But this will not be the end. As Ekki mentioned in his last post: “never say never”; I decided to revive it.

Working on web application security and especially on TYPO3 security topics for several years, I learned a lot. I learned about the different types of vulnerabilities and attack vectors, how Black hats exploit these and how developers, administrators and users care more or less about creating or running secure web applications. As a member of the TYPO3 Security Team but especially as it’s leader, I’m frequently being asked questions like these: “Is TYPO3 secure?”, “Is this really a vulnerability?”, “How can I avoid such vulnerabilities?”, “What do I need to do to run a TYPO3 website securely?” To be honest, sometimes I’m annoyed giving the same answers again and again, but on the other hand it shows me, that the work of the TYPO3 Security Teame, has created a broad attention to this topic. When people start asking questions, they start to care and this is good. This is why I and my fellows in the Security Team always try to passionately answer every question we’re asked with the goal to educate and rise awareness continuously.

I want to stress that I do not want to blame anyone for not knowing something; this would be silly anyway. Nobody (including myself of course) knows everything. But everyone can learn. And I can tell you, security is not only an important but an exciting matter. If you engage in it, you will definitely benefit in many ways. OK, there is one downside: The more you know, the more you can fear. But this is how life is in general. But the more people know, the more they care. And this is a good start for a change to the better. So be encouraged to learn more on security, I will try to help you in that. Then not only you but all of us will benefit from it.

So instead of being annoyed, I would like to share the knowledge I gained and spread it using a platform that targets more people than only the one who is asking. At least I hope this is working out like that and many people are willing to educate themselves or find some helpful information in what I write.

In this blog I will write posts in English but also in German, depending on my mood but also depending on the subject. I already have many ideas what I can write about; (of course) TYPO3 related topics but also more general ones. I’m really looking forward in doing so.

I’m of course curious about your opinions. What are you interested in? What do you expect from reading this blog?

Als Mitglied des Security Teams habe ich Zugang zu vielen interessanten Informationen, die aber nicht veröffentlicht werden können. Und dabei rede ich nicht von neuen, noch nicht behobenen Lücken, sondern vielmehr von Dingen wie aufkommenden neuen Feature-Ideen (bzw. Diskussionen darüber), umgekehrt aber auch über meiner Meinung nach wünschenswerte Security-Zusatzeigenschaften in Frontend wie Backend, und vieles mehr.

Ein Außenstehender könnte all das viel problemloser kommentieren, ich kann es eben nicht. Was bleibt? In letzter Zeit vor allem das nachträgliche Erläutern veröffentlichter Bulletins, auch dies naturgemäß nur “an der Oberfläche”. Spannender: Sonstige Hintergründe, z.B. in Interviews mit Leuten auch außerhalb des Security Teams. Wobei dies natürlich prümär von den Interviewpartnern abhängt, und trotz viel bekundeten Interesses haben die meisten dann doch nie Zeit für sowas. Auch dies liegt sicherlich – zumindest unter anderem – an der etwas sperrigen Thematik.

Der langen Rede kurzer Sinn: Ich habe mich entschieden, diesen Blog zunächst “auf Eis zu legen”, also nicht weiter zu füttern.

“Zunächst”? Man soll ja bekanntlich nie “nie” sagen… Vielleicht ändert sich die Situation ja irgendwann dahingehend, dass das Ganze besser funkioniert.

Bis dahin: Danke für’s Vorbeischauen, und “take care”!

P.S. Direkt zu Erreichen bin ich weiterhin auch über die naw.info Website bzw. die dort angegebene Email-Adresse.
Oder natürlich per Kommentar auf dieser Seite =)

Abgesehen davon habe ich mit verschiedenen Leuten darüber diskutiert, an dieser Stelle nicht nur reaktiv zu berichten, sondern auch gelegentlich”Best Practices” zu Sicherheits-Themen darzustellen. Mit dem Ergebnis: Ja, es scheint wohl genug Interesse und auch Themen zu geben. Also geht das los!

Ebenfalls wenig aufregend zeigt sich bislang unser Honeypot. Er zieht zwar schon viele Angriffe auf sich, doch sind die bislang überhaupt nicht TYPO3-spezifisch und überhaupt unspektakulär. Im Wesentlichen sind es immer wieder Zugriffsversuche auf Lücken anderer Systeme (CMS und sonstige), meist geht es dabei übrigens weiterhin um Remote File Inclusion – Lücken.

Soviel für heute, weiterhin einen schönen Nikolaustag

Die Hacker (insbesondere die per Spider hereinkommenden) wollen wir dabei auf verschiedene Weise zum Honeypot lenken:

• interessante Branche (eine der vorzugsweise gehackten)
• normal scheinende Inhalte
• vermeintliche Angriffsflächen (Extensions, Formulare, interessantes Directory Indexing erlauben, …)
• gezielt auch: tatsächliche Angriffsflächen (bekannt fehlerhafte Extensions, …)

vor allem aber durch

• Umleiten “vorhandenen” Scan-Traffics von anderen Websites zum Honeypot
• Suchmaschinenoptimierung, damit oben genannter Mäusespeck, quatsch: Honig, auch gefunden wird.

Für letzteren Punkt tun wir einiges auf der Seite und darüber hinaus, aber vor allem sind Backlinks immer sehr wertvoll. Daher:

Aufruf: Wer die Möglichkeit hat, einen oder mehrere Links zum Honeypot zu setzen (kann ruhig ein versteckter sein, z.B. weiß auf weißem Grund , der sollte bitte mich (über http://www.naw.info/de/ueber-uns/kontakt.html) oder das Security Team (über http://typo3.org/teams/security/contact-us/) direkt kontaktieren. Danke schön!

Wenn’s gut läuft, gibt es schon eine Menge Ideen, wie man das Ganze ausbauen und noch besser nutzen kann – aber erstmal brauchen wir einen schnellen Start. In jedem Fall werden die Ergebnisse natürlich an dieser Stelle veröffentlicht… Ich bin jetzt schon gespannt.

Hier gibt’s Informationen zu Sicherheitsfragen rund um TYPO3 – Allgemeine Tipps ebenso wie Hintergründe zu konkreten Problemen, oder auch Diskussion von inhaltliche Neuerungen und Verbesserungen von TYPO3 und Extensions.

Überhaupt, Extensions: Die meisten TYPO3-Sites bestehen heute überwiegend aus “Dritt-Extensions”, die nicht Bestandteil des Kernprodukts sind. Von daher drehen sich viele Sicherheitsfragen eher um Erweiterungen als um den Kern. Diese sollen hier natürlich mitbetrachtet werden, ich versuche allerdings immer, die Einordnung klarzustellen…

Dieser Blog ist keine offizielle Veröffentlichung des TYPO3 Projekts oder des TYPO3 Security Teams.

Ekkehard Gümbel