[ Lexikon | kmspiel@2015-04-03 | erst einloggen | Forum ]

---

Area: kmsp » Kategorie: Blog

Vorab: die Hinweise von Nutzern haben sich am 1. April verdichtet, dass hier eingebrochen wurden. Und jetzt habe ich Gewissheit: es wurde tatsaechlich eingebrochen Namen, Mailadressen und Passwoerter wurden gestohlen. Fast wie nach einem richtigen Einbruch fuehle ich mich beschmutzt und besudelt, veraergert und ohnmaechtig, auch dass ich meine Gaeste nichts schuetzen konnte.

Ich habe jetzt viel in kmspiel-Logdateien gewuehlt, bin weit zurueck gegangen ... ich konnte viele, viele Einbruchsversuche finden, aber keine erfolgreichen. Gleichzeitig habe ich mir das auf drsl.de angesehen, wo ja die Rennberichte, Zeiten und Veranstaltungen liegen - da ist es bald aehnlich schlimm. Aber auch hier: kein Erfolg.

Dazu muss ich sagen: das kmspiel (und die Code-Basis dazu) stammt von 2004. Inzwischen ist das Haeuschen zu einer Burg ausgebaut worden, mit Zugbruecke und Wassergraben und allem - aus Sicht der heutigen Bedrohungslage wuerde man es aber gleich anders bauen: mit modernem Panzerglas, Alarmmeldern, Scharfschuetzen und Tretminen. Unsere kmspiel-Burg kriege ich nicht mehr zu einem Fort Knox renoviert - das muesste ich dann gleich neu bauen (was ich mir bei 80.000 Code-Zeilen die letzten Tage auch schon ueberlegt habe...)

Also: Einbruchsspuren konnte ich im Umfeld der Burg auch nach laengerer Recherche keine finden. ABER dann stiess ich auf laufen-in-wuppertal.de, auch ein altes Haeuschen von mir, Baujahr 2001. Hier habe ich nicht soviel nachgeruestet wie auf der kmspiel-Burg. Und hier wurde ich dann leider fuendig: ein Service dort zeigt Lauftermine aus der drsl-Datenbank an. Und tatsaechlich hat es jemand in der Nacht zum 22.3.2015 geschafft, hier einzudringen und einen durch einen alten Entwaesserungstunnel bis unter die kmspiel-Burg vorzudringen.
Am 21/Mar/2015 23:03:22 ging es los. Zuerst hat er was mit einer URL eines kroatischen Rockerclubs probiert (:o klingt wie ausgedacht, war aber echt so!), dann hat er gemerkt dass er die Luecke nutzen kann um einen Tunnel zur Burg zu graben (ich will jetzt hier nicht mehr technische Details zum Einbruch oeffentlich einstellen; das waere ein bisschen, wie eine Anleitung zum Bombenbau zu veroeffentlichen).
Um 22/Mar/2015 01:27:56 war er dann in der Burg, hat sich die Datenbank-Struktur / Grundrissplan angeschaut und versucht, sich zurecht zu finden.
Bis 03:50 sind gescheiterte Versuche aufgezeichnet, dann ist erstmal Ruhe.
Ab 06:11 geht es dann wieder los. Ob er sich eine Muetzte Schlaf geholt hat oder in der Zeit das Datenbankschema analysiert oder uebersetzt hat ... wer weiss. Wie gesagt: wir haben hier ja eine individuelle Loesung, was die Sache schwieriger macht als bei allseits bekannten Schemata wie Wordpress usw; andererseits: Feldnamen wie vnname, nname und mail versteht man wohl ueberall auf der Welt.
Im Laufe des Tages wurde jetzt die Luecke im Haeuschen genutzt und einzelne Datensaetze (immer nur einer! damit es wohl nicht auffaellt) durch den Tunnel aus der Burg getragen. Und zwar: zuerst aus der drsl-Bestenliste die Daten vname, nname und mail. Spaeter dann vname, nname, mail und passwort(!) aus der kmspiel-Datenbank.

