BITTE LESEN - Wichtige Informationen für alle User der ftc

[Masked]

Hallo liebe ftc-User,

gestern erfuhren wir davon, dass E-Mail-Adressen, die in den Bilderpool-Benutzerkonten der ft Community gespeichert waren, in einschlägigen Kreisen im Internet zum Kauf angeboten wurden. Nachforschungen ergaben, dass offenbar im November 2017 ein Angriff auf den ftc-Server erfolgte und dabei die Bilderpool-Datenbank von einem Angreifer heruntergeladen wurde. Die Datenbank des Forums ist laut aktuellem Informationsstand nicht betroffen.

Was bedeutet das?
- Es wurde eine Kopie der ftc-Datenbank (d.h. Bilderpool) angelegt, deren Informationen möglicherweise im Internet gehandelt werden. Dabei wurden alle vorhandenen Daten kopiert: Mailadresse, Nickname, verschlüsseltes Passwort, Ort (soweit ausgefüllt) usw.
- Die Passwörter werden zwar mit einem sogenannten Hash in der Datenbank gespeichert, dieser ist aber wie die ganze Seite schon etwas in die Jahre gekommen und deshalb nicht mehr als wirklich sicher zu bezeichnen.
- Das Forum ist nach aktuellem Kenntnisstand nicht betroffen.

Was tun wir jetzt?
- Der Bilderpool (inklusive Downloads, Links, usw.) wird bis zum kommenden Wochenende in einen “Read-Only”-Betrieb geschaltet. Das bedeutet, dass wir eine statische Kopie der Webseite anlegen, in der nur die absolut notwendigen Informationen enthalten sein werden.
- Es ist dann nur noch ein lesender Zugriff möglich, KEINE neuen Uploads, Kommentare, usw.
- Die Bilderpool-Software und die zugehörige Datenbank werden vollständig vom Server entfernt, um eine Wiederholung eines solchen Angriffs zu verhindern.
- Alle Benutzer werden von uns auch per E-Mail informiert.

Was müsst ihr tun?
- Euer Passwort im ftc-Forum ändern, falls es identisch sein sollte.
- Falls ihr auf anderen Webseiten ebenfalls dieses Passwort verwendet haben solltet, ändert es bitte auch dort.
- Auf keinen Fall auf E-Mails reagieren, die behaupten, sie hätten euren Account gehackt und dabei evtl. sogar euer Passwort mit angeben. Das ist nicht der Fall und ein Erpressungsversuch.

Wir benötigen jetzt dringend eure Hilfe. Das Front- und Backend der Webseite (Alles, was auf der Datenbank aufbaut) muss komplett neu erstellt, programmiert und gestaltet werden. Dazu brauchen wir Leute mit Erfahrung auf Linux, Security, im Webdesign und dem Serverbetrieb. Die aktuellen Admins und auch der geschäftsführende Vorstand können diese Aufgabe nicht alleine wahrnehmen. Das heißt im Klartext: Findet sich niemand, könnte der Bilderpool eventuell dauerhaft entfallen.

Selbstverständlich halten wir Euch bei neuen Erkenntnissen auf dem aktuellen Informationsstand, beispielsweise im ftc-Forum.

Vielen Dank für euer Verständnis,
der Vorstand des ftc Modellbau e.V.

Christian Pütter, Dirk Wölffel, Martin Westphal, Ralf Geerken und Stefan Falk

[Defiant]

Seit dem 2.10.2018 bekomme ich Spam E-Mails die mein Passwort beinhalten auf die bei der ftc registrierte E-Mail Adresse. Je nach Spammer ist das Passwort in der E-Mail im Klartext oder mit MD5-Hash.
-
Sollte jemand Lust auf eine ftc mit Ruby on Rails haben wär ich nicht ganz abgeneigt.

[The Rob]

Wann kommen denn die separaten Mails von euch?
Wenn ich nichts bekommen habe, bin ich dann nicht betroffen?

[steffalk]

Tach auch!

@Rob: Doch. Geh bitte auf jeden Fall davon aus, dass Du betroffen bist, auch wenn Du noch keine Mail bekommen oder die vielleicht von einem Spamfilter abgelehnt wurde. Das Nichteintreffen einer Spam-Mail ist kein Indiz dafür, dass jemand aus dem Datenbankauszug nicht betroffen ist. Bitte ändere auf jeden Fall etwaige gleiche Kennwörter auf anderen Websites umgehend, wie in Martins Posting beschrieben.

Gruß,
Stefan

[The Rob]

Kann sein, dass ich mich erst dieses Jahr für den Bilderpool angemeldet habe, darauf zielte die Frage.
Muss erst am PC zu Hause schauen, wann das war.

