wil­lig die Hin­ter­tür des An­grei­fers in ihr Sys­tem ein.
Sol­che An­grif­fe sind nicht neu: Es gab bei­spiels­wei­se be­reits Ver­su­che, eine Hin­ter­tür in den Li­nux­ker­nel ein­zu­schleu­sen, oder der (ge­ra­de­zu le­gen­dä­re) Pro­of-of-Con­cept, bei dem der gcc-Com­pi­ler so mo­di­fi­ziert wurde, beim Über­set­zen des log­in-Pro­gramms eine Hin­ter­tür zu in­te­grie­ren (und neue gcc-Ver­sio­nen, die mit dem ge­patch­ten Com­pi­ler über­setzt wur­den, eben­falls um die­ses "Fea­ture" zu er­gän­zen).
Schüt­zen kann man sich gegen sol­che An­grif­fe durch Über­prü­fen von Check­sum­men oder di­gi­ta­len Si­gna­tu­ren; al­ler­dings muß dann diese In­for­ma­ti­on aus einer ver­trau­ens­wür­di­gen Quel­le, oder zu­min­dest einer an­de­ren Quel­le stam­men. Wenn der An­grei­fer beim Upload der ver­än­der­ten Pro­gramm­ver­si­on auch die Web­sei­te mit den In­for­ma­tio­nen über die kor­re­spon­die­ren­de Check­sum­me ver­än­dern kann, be­steht na­tür­lich kein Schutz.
Di­gi­ta­le Si­gna­tu­ren (z.B. mit pgp) bie­ten sich na­tür­lich eben­falls an; al­ler­dings darf es dem An­grei­fer nicht ge­lin­gen, den ge­hei­men Schlüs­sel in sei­nen Be­sitz zu brin­gen (er darf also nicht auf dem Down­load-Ser­ver hin­ter­legt sein). Au­ßer­dem be­nö­tigt man zum Über­prü­fen der Si­gna­tur wie­der­um den öf­fent­li­chen Schlüs­sel aus einer ver­trau­ens­wür­di­gen Quel­le - sonst kann der An­grei­fer einen selbst­er­zeug­tes Schlüs­sel­paar zum Er­stel­len der Si­gna­tur ver­wen­den, und den öf­fent­li­chen Schlüs­sel zu­sam­men mit der ver­än­der­ten Soft­ware auf der Web­sei­te zum Down­load be­reit­stel­len. Auch hier gab es schon Vor­fäl­le: So zer­ti­fi­zier­te Ve­ri­sign in der Ver­gan­gen­heit ein­mal fal­sche Schlüs­sel, die an­geb­lich zu Mi­cro­soft ge­hör­ten (so könn­te man bei­spiels­wei­se seine "per­sön­li­chen" Win­dows Up­dates er­stel­len und ver­brei­ten).
Den­noch sind die di­gi­ta­len Si­gna­tu­ren den ein­fa­chen Check­sum­men vor­zu­zie­hen: Man muß nur ein­mal si­cher­stel­len, daß man den "ech­ten" öf­fent­li­chen Schlüs­sel er­hal­ten hat - bei der Check­sum­me ist bei jedem Down­load die Au­then­ti­zi­tät zu über­prü­fen.