Die gute Nachricht bei alle dem Schlechten ist: mehr war s nicht. Kein Geb-Datum, kein Ort oder sonst was. Und: es hatte niemand auf den Server direkt Zugriff, ssh, ftp, Backups o.ae. Ausserdem hatte ich schon vor einer Weile angefangen, in einem anderen Tabellenfeld das Passwort gesalzen und gehasht zu speichern. Leider war der Umzug auf das neue System zum Zeitpunkt des Einbruchs noch nicht ganz abgeschlossen. Heisst fuer die Zukunft: sollte so etwas nochmal passieren, kann keiner mit dem Passwort was anfangen.
Und: es sind "nur" die Mailadressen von "vorne" ausgelesen worden ... die im Profil weiter unten angegebene Mail "fuer Admins" nicht. Heisst, wer oeffentlich eine Einmal-Adresse angegeben hat und unten seine private Adresse, muss "nur" die Einmal-Adresse aendern und die alte abschalten.
Und ich vermute fast, dass dem Einbrecher gar nicht klar wo, zu welcher Seite die Daten gehoeren. Er kennt er ja das Haeuschen, durch dass er rein ist (laufen-in-wuppertal.de). Dass die geklauten Schluessel (Passwoerter) zu unserer Burg (kmspiel.de) gehoeren, kann er den Daten eigentlich nicht ansehen. Er wird sich also wahrscheinlich nicht mit eurem Passwort hier einloggen.
Wichtig allerdings: wenn ihr das gleiche Passwort auch auf anderen Seiten genutzt habt, auch unbedingt dort das Passwort aendern!

Damit so ein Einbruch nicht nochmal vorkommt, habe ich nicht nur die Schwachstelle im Haeuschen abgedichtet und geschlossen, sondern auch auf kmspiel.de, drsl.de und laufen-in-wuppertal.de Watchdogs implementiert, die auffaelliges Verhalten gleich melden und ggf. mit einer Error-Meldung abbrechen. Um im Bild zu bleiben: rund um die Burg und im Haeuschen stehen jetzt Wachhunde, die bellen und zur Not auch beissen.
Aber es ist immer noch eine Burg, kein modernes Hochsicherheitsgebaeude. Mir ist durchaus bewusst, dass das ein Dilemma ist: auf der einen Seite echte, persoenliche Daten einzufordern, damit sich die Mitspieler auch untereinander davon ueberzeugen koennen, dass der andere echt ist (und nur so kann das Spiel ja funktionieren); und auf der anderen Seite zur Sicherheit nur eine alte Burg auffahren zu koennen. Selbst, wenn die jetzt Wachhunde hat.

Ich kann das Geschehene leider nicht ungeschehen machen. Was passiert ist, ist passiert - es tut mir sehr leid.

Erste Massnahmen neben den Watchdogs sind ein paar Abschaltungen alter Services, auf laufen-in-wuppertal.de geht z.B. das Einloggen mit altem Passwort einfach nicht mehr. Die kmspiel-Passwoerter alter, nicht mehr aktiver Accounts habe ich alle geaendert und so unschaedlich gemacht. Neue bzw. geaenderte Passwoerter sind nun alle gesalzen und gehasht (kann man also nichts mehr mit anfangen).

Im Moment bin ich noch nicht sicher, wie es jetzt weitergeht. Ideen dazu sind gerade:
- Daten trennen und auf zwei Burgen verteilen...
- generell weniger Daten einfordern
- gar kein oeffentlicher Zugang mehr, nur fuer Mitspieler
- das kmspiel schliessen
- die Server-Logs fuer Mitspieler einsehbar machen

Im Moment haben die Wachhunde soweit alles im Blick - aber wer weiss, ob nicht eines Tages jemand auch die austrickst. 100%ige Sicherheit kann ich im Internet von heute einfach nicht garantieren. Ich werde aber wachsam bleiben. Neue Entwicklungen dazu wie immer an dieser Stelle.

(ich werde jetzt anfangen, eine kurze Info mit Hinweis auf diesen Text an alle 16.000 Accounts zu mailen, auch die alten. Kann ein paar Stunden oder Tage dauern... die Passwoerter von 11.600 alten Accounts wurden automatisiert geaendert und unschaedlich gemacht)