Bigware – Open Source Shopsoftware

Software und Sicherheit

Bigware Software und Ihre Sicherheit

Uns, dem Team der Techniker von Bigware, ist es besonders wichtig, dass sich alle Softwareprogramme von uns auf dem neuesten Stand der Sicherheit befinden. Jeder Softwareentwickler weiß jedoch, dass es niemals eine hundertprozentige Sicherheit geben kann. Diese ist erst gegeben, wenn Sie ein geschlossenes System haben, das keinen Zugriff von außen zulässt. Das dies bei Internetsoftware natürlich nicht so ist, versteht sich von selbst. Unsere Aufgabe ist es daher Augen und Ohren offen zu halten, mitwirkende Fachleute darauf hinzuweisen die neuesten Technologien zu kennen und über Ihre Risiken bescheid zu wissen. So sollte heute jeder PHP Programmierer wissen, dass man niemals "hereinkommenden Daten" vertrauen sollte (Never trust incoming data). Dies bedeutet nichts weiter, als Daten, die von einer Datei zur nächsten weitergereicht werden, immer im Programm zu überprüfen.

Nun entstehen genau dort Probleme, wo sich Standards ändern. Neue PHP Versionen erscheinen, Serverstrukturen verändern sich, "abhängige Software" (z.B. MySql) gehen ebenfalls in eine neue Versionsrunde und allgemeine Sicherheitsstandards werden neu definiert. Ein Programm wie z.B. der Bigware Shop 2.0 besteht schon seit vielen Jahren und kann nicht immer, aufgrund dieser Änderungen, komplett erneuert werden. Dies ist bei ca. 2500 Programmdateien gar nicht möglich. Also muss genau das getan werden was oben schon beschrieben wurde: Augen und Ohren offen halten, mitwirkende Fachleute darauf hinzuweisen die neuesten Technologien zu kennen und über Ihre Risiken bescheid zu wissen.

Große Open Source Softwareschmieden wie Joomla, e107, OSC, Drupal, Bigware, die teilweise Millionen von Nutzern weltweit haben, setzen dabei auch oft auf die Mitwirkung Ihrer Gemeinschaft und veröffentlichen ständige Sicherheitsupdates. Selbst kommerzielle Softwareschmieden können meistens nur den gleichen Weg gehen oder ein Heer von Entwicklern beschäftigen, die sich nur um die Sicherheit kümmern. Auch hier werden ständige Sicherheitsupdates veröffentlicht (siehe: Microsoft).

Die größte Gefahr besteht jedoch häufig darin, dass der Nutzer der Software, besonders bei Open Source Software (weil kostenlos), sich um die spätere Sicherheit nicht mehr kümmert oder bei eigenen Erweiterungen die Sicherheit missachtet. Auch werden angebotene Updates häufig nicht beachtet oder auch aus Bequemlichkeit nicht durchgeführt. Wir, das Team der Bigware LTD, versuchen Sie auf dem Laufenden zu halten. Zum Beispiel über die Startseite in Ihrer Administration zum Bigware Shop 2.0, durch unsere

Update Sektion

im Forum oder durch solche Seiten, wie diese hier. Wenn dort steht "Achtung: Wichtiges Sicherheitsupdate verfügbar", dann meinen wir das auch so. Denn wir wissen, Sie wollen auch weiterhin mit Ihrer Software Geld verdienen. Lassen Sie diese Chance also nicht verstreichen! Ebenfalls ist es für uns von allergrößter Bedeutung von Ihnen zu erfahren, wenn Sie trotzdem einmal Opfer eines Angriffs geworden sind. Berichten Sie uns davon. Sicherheitsupdate werden bei uns generell den normalen Updates vorgezogen.

Teilen Sie uns Angriffsversuche oder Sicherheitsrelevante Auffälligkeiten an unserer Software bitte sofort mit! Bitte helfen Sie uns dabei solche kriminellen Energien zu bekämpfen und zu verhindern.

E-Mail:

Neuigkeiten:

30.01.2008 – Wichtiges Sicherheitsupdate aufgrund eines Angriffs

Die Bigware LTD hat gestern gegen einige Unbekannte, die die Bigware Webseiten und auch einige Webseiten von Shopbetreiber massiv mit "Hackangriffen" treffen wollten, eine Strafanzeige (PDF Link) beim LKA Stuttgart gestellt. Diese Angriffe hatten nur eines zum Ziel: Mit hoch krimineller Energie großen Schaden anzurichten. Ein Hacker war besonders auffällig und glaubt er könne weiter sein Unwesen treiben und Dateien in ein Session Ordner eines unserer Testshops einschleusen, der noch kein Sicherheitsupdate erhalten hatte. Mit "eval" und "base_64" und einigen anderen leicht durchschaubaren Tricks, hat er dabei in seiner "Sandbox" gespielt. Es hätte Freude bereitet als wir Ihn dabei beobachtete, wenn es nicht so traurig gewesen wäre. Wir haben dies protokolliert und zur LKA nachgereicht. Diese Codesnipes, wie Sie in den Bigware Shop als "SQL Injections" eingeschleust werden sollte, sind in allen gängigen Hackerforen aufgetaucht. Wenn die Vorgehensweise nicht so kriminelle Absichten gehabt hätten, würde wir diese Hinweise ja sogar begrüßen. Aber in unserem Forum bekannt geben, das es schon bei einigen laufenden Bigware Shops versucht wurde, gleichzeitig uns mitzuteilen "man könne es auch gegen Geld austesten", und dann keine Zeit verlieren immer wieder zu versuchen Druck auszuüben, ist kein Kinderspiel mehr. Sicherheitsupdates haben bei uns höchste Priorität, ebenso wie bei allen anderen gewissenhaften Softwareschmieden auch, die offenen Code anbieten zur allgemeinen Weiterentwicklung! Deshalb benennen wir ein Update auch mit dem Wort "Sicherheitsupdate" und es ist in der Administration eines jeden Shops als "Achtung Wichtig" markieren. Es ist für uns ebenfalls selbstverständlich, dass wir Beiträge im Forum nicht dulden, die Hinweise auf bestehende Shops enthalten mit denen man noch spielen könnte! Wir möchten daher alle Shopbetreiber darum bitten uns Auffälligkeiten mitzuteilen, erstrecht diese die ein kriminelles Vorgehen vermuten lassen. Wir werden diese Hinweise sofort an die Staatsanwaltschaft weiter geben. Bitte helfen Sie uns dabei solche kriminellen Energien zu bekämpfen und zu verhindern.

E-Mail:

Siehe auch: Diskussionen im Forum

Beitrag veröffentlicht

in

von

FredK

Schlagwörter:

, , , , , , , , , , , , , , , , , , , , ,

Kommentare

Schreibe einen Kommentar