Skip to content

security.txt

Kennt ihr noch die Datei robots.txt, die auf verschiedenen Webseiten hinterlegt sind? Dahinter stand der Robots Exclusion Standard und die verschiedenen Bots sollen zuerst die Seite ausweren, bevor sie eine Webpräsenz indexieren. Daneben entstand auch die Idee für eine humans.txt und mit dem “Erschaffen” des .well-known-Verzeichnisses auf dem Webserver gibt es eine ganze Reihe Dateiformate zur Information oder für andere Zwecke.

Seit April 2022 gibt es nun den RFC 9116 für die Datei security.txt. Diese soll anderen helfen, Sicherheitslücken an die richtige Stelle zu melden. Denn oftmals steht das Problem, dass eine Schwachstelle gefunden wurde und es vielleicht unklar ist, wohin diese zu melden ist.

Mail wäre natürlich eine mögliche Wahl. Im besten Fall existiert sogar eine E-Mail-Adresse namens security@. Aber sehr häufig ist dies nicht der Fall. Mails an info@ oder ähnliche Adressen landen eher im Nirwana oder werden mit Standardtextbausteinen beantwortet. Daher ist ein gezielter, standardisierter Weg gut.

Der RFC 9116 definiert hierfür eben die Datei security.txt, die im Unterordner .well-known einer Webpräsenz liegen muss. Die Datei selbst muss über HTTPS erreichbar sein. Ein korrekter Pfad wäre also https://example.com/.well-known/security.txt.

Doch was darf da drin stehen? Naheliegend sind Kontaktinformationen. :-) Spezieller Informationen, an die man Informationen zu Schwachstellen melden kann. Hierfür ist der Eintrag Contact: gedacht. Dieser muss in der Datei enthalten sein und sollte die Kontaktmöglichkeiten in absteigender Reihenfolge enthalten. Daneben benötigt die Datei zwingend ein Ablaufdatum. Eine Minimalversion der Datei kann also so aussehen:

Contact: mailto:security@example.com
Expires: 2023-05-01T12:13:24+02:00

Weiterhin könnt ihr in der Datei Informationen zu einer Policy hinterlegen, welche Sprachen ihr sprecht, ob ihr Leute einstellt, wer in der Vergangenheit Lücken meldete und einen Verweis zu einem Schlüssel machen. Eine erweiterte Version der Datei sähe also so aus:

Contact: mailto:security@example.com
Contact: +49-123-456-7890
Contact: https://example.com/meldeformular.html
Policy: https://example.com/security-policy.html
Preferred-Languages: de, en
Acknowledgments: https://example.com/hall-of-fame.html
Encryption: https://example.com/pgp-key.txt
Expires: 2023-05-01T12:13:24+02:00

Hier sind mehrere Kontaktmöglichkeiten genannt. Es gibt eine Policy. Die Leute sprechen Deutsch und Englisch und ihr bekommt Infos über andere, die etwas gemeldet haben. Am Schluss findet sich auch ein PGP-Schlüssel. Optimalweise würde der über Web Key Discovery bereit gestellt. Aber das ist ein Thema für einen anderen Beitrag. ;-)

Schließlich könnt ihr den Eintrag auch noch mittels OpenPGP signieren. Dann sähe meine obige Datei so aus:

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

Contact: mailto:security@example.com
Contact: +49-123-456-7890
Contact: https://example.com/meldeformular.html
Policy: https://example.com/security-policy.html
Preferred-Languages: de, en
Acknowledgments: https://example.com/hall-of-fame.html
Encryption: https://example.com/pgp-key.txt
Expires: 2023-05-01T12:13:24+02:00

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.2.19

[Viele Zeichen, die gpg auswerten kann]
-----END PGP SIGNATURE-----

Wenn ihr also eine Schwachstelle gefunden habt, dann lohnt es sich nach der Datei zu schauen und die dort genannten Kontakte anzusprechen. Ich habe mal ein wenig gegraben. Bei den großen, bekannten Seiten, wie Google, Facebook, Twitter, GitHub usw., fand ich jeweils eine solche Datei. Seiten aus dem Microsoft-Universum wie auch viele chinesische Seiten haben keinerlei solche Informationen.

Ansonsten ist das Bild recht gemischt. Während beispielsweise Facebook und WhatsApp eine security.txt anbieten, hat Instagram keine, obwohl alle zum selben Konzern gehören.

Unter andere namhaften Seiten fand ich nichts bei

  • Reddit
  • Wikipedia
  • Zoom
  • Netflix
  • Stackoverflow
  • Apple
  • und weiteren

Hier ist also noch ein wenig Arbeit zu tun. Wenn die Datei auch bei euch oder eurem Arbeigeber fehlt, sprecht die doch an und bittet die, diese Informationen bereitzustellen (und natürlich bei Bedarf zu aktualisieren).