[steffalk]

Tach auch!

@Rob: Wir wissen, dass ein Datenbankabzug gemacht wurde. Da die Sicherheitslücke noch besteht, kann es also gut sein, dass auch später noch Abzüge gemacht wurden, auch wenn wir das nicht wissen.

Bitte geh kein Risiko ein. Falls Du das Bilderpool-Kennwort irgendwo anders verwendet hast, ändere das bitte umgehend (!) und verwende verschiedene Kennwörter je Dienst und Website.

Gruß,
Stefan

[The Rob]

verschiedene Kennwörter je Dienst und Website

Grundsatz der Internetsicherheit.

[H.A.R.R.Y.]

verschiedene Kennwörter je Dienst und Website

Grundsatz der Internetsicherheit.

Sollt man als allgemein bekannt voraussetzen. Mir hat letzthin bei einer solchen Diskussion jemand Alufolie angeboten: Zum Hut basteln. Kein weiterer Kommentar.

Na jedenfalls habe ich eine derartige Einladung es selbst mal zu versuchen hier nicht erwartet!
von steffalk » 13 Nov 2018, 20:57 @ rob
(Extra nicht gequotet für den Fall das es noch editiert wird)

Gruß
H.A.R.R.Y.

[reus]

Das Front- und Backend der Webseite (Alles, was auf der Datenbank aufbaut) muss komplett neu erstellt, programmiert und gestaltet werden.

Wäre es nicht besser, eine existierende Software zu benutzen? Ich hab gerade mal ein bisschen rumgesucht und zum Beispiel piwigo gefunden:
https://piwigo.org/
Mit piwigo kann man auf seinem eigenen Server Fotogalerien mit Alben und Kommentarfunktion betreiben.
Es gibt auch ein plugin für den üblichen Community-Kram (Moderierung von Einsendungen etc.):
http://piwigo.org/ext/extension_view.php?eid=303

[sven]

Hallo!

@reus:
Genau so einen Weg würde ich gehen bei so einer Webseite.
Selber programmieren endet nämlich da wo die ft:c heute ist.

Die ft:c basiert auf dem Galeriesystem 4Images, was es immer noch gibt und weiter entwickelt wird:
https://www.4homepages.de

Damals haben MarMac und ich das Ding aber stark angepasst.
Für die damalige Zeit war das super und wir hatten im Prinzip keine andere Wahl als das System für unsere Zwecke anzupassen.
Nur genau das ist der ft:c zum Verhängnis geworden. Denn sobald man selber irgendwo, irgendwie und irgendwann was anpasst und umstrikt,
kann man Updates nicht mehr installieren.

Heute würde ich zu eine guten CMS greifen wie z.B. Joomla. Dazu Joomgallery und in ein paar Tagen steht eine neue ft:c.
piwigo habe ich mir angesehen. Macht einen sehr guten Eindruck auf mich, aber das ist wohl wie 4images ein reines Galeriesystem.
Für die ft:c wird wohl ein gutes CMS sinnvoll sein, um Forum, Blderpool und Seitenpflege unter einen Hut zu bekommen,
eben so das der User mit einem Login Bilderpool, Forum, ... nutzen kann.

Das ganze würde ich dann auf einem guten Webspacepaket laufen lassen, so das die Seite nicht von einem Linuxadmin abhängt.
Es sollte jeder vom Verein Seiten pflegen können und auch mal ne eMail, etc. anlegen können.

Das wäre der Weg, den ich heute gehen würde, wenn ich noch mal eine ft:c bauen würde.
Heute ist das echt sehr viel leichter und mit einem guten CMS hat man auch Sicherheit, weil Bugs schnell mit Updates behoben werden.
Man kann sich dann voll auf die eigentliche Arbeit, die Seitenpflege, etc. konzentrieren.

Gruß
sven

[Masked]

Nabend,

seit gestern Vormittag ist die Bilderpool-Seite jetzt im statischen Zustand. Einloggen und damit alle verbundenen Funktionen (Upload, Kommentare, ...) funktionieren nicht mehr.

Wie es weitergeht ist gerade noch in Klärung. Aber ja, ich würde auch davon ausgehen, ein fertiges CMS zu verwenden und nur Designmäßig anzupassen, damit Updates möglich sind.

Grüße,
Martin

[rhglomb]

Irgendwie komisch.

Wieso habe ich das Gefühl, dass ich an der genzen Misere selber schuld bin: So dass ich jetzt täglich Spam bekomme an meine ft-email Adresse. Erpressungsversuche, mit meinem Passwort im Klartext, etc.

Denn ich habe offensichtlich einem Forum vertraut, dass meine Daten sicher sind.
Ziemlich blöd, da man doch weiss, dass man in Foren nur anonyme Gmail oder Web.de Email-Adressen verwendet.
Und zwar in jedem Forum auch noch eine andere Email Adresse und/oder Usernamen und natürlich jedesmal ein anderes Passwort.

Also, bin ich alles selber Schuld. Muss ja so sein , denn eine Entschuldigung habe ich bisher kein mal von irgendjemandem vernommen.

Rhglomb

[steffalk]

Hallo Ralf - und alle anderen,

da hast Du natürlich völlig recht, das haben wir in dem Trubel ganz versäumt. Erste Bitte um Entschuldigung also: Dafür. Dass wir das nicht gleich gemacht haben.

Und nun richtig: Wir bitten die Community und insbesondere natürlich alle tatsächlich Betroffenen um Entschuldigung! Dafür, dass der Hack möglich war und natürlich für all die Unannehmlichkeiten, die wir Euch damit bereitet haben. Es ist uns sehr unangenehm, dass das passiert ist, und wir werden unsere internen Prozesse ändern, um das in Zukunft soweit irgend möglich zu vermeiden.

Grüße an alle, stellvertretend für den gesamten Vorstand,
Stefan

[ThomasW]

Wieso habe ich das Gefühl, dass ich an der ganzen Misere selber schuld bin...

Muss denn in dieser Sache überhaupt ein "Schuldiger" identifiziert werden?

[juh]

Hallo,

ich bin nicht betroffen, finde es aber im Sinne der Psychohygiene wichtig, dass Verantwortung übernommen wird (wie steffalk es stellvertredend tut), selbst wenn keine persönliche Schuld oder Nachlässigkeit vorliegt. Grundsätzlich kann ich im Ehrenamt aber nicht Standards einfordern wie im geschäftlichen Bereich, sonst würde da bald überhaupt nichts mehr passieren.

Zur von Sven aufgeworfenen Frage der Software: Ich finde dass es im Freiwilligenbereich letztlich darauf ankommt, dass es für die passt, die bereit sind, die Arbeit zu machen. Persönlich würde ich aber auch auf eine existierende CMS-Lösung zurückgreifen, da zu viel Adaptionen oder Handgestricktes ohne zuverlässig planbare Supportstrukturen nicht dauerhaft tragfähig sind.

Was ich aber eigentlich fragen wollte: Wäre es nicht auch ein guter Zeitpunkt, das Konzept der Seite an sich noch einmal grundsätzlich zu überdenken?

Ich denke da vor allem an die Doppelstrukturen bei Forum und Bilderpool, die letztlich beide die gleiche Funktionalität (in unterschiedlicher Qualität) bieten: Forum zur Diskussion mit Bilderuploadmöglichkeit, Bilderpool zum Bilderupload mit Diskussionsmöglichkeit. Die Doppelstruktur führt dazu, dass im Bilderpool Konversationen regelmäßig versanden, z.B. findet man hier sehr oft unbeantwortete Fragen, ich vermute wg. fehlender Notizfunktion bzgl. neuer Beiträge. Und im Forum hat man viele extern eingebundene Bilder (vermutlich weil es viel einfacher ist als das mühselige Hochladen und keinen willkürlichen Limits unterliegt), die inzwischen aber tot sind, weil sie eben extern gehostet sind/waren.

Ich fände es sinnvoll zu überlegen, was - neben der Tradition - beide Bereiche wirklich konzeptionell unterscheidet, wo doch die Funktionalität zu 90% die gleiche ist. Persönlich würde ich nach einer technischen Lösung suchen, die beides aus einer Hand bedient und, wenn man wirklich eine klare konzeptionelle Trennlinie ziehen kann (die für mich derzeit nicht erkennbar ist), das durch getrennte Bereiche innerhalb dieser Lösung umsetzen.

In jedem Fall fände ich es gut, den Upload technisch auf heutige Standards (drag & drop, serverseitige Größenanpassung und Generierung von Voransichten) zu bringen und die Limits bzgl. der Größe oder Anzahl von Uploads aufzuheben oder deutlich auszuweiten.

Nur meine 2 cents, vielen Dank in jedem Fall an alle, die sich hier engagieren.

lg
Jan

[Rudi]

Lieber Rhglomb (wie spricht man das eigentlich aus?), lieber Stefan,
die Sache ist ganz einfach:
Da ist ein Verbrecher (jawohl!), der meine Fensterscheibe einschmeißt und das großartige Modell von Rhglomb (hattest du mir ausgeliehen) klaut.
Genau das gleiche tut ein Hacker, ist also ein Dieb der auch noch großen Schaden anrichtet. Kann man das zur Anzeige bringen? Zweck hat das sicher genauso wenig wie bei einem geklauten Fahrrad.
Wenn jemand Schuld hat, dann die Politik, aber die ist schon mit den herkömmlichen Einbrüchen hoffnungslos überfordert.
Dass ich ehrenamtlich mein Haus zu einer Festung ausbaue oder ftc mit ehrenamtlichem Einsatz entsprechendes im Internet leistet, kann niemand verlangen.
Ich finde es sehr ehrenwert von dir, Stefan, dass du dich im Namen von ftc entschuldigst!
Ich mache dir und allen Engagierten im Hintergrund nicht den geringsten Vorwurf, ich bin nur sehr traurig.
Euer Rudi

PS an ftc: Braucht ihr finanzielle Hilfe? Mehr kann ich leider nicht anbieten.

[PHabermehl]

Hallo zusammen,

ich wollte an der Stelle nur mal sagen, dass ich von niemandem eine Entschuldigung erwarte!

Selbst Großkonzerne sind nicht in der Lage, ihre Daten vernünftig zu schützen, das ist kein Geheimnis. Und daraus muss jeder für sich selbst die Konsequenzen ziehen und nicht erwarten, dass andere schon dafür sorgen, dass nichts passiert.

Ansonsten würde ich ebenfalls die Idee unterstützen, Forum und Bilderpool zusammenzuführen. Ein Account, ein Login, ein Diskussionsboard.
Wobei es natürlich wünschenswert wäre, alle alten Informationen zu erhalten...

Und mir ist auch bewußt, dass hier ehrenamtlich extrem viel geleistet wird, von daher halte ich mal die Bälle flach, wenn es um tolle Ideen bzw. Forderungen geht.

Also, DANKE an die AKTIVEN, weitermachen, irgendwie!

Gruß
Peter

[geometer]

Hallo zusammen,

innerhalb einer Hobby-Gemeinschaft erwarte ich persönlich nicht, dass andere 100%-ige Sicherheit garantieren. Ich hielt das Risiko bei der Anmeldung für vertretbar, da ich die von mir gespeicherten Informationen (E-Mail-Adresse, Wohnort, URL der Homepage, Passwort) nicht als vertraulich ansehe. Meine E-Mail-Adresse steht ja auch unter meinen im Netz frei verfügbaren Artikeln.

Dass mit den E-Mail-Adressen gehandelt wird, ist natürlich ärgerlich.

Um die Diskussion ein bisschen konstruktiver zu machen, würde mich interessieren, wie man damit am besten umgeht.

- Kann man die Quellen der Spam identifizieren und abmahnen?
- Was bringt es, wenn man seinen E-Mail-Account temporär löscht und die Spams für eine Zeit ins Leere laufen lässt?
- Falls das etwas bringt, wie lange sollte man warten, bis man die alte Adresse reaktiviert?

Falls jemand auf solche (oder besser gestellte!) Fragen eine Antwort hat, wäre das sicher für viele hilfreich.

Vielleicht könnten wir uns auch einmal austauschen, wie groß der Anteil an Werbemails ist, die durch den Hack auf uns zugekommen ist. Bei mir waren es vorher nur ca. zwei pro Tag (obwohl meine Adresse an vielen Stellen im Netz verfügbar ist). Nach dem Hack stieg es an auf ca. 25 pro Tag.

Viele Grüße

Thomas

[H.A.R.R.Y.]

Hallo zusammen,

@ steffalk:
Vielen Dank für Deine Entschuldigung im Namen des ftc-Vorstands. Auch ich habe das Gefühl es wäre nicht unbedingt nötig gewesen, aber es gibt halt auch Leute die das, aus ihren eigenen Beweggründen heraus, anders sehen. Wie auch immer macht es jedenfalls einen guten Eindruck. Und was die Großen können, können wir schon lange.

