10. August 2018

Domainfactory Hack – „wir tun was wir können“

Die Älteren mögen sich erinnern: „Wir tun was wir können“ ist die Aussage einer völlig überforderten Mitarbeiterin der AOK im Stück „Auslandskrankenschein“ von Michael Mittermeier aus dem Programm „Zapped„. So erging es mir heute mit Domainfactory.

Domainfactory ließ eine Dame bei uns anrufen. Sie fragte wie es mir mit Domainfactory so ginge. Man hätte ja Herausforderungen gehabt. Ich habe sie darauf hingewiesen, dass ich mich in der Thematik etwas auskennen würde und es mir Leid tut, dass sie an mich geraten ist. Zusammenfassend was ich der Dame erzählt habe:

Liebe Domainfactory, der Anruf ist das erste Mal, dass ich als Kunde positive Kommunikation erlebe. Zwar weiter ohne Substanz, aber ein Bemühen die Kunden in den Fokus zu rücken ist erkennbar. Bisher gab es sehr wenig Informationen, welche Daten wie abgeflossen sind und ob ich betroffen war. Offenbar war da ein XML-Feed mit Kundendaten offen im Netz. Es kamen dann zwei E-Mails. Eine mit der Empfehlung, doch mal das Passwort zu ändern. Warum Ihr erst Wochen später die Kunden gezwungen habt, die Passwörter zu ändern bzw. alle Passwörter zurückgesetzt habt, entzieht sich meiner Kenntnis. Das wäre eine sinnvolle Standardsofortmaßnahme gewesen.

Der heilige Gral Eurer Gegenmaßnamen scheint für Euch der Einsatz von Cloudflare zu sein. Äh tschuldigung, aber wie bitte glaubt Ihr, dass eine Web Application Firewall einen Zugriff auf ein offenes XML-Feed verhindern würde? Das ist ein HTTP-GET auf eine vorhandene Schnittstelle. Nix Angriff. Und eine WAF als generischer Schutz? Ernsthaft? Baut Software ohne Schwachstellen und stellt Euch keine Kiste auf der „Security“ steht davor. Bugs wollt Ihr doch sicher im Code fixen. Resilienz und so. 2018 und so. Wissenschon. Dafür gibt es Methoden. Penetrationstests, Codeanalysen, Vorgaben für die Entwickler, vielleicht ein Workshop zu Webanwendungssicherheit, usw.

Ihr kennt doch die Simpons, oder? Homer Simpson wollte Bart mal erklären, wie man sich rasiert. Er rasiert sich. Danach reißt er lauter kleine Schnipsel vom Toilettenpapier ab und pappt sie auf die blutenden Stellen. Daran muss ich bei WAFs immer denken. Fällt halt auch mal runter so ein Schnipsel und rasieren kannst Du Dich halt nicht, wenn der Papierschnipsel Teil Deines Entwicklungsprozesses ist.

Und wieso glaubt Ihr, dass ich es toll finde, wenn meine Daten bei Cloudflare landen, sobald ich mich im Kundenmenü anmelde? Und genau das müssen sie, wenn Cloudflare im Datenstrom auf Applicationlayerebene nach Angriffssignaturen suchen soll.

Ihr hattet schonmal ein tolle Idee: Alle Server ab nach Frankreich. Ist billiger. Es gab offensichtlich einen großen Aufschrei bei Euren Kunden. Immerhin konnte man in Folge dessen weiter in Deutschland hosten. Und jetzt Cloudflare?

Zurück zur Hotline. Die arme Frau hat dann natürlich noch eine tolle Tarifoptimierung am Start gehabt. Mehr Performance, weniger Geld. Schön. Dass Eure SSL-Reverse-Proxies

  1. nicht nach Stand der Technik konfiguriert sind und
  2. beim Handshake immer wieder harte Delays haben,

hat sie angeblich als Ticket aufgenommen. Ich bin echt gespannt, ob da was passiert.

Leider hat die Dame immer wieder versucht den Einsatz von Cloudflare als tolle Maßnahme zu verkaufen. „Wir geben uns wirklich Mühe, das Beste zu tun“ ist das neue „Wir tun was wir können“. Wenn das also das Beste ist, was Ihr könnt, dann ist da viel, viel Luft nach oben.