Siehe auch:

Update: Ich hatte übersehen, dass das Expires:-Feld auch ein Pflichtfeld ist und habe die obige Beschreibung ergänzt. Vielen Dank an Jürgen für den Hinweis!

Corona-Vergleich zwischen USA, Dänemark und Slowenien

Bei meinen Reisen durch die Statisken bei OWID verglich ich kürzlich verschiedene Länder bezüglich deren Impfungen, Einweisungen in Krankenhäuser etc. Dabei stieß mir der Vergleich zwischen den USA, Dänemark und Slowenien ins Auge.

Grafik verschiedener Corona-Parameter

Vergleich der Impfdosen, Corona-Infektionen, Patienten auf den Intensivstationen und Todesfällen der Länder USA, Dänemark und Schweden

Auf dem Bild links oben ist der Verlauf der Impfungen in den einzelnen Ländern gedruckt. Dabei liegt Dänemark weit vorn, gefolgt von den USA und am Ende liegt Slowenien. Zu Ende Januar 2022 sind in Dänemark weit über 80% der Bevölkerung vollständig geimpft (USA: 63%, Slowenien: 58 %).

Links oben sind die aktuellen Fallzahlen. Sowohl Dänemark wie auch Slowenien schießen nach oben während die USA weniger als die Hälfte der slowenischen Fallzahlen hat.

Links unten sind dann die Personen auf den Intensivstationen verzeichnet. Insbesondere Slowenien hat hier einen enormen Ausschlag. Leider fehlt bei OWID eine Möglichkeit, die Gesamtzahlen zu ermitteln. Aber grob geschätzt sind die Zahlen zwischen Oktober 2020 und Juli 2021 sowie September 2021 bis jetzt (Januar 2022) etwa gleich. Die Zahlen aus den USA sind leicht geringer geschätzt und Dänemark liegt dann deutlich darunter.

Schließlich finden sich rechts unten die Anzahl der Todesfälle. Bis Ende Oktober 2020 lagen die USA deutlich an der Spitze gefolgt von Dänemark und am Ende Slowenien. Ab Dezember 2020 bis heute sind die Todeszahlen in Slowenien am höchsten dicht gefolgt von den USA. Dänemarkt hat etwa ein Viertel der Zahlen der anderen beiden Länder.

Der Vergleich zeigt, dass Dänemark unter den drei Ländern bisher am besten durch die Pandemie gekommen ist. Sowohl Fallzahlen, wie auch Menschen in den Krankenhäusern wie auch die Todeszahlen liegen deutlich unter den USA und Slowenien. Aber auch im Zeitreihenvergleich steht Dänemark gut da. Heute hat das Land fünfzehnmal mehr Fälle als zu Weihnachten 2020. Jedoch liegen des Todesfälle deutlich unter den Hochs aus der Zeit. Aktuell liegen die etwa halb so hoch, sind aber noch am steigen.

Diese Entkopplung von Fall- und Sterbezahlen zeigt sich bei allen drei (und auch bei anderen) Ländern:

Vergleich der Fall- und Todeszahlen
Vergleich der Fall- und Todeszahlen

Ich habe die Ansicht in der obigen Grafik mal auf den Zeitraum zwischen Dezember 2020 und 2021 beschränkt. Denn durch den hohen Anstieg der Fallzahlen wird die Kurve zu “flach”. Bereits hier zeigt sich die Entkopplung von Fall- und Todeszahlen. In Dänemark und Slowenien gehen die Fallzahlen deutlich hoch, während die Zahl der Toten deutlich weniger steigt. Für Slowenien zeigt sich der Effekt noch viel deutlicher, wenn der Startzeitpunkt im OKtober 2020 liegt. Allerdings hinterlässt die Omikron-Wand in Slowenien schon jetzt deutliche Spuren. Dort hat sich die Zahl der Toten in den letzten beiden Wochen verdoppelt (bei einer Verdrei- bis Vervierfachung der Fallzahlen). Wenn sich das so fortsetzt, sollten die Zahlen etwas über die Spitze der Delta-Welle steigen und immernoch deutlich unter denen vom Jahresende 2020 liegen.

Aus meiner Sicht zeigt sich in diesen Zahlen der Erfolg der Impfung. Alle anderen Maßnahmen sind zu verschiedenen Graden in den betreffenden Ländern heruntergefahren worden. So dass die Impfung hier einen großen Schutzfaktor einnimmt.

Im Falle der USA ist der Effekt nicht so deutlich mit Bildern zu sehen. Hier müsste man die Daten mehr nach den einzelnen Ländern aufgliedern und würde dort dann ebensolche interessanten Erkenntnisse gewinnen. Das ist jedoch Thema für einen anderen (noch nicht geschriebenen) Blogbeitrag. :-)

Blog entflickt

In einem Beitrag vor ein paar Tagen kam ich zu der Ansicht, dass spätestens mit der Anwendung der Datenschutz-Grundverordnung am 25. Mai 2018 Flickr nicht mehr genutzt werden kann. Das bedeutete für mich, dass ich mein Blog auf Bilder prüfen muss, die über Flickt eingebunden werden. Soweit ich das sehe, ist das jetzt abgeschlossen. Es sollten keine Bilder mehr über Flickr und andere fremde Quellen kommen.

Weiterhin habe ich geprüft, ob ich bei YouTube-Videos die Domain youtube-nocookie.com verwende. Auch dies sollte jetzt der Fall sein. Damit kommen die Videos hier im Blog entweder von obiger YouTube-Seite oder von media.ccc.de.

Solltet ihr noch Sachen finden, die von woanders eingebunden werden, freue ich mich über einen Hinweis in den Kommentaren.

Wer ist hinter APT3?

Habt ihr schon mal von APT3 oder Gothic Panda oder Buckeye gehört? Oder sagen euch die Operationen Double Tap oder Clandestine Fox etwas?

Zugegeben sind die Aktionen aus dem Jahr 2014 und damit schon etwas älter. Die Gruppe, die als APT3, UPS, Gothic Panda, Buckeye etc., bekannt ist, ist schon weit älter. Das Unternehmen FireEye berichtete bereits im Jahr 2010 zum ersten Mal darüber.

Die Operation Double Tap bestand aus einer Phishing Mail, die Leute zu einer Mitgliedschaft in einem Playboysclub einlud. Wer dann auf den Link in der Mail klickte, gelangte auf eine Webseite, die einen Exploit ausnutzte. Dieser installierte letztlich eine Schadsoftware auf dem Rechner und diese kommunizierte mit einem Server. FireEye hat mehr Details zu der Operation. Die Operation Clandestine Fox war ähnlich interessant.

Nun fragen sich viele, wer eigentlich hinter der Gruppe steckt. Wenn man aktuelle Pressemitteilungen liest, so ergibt sich der Eindruck, dass es immer entweder russische oder chinesische Angreifer sind. Im Falle von APT3 gibt es noch ein paar mehr Hinweise:

  • Die Domainnamen müssen von einer Person registriert werden. Dabei wurde die E-Mail-Adresse mxmtmw@gmail.com angegeben. Ausgehend davon gelang es, eine Person mit dem Namen Wu Yingzhou zu ermitteln. Die Seite https://intrusiontruth.wordpress.com/2017/05/02/who-is-mr-wu/ hat alle Details dazu.

  • Auch bei einer zweiten Domain spielte eine andere E-Mail-Adresse eine wesentliche Rolle. Die Forscher konnten die Person Dong Hao ermitteln.

  • Beide Personen sind Eigentümer der Firma Boyusec. Diese Firma wiederum ist Auftragnehmer des Ministeriums für Staatssicherheit in China.

Das ist doch ein recht klarer Hinweis, dass Boyusec hinter APT3 steckt. Dies folgt einem Trend. Denn viele Dienste lagern die Aufgaben an Privatfirmen aus.

Infosec Bytes -- Videoanleitungen zur sicheren Kommunikation

Ich habe in den letzten Tagen ein wenig mit Infosec Bytes zusammengearbeitet. Die Organisation enstammt dem Centre for Investigative Journalism und möchte anderen Journalisten Trainings im sicheren Umgang mit dem Rechner und dem Netz bieten. Hierzu wurden eine Reihe von Videos veröffentlicht, andere Publikationen sind noch in der Pipeline.

Hier findet ihr beispielsweise eine kleine Einführung zu Tor:

Why journalists and whistleblowers need to understand infosecurity

TLS-Bingo -- Wer bietet mehr?

Ich hatte heute den verwegenen Plan und wollte die Webseite des sächsischen Landtages per HTTPS aufrufen. Der Browser stoppte mich und zeigte eine schöne Fehlermeldung:

Edas
Fehlermeldung zum Zertifikat von edas.landtag.sachsen.de

Also dem Zertifikat traut der Browser nicht. Außerdem fehlen dem weitere Bestandteile. Das Zertifikat ist eigentlich für eine andere Domain und schon längst abgelaufen.

Hier frage ich mich, ob jemand schon mal eine Liste von Zertifikatsfehlern gesehen hat, die länger ist, als die obige. :-)

tweetbackcheckcronjob