Mit Windows HomeServer hat Microsoft ja mal den Versuch gestartet, im Privatbereich einen "Server" anzubieten – ist aber gescheitert und hat das Produkt eingestellt. Aber Nutzer eines HomeServer konnten eine Sub-Domain unter homeserver.com einrichten. Nutzer von Windows Home-Server, die das gemacht haben, sollten den Beitrag vielleicht mal lesen.
Anzeige
Es war nur eine kurze und kryptische E-Mail, die mir gestern von Blog-Leser Markus S. zuging – mein Dank an Markus für den Hinweis:
Hallo Günther,
vielleicht sollte Microsoft mal seine Kunden warnen . . . .
Gut, ich konnte ein wenig mit dem Hinweis anfangen, auch wenn ich keinen Windows HomeServer betreibe. Dröseln wir das Ganze daher mal etwas auf. Vorab: Die Domain homeserver.com ist nicht im Browser aufrufbar. Nach kurzen Recherchen war mir aber klar, dass die Domain zu Microsoft gehört und dass Benutzer eines von Microsoft mal angebotenen Windows HomeServer dort Subdomains nutzen können.
Und hier gibt es Hinweise, wie man eine HomeServer-Domain einrichten kann. Bei einer kurzen Google-Suche gewann ich den Eindruck, dass es immer wieder Ärger mit der Erreichbarkeit der Domain gab. Aber das ist eine Randnotiz. Schauen wir uns das Kernproblem an.
Anzeige
Drown kreist über homeserver.com-Sub-Domains
Drown ist ja eine Schwachstelle, die letzte Woche publik wurde und Server bedroht, die nicht aktuell sind. Ich hatte es Sonntag kurz im Blog-Beitrag Erste Opfer der Drown-Sicherheitslücke: Server4You-Kunden angerissen. Die Webseite drownattack.com enthält noch einige Hinweise. Die Überprüfung meiner eigenen Domains mittels ergab, dass diese "im grünen Bereich" liegen. Da haben die Provider wohl ihre Hausaufgaben gemacht.
Blog-Leser Markus, der einen Windows HomeServer betreibt, hat natürlich seine Domain ebenfalls überprüft und wies mich in seiner Mail darauf hin, den Test ebenfalls zu machen. Und dabei ist mir die Kinnlade herunter gefallen.
Sind einige Sub-Domains der Domäne homeserver.com doch per main-in-the-middle Attacken über Drown nicht nur angreifbar. Die Test-Site liefert auch sofort die zugehörige IP sowie die URL des Auftritts. Und noch schlimmer: Einige HomeServer-Kunden nutzen Zertifikate, die durch die eavesdropping-Lücke angreifbar sind, so dass die Schlüssel für SSLv2 gleich mit exportiert werden.
Wenn ich es richtig mitbekommen habe, verwenden die Betreiber der homeserver.com-Subdomains wohl eigene Zertifikate.
Immerhin – Google Chrome weist mich darauf hin, dass der Zugriff auf solche Sites unsicher sei und blockiert den Zugriff. Gleiches gilt für den Internet Explorer und für den Firefox.
Der Hinweis von Markus, dass Microsoft die Nutzer der Domain homeserver.com vielleicht warnen sollte, ist nicht von der Hand zu weisen. Aber der Fall zeigt exemplarisch die Falle, die Anbieter aufstellen, wenn sie Hinz und Kunz zum eigenen Webauftritt verhelfen wollen, ohne sich um die Sicherheit des Ganzen zu kümmern. Ein normaler Nutzer – und auch Benutzer eines HomeServer sind imho meist nicht in der Lage, die Folgen ihres Handelns über Jahre zu kontrollieren und ständig zu reagieren. Oder wie seht ihr das so?
Anzeige
Wenn man die Seite: https://test.drownattack.com/ mit homeserver.com durchlaufen lässt wird einem ja schwindelig (Gott sei dank ich sitz grade). Kann man im Homeserver nur SSL2-Zertifikate nutzen?
Jetzt muss man das aber mal etwas auseinandernehmen. Microsoft stellt da eine DNS Weiterleitung bereit, hinter der man alles mögliche selber betreiben kann. Dahinter muss nicht unbedingt ein Homeserver stecken. Was genau dahinter steckt, müsste man einzeln testen.
Hinter der Domain fiechter-net steckt z.B. eine Owncloud Installation mit einem selbst erstellten Zertifikat. Letzteres meckern die Browser an, weil es halt von keiner bekannten CA beglaubigt wurde. Das ist nicht per se unsicher, sondern reicht für den Normaluser vollkommen. Mache ich hier für meine heimischen Server auch so. Solange ich meinem eigenen Zertifikat vertraue, ist alles bestens.
Nur scheint diese Owncloud Installation nicht aktuell gewesen zu sein und war daher zum Zeitpunkt des Tests für Drown Angriffe offen.
Wenn dahinter dann, wie bei der bogdanov Domain ein Homeserver steckt, ist es sinnvoller, über Qualys mal genauer zu testen.
https://www.ssllabs.com/ssltest/analyze.html?d=bogdanov.homeserver.com
Und da bestätigt sich, dass der Server dort nicht gut gewartet ist. Vermutlich hat er ewig keine Updates gesehen und hat daher auch noch RC4 Cipher aktiv.
Der "Test" bei Drownattack ist übrigens kein wirklicher Test, sondern es wird in einer Datenbank geschaut, ob das System bei einem Scan im Februar verwundbar gewesen wäre.
Wer einen Server am Internet betreibt, ist ganz alleine selber für die Sicherheit zuständig! Es sollte m.E. auch bei einem Homeserver reichen, aktuelle Sicherheitsupdates einzuspielen. Das jetzt einfach auf den Hersteller bzw. den Bereitsteller des DynDNS zu schieben, ist m.E. der falsche Weg. Der kann nichts dafür, wenn die User keine Sicherheitsupdates einspielen und keine Ahnung haben.
Oder wird demnächst hier auf DynDNS, Selfhost und Co. geschimpft, wenn User unter deren Domains unsichere Systeme veröffentlichen?
Danke für die Ergänzung.