@ rhglomb:
Nun ja, die diversen Hacks und Datenlecks der Vergangeheit bei diversen erheblich populäreren sozialen Netzwerken sollten doch selbst auch bei Dir angekommen sein, oder? Von daher darf ich doch wenigstens erwarten, dass Dir klar ist wie es um die Datensicherheit im Internet bestellt ist. Und selbst bei maximaler Anstrengung gibt es immer irgendwo eine Lücke über die ein gewiefter Hacker irgendwelchen Schaden anrichten oder illegal Daten kopieren kann. Derart Harsch nach einer Entschuldigung zu verlangen, mag eventuell bei einen kommerziell oritentierten Mark Zuckerberg angebracht sein, ist hier in der ftc jedoch fehl am Platze. Und um das mal zu relativieren: Jeder hier, der hier seine Daten abgelegt hat, hat das freiwillig getan, auch Du. Gerade bei der ftc reicht ein Nickname und eine eMail-Adresse zur Bestätigung der Anmeldung - der Rest ist optional. Ich kenne da Seiten wo erheblich mehr Angaben erforderlich sind um einen Account zu bekommen und obendrein wird man noch ausspioniert, analysiert und im Internet zum Verkauf angeboten. Schau Dir doch mal all die beliebten Dienste da draussen an: Fratzebuch, RotzApp, ... Und dann überleg mal, wieso diese Unternehmen ihre Dienste an die Nutzer "verschenken" und woher der Gewinn des Unternehmens kommt. Das es hier auf der nichtkommerziellen ftc-Seite, die im Vergleich eher sehr klein und sehr unbedeutend ist, zu derartigem Datenklau gekommen ist, zeigt doch eher den beschränkten Horizont des Hackers. Technisch vielleicht ein Nerd, aber mehr auch nicht. Was denkt der wohl wie doof wir hier sind und wieviel Patte er hier abgreifen kann? Also fühlen wir uns geadelt, dass die ftc-Seite nun in den illustren Kreis der großen und relevanten Ziele aufgerückt ist. Nur leider zeigt es uns auch wie dringend eine Erneuerung der Seite fällig ist.

Und nun noch zur Frage von geometer:
Bei mir ist es kein signifikanter Unterschied in der Anzahl der SPAMs. Zwischen Null und 4 am Tag. Gelegentlich kommen neue Absendedomains dazu, aber das ist immer schnell kuriert.

- Kann man die Quellen der Spam identifizieren und abmahnen?
- Was bringt es, wenn man seinen E-Mail-Account temporär löscht und die Spams für eine Zeit ins Leere laufen lässt?
- Falls das etwas bringt, wie lange sollte man warten, bis man die alte Adresse reaktiviert?

- Der Aufwand mit den SPAM-Quellen steht in keinem Verhältnis zum Nutzen. Vermutlich steht das Ding im Ausland und wird demnächst wegen anderer illegalen Aktivitäten von erheblich mächtigerer Seite abgeschaltet. Stell ein eMail-Filter ein und schick den Traffic von der ganzen Domain xxx.yy in die Mülltonne. Bei Bedarf kann man ja eine Ausnahme für gute Freunde einbauen die zufälligerweise legal diese Domain nutzen. Die eMail-Adressen der Absender sind eh gefälscht und nutzlos. Das ist jedenfalls billiger als da auch noch mindestens einen Anwalt zu entlohnen.
- Nix. Kratzt die SPAMmer auch nicht die Bohne. Ich empfehle (und nutze) zwei Accounts - mit unterschiedlichem Passwort (man weiß ja nie). Einer für die sozialen Netzwerke und so Zeug, den anderen kennt (fast) keiner.
- Gar nicht mehr. Hat dann eh schon jemand anderes. Oder benutzt Du Deine eigene Domäne? Dann könntest Du eventuell einen Hack in Deinen eMail-Server einbauen, der einem unbekannten Absender einen echten "eMail-Adresse gibt's nicht" zurückschickt. Du kannst sie trotzdem lesen und entscheiden was Du machst.

Grüße
H.A.R.R.Y.

[Dirk Fox]

Schutz vor Spam:

- Spam-Filter (z.B. die der Provider) funktionieren zwar nach wie vor, aber schon lange nicht mehr zu 100%, da einige Spammer immer "besser" werden und bei zu harten Kriterien zu viele reguläre E-Mails im Filter hängen bleiben.

- Recht gut arbeitet noch NiX-Spam, ein Filter-Konzept der iX, das Spam-Erkenntnisse zwischen Servern "austauscht" und sehr intelligent analysiert; muss auf dem Mailserver eingerichtet werden (hilft also nur, wenn der Provider es nutzt).

- Einzige alternative wirksame Maßnahme: Greylisting. Dabei werden eingehende E-Mails zunächst abgewiesen ("Server busy" oder temporäre Fehlermeldung) und beim erneuten Senden (worauf Spammer praktisch immer verzichten) wird der Absender für eine begrenzte Zeit in eine White List eingetragen. Nach wie vor sehr wirkungsvoll, muss aber auch der Provider einrichten.

- Temporäres Löschen des E-Mail-Accounts hilft gar nichts, endgültiges allerdings schon...

Beste Grüße,
Dirk