Als wir vor einigen Jahren festgestellt hatten, dass das allgemeine Sicherheitsniveau von deutschen Trackern erschreckend schlecht ist und eigentlich jedes dahergelaufene Script-Kiddie fast überall reinkommt, haben wir unsere Security-Reviews ins Leben gerufen. Wir hatten dabei ein bisschen den "Schock-Therapie"-Ansatz im Sinn und hatten gehofft, dass sich das Thema Sicherheit in den Köpfen der Trackerbetreiber etabliert und mehr darauf geachtet wird.

Einige Betreiber haben das durchaus erkannt und wissen unsere Arbeit auch nach wie vor zu schätzen. Leider ist das eher die Minderheit. Die meisten Betreiber haben nach wie vor überhaupt keine Ahnung von Technik oder Sicherheit. Mehr als einen Tracker nach Anleitung zu installieren ist häufig nicht drin. Sobald irgendwas nicht mehr in der Anleitung steht, ist dann schnell Feierabend. Besonders problematisch ist dies, wenn bereits lückenbehaftete Tracker-Sourcen im Umlauf sind und eingesetzt werden.

Offensichtlich gibt es besonders im deutschen Raum den unschönen Trend, irgendwelche verbastelten Dorfmatratzen-Sourcen einzusetzen, die schon durch derart viele Hände gewandert sind, dass der Code von vorne bis hinten keinerlei Sinn ergibt. Wenn die eine Hand nicht mehr weiß was die andere tut und die 20 Hände die vorher dran waren das auch schon nicht wussten, wird es schwer, irgendwelche Sicherheitskonzepte durchzusetzen oder dafür Sorge zu tragen, dass sich keine Sicherheitslücken im Code befinden. Das ist Punkt eins.

Der zweite Punkt betrifft den zugrundeliegenden Server, auf dem die Trackersoftware betrieben wird. Bei fast jedem Review haben wir irgendwelche Fernwartungszugänge oder fehlerhaft konfigurierte Software gefunden. Manche "Coder" sind sogar so gerissen, dass sie sensible Daten einfach in irgendeinen Ordner legen und davon ausgehen, dass den niemand findet. Das Installieren, Konfigurieren und Warten von Servern ist sicherlich nicht so einfach und erfordert Zeit. Dies ist jedoch keine Entschuldigung für vermeidbare Anfängerfehler.

Durch die Reviews haben wir in den letzten Jahren sehr viel fehlerhafte Konfigurationen und wirklich billigste Sicherheitslücken gesehen. Vereinzeln gab es zwar auch positive Beispiele, doch kann man diese an einer Hand abzählen. Wir müssen ehrlich sein und können aus eigener Erfahrung durchaus behaupten: Die meisten Trackerbetreiber haben von Technik und Sicherheit absolut keine Ahnung.

Unsere Security-Reviews wurden in der Vergangenheit häufig kritisiert. Meistens allerdings von Mitgliedern oder Betreibern von Trackern, die sich mit irgendwelchen Sicherheitslücken blamiert hatten und ihrem Unmut hier dann Luft machen wollten (anstatt sich auf den eigenen Job zu konzentrieren). Etliche Betreiber haben sich aber auch gefreut und sehr eng und konstruktiv mit uns zusammengearbeitet. Häufig haben wir auch die gefundenen Lücken aufgezeigt und mitgeholfen diese zu schließen.

Die Kritik war zum Teil allerdings auch nicht ganz unberechtigt. Wir halten die Security-Reviews nach wie vor für sinnvoll, um für unwissende Benutzer ein "Daumen hoch" oder "Daumen runter" für den untersuchten Tracker aufzuzeigen. Unserer Ansicht nach ist das Thema inzwischen aber ausgelutscht und hat zum Teil auch nicht den Effekt gehabt wie ursprünglich erