Am Montag wurde auf Heise Security ein Artikel mit dem dem Titel „Hunderte Typo3-Webseiten gehackt“ veröffentlicht. Darin wird berichtet, dass viele auf TYPO3 4.5 basierende Webseiten Online-Casino-Spam an Besucher ausliefern. Leider hat die Heise Redaktion bei der Recherche nicht genügend Sorgfalt walten lassen, denn es waren mitnichten nur TYPO3 4.5 Webseiten betroffen. Es wurden auch manipulierte Seiten gefunden, die mit älteren Versionen von TYPO3, anderen Content Management Systemen oder statisch erstellt wurden. In einem Kommentar auf den Heise Artikel wurde das recht gut analysiert. Außerdem legt der Artikel nahe, dass das Problem möglicherweise erst mit TYPO3 6.2 gelöst werden könne.
Aufgrund dieses Heise Artikels sah sich die TYPO3 Association genötigt, ein Statement abzugeben. Darauf folgte dann ein zweiter Artikel bei Heise Security.
Vom Heise Verlag ist man normalerweise gewöhnt, das Artikel fundiert recherchiert sind und Probleme von allen Seiten beleuchtet und analysiert werden. In diesem Fall war die Berichterstattung leider sehr einseitig und legte den Schluss nahe, das es in TYPO3 unentdeckte Sicherheitslücken gibt. Davon kann sich zwar keine Software freisprechen, aber das TYPO3 Security Team tut alles, um die aktuell unterstützten Versionen von TYPO3 sicher zu halten. Für alle bekannten Sicherheitslücken im TYPO3 Core und in Erweiterungen von Dritten, die über das TYPO3 Extension Repository (TER) angeboten werden, existieren Security Bulletins und Updates. So ist dem Security Team aktuell keine gehackte Webseite bekannt, die die jeweils aktuellste Version von TYPO3 (4.5.32, 4.7.17, 6.0.12 oder 6.1.7) verwendet.
Die Art des Hacks ist an sich nichts Neues. Bereits im Mai 2011 habe ich über den Google Conditional Hack berichtet. Damals wurden Dateien auf dem Webserver so manipuliert, das Besucher von Google auf Webseiten für Potenzmittel umgeleitet wurden bzw. von TYPO3 entsprechende Seiten ausgeliefert wurden. Damals wie heute gibt es keinen Beweis dafür, dass Sicherheitslücken in TYPO3 ursächlich für den Hack waren.
Vorbeugen ist besser, als auf die Schuhe zu kotzen!
Ich möchte die aktuelle Aufregung aber nutzen, um die Wichtigkeit von Updates und ständiger Kontrolle in den Vordergrund zu rücken. Jede Software hat irgendwelche Sicherheitslücken und die jeweiligen Entwickler tun in der Regel alles, um bekannt gewordene Sicherheitslücken zu stopfen. Was sie aber nicht tun können, ist die Nutzer der Software auch zu Updates zu zwingen!
Wer eine Webseite mit einem Content Management System egal welchen Herstellers ins Internet bringt, muss auch für die Sicherheit sorgen. Im Falle von TYPO3 gehören dazu regelmäßige Updates des TYPO3 Core und der eingesetzten Extensions. Eine Mailingliste sorgt für zeitnahe Informationen über bekannt gewordene Sicherheitslücken im Core und in Extensions.
Außerdem gibt es eine Reihe von weiteren Möglichkeiten, das eigene TYPO3 System abzusichern:
- Der TYPO3 Security Guide gibt eine Menge Hilfestellungen für Administratoren, Integratoren und Redakteure
- Die Extension checkmysite erkennt automatisch Manipulationen an der index.php im Document Root.
- Mit der Extension be_secure_pw kann man alle Backend Benutzer zwingen, sicherere Passwörter zu verwenden und diese auch regelmäßig zu ändern.
- Änderung des default Install Tool Passworts
- Löschen oder Umbenennen des per Default angelegten Admin Users
Man darf aber nicht außer Acht lassen, dass es außerhalb des verwendeten Content Manangement Sytems noch weitere Einfallstore gibt. Auch der Webserver und das zugrunde liegende Betriebssystem müssen permanent auf dem aktuellsten Stand gehalten werden. Dazu gehören unter anderem (aber nicht ausschließlich) der Webserver (Apache, IIS), Skriptsprachen (PHP, Ruby), das Datenbanksystem (MySQL, PostgreSQL) aber auch externe Zugänge zum Server wie FTP und SSH. Private Webseitenbetreiber können sich in der Regel darauf verlassen, dass ihr Webhoster bekannt gewordene Sicherheitslücken sofort schließt. Im TYPO3 Bereich gibt es ein paar Hoster, die automatische oder 1-Click-Updates anbieten. Bei der Wahl des Hosters sollte man also lieber ein paar Euros mehr investieren und diesen Komfort in Anspruch nehmen.
Zu guter Letzt soll nicht unerwähnt bleiben, dass eine Reihe von Hacks erst durch den Faktor Mensch ermöglicht werden. Dazu gehören unsichere Passwörter oder durch Trojaner abgegriffene Zugangsdaten vom eigenen Rechner. Genauso wie der Webserver muss auch der eigene Rechner ständig aktuell gehalten werden!
tl;dr (Fazit)
Für die Zukunft würde ich mir wieder besser recherchierte Artikel bei Heise Security wünschen, bei denen bereits im Vorfeld mit dem TYPO3 Security Team Kontakt aufgenommen wird und nicht ein Wirbel erzeugt wird, der letztlich allen Beteiligten schadet und für Verunsicherung bei den Nutzern und Kunden sorgt.
Außerdem wünsche ich mir verantwortungsvollere Webseitenbetreiber (egal ob Privatperson, Agentur oder sonstige Firma), die die Wichtigkeit von regelmäßigen Updates erkennen, die dann letztlich geringere Kosten verursachen als eine manipulierte Webseite.
Es ist immer wieder wichtig, das Bewusstsein dafür zu wecken, dass es ohne regelmäßige Updates keine Sicherheit geben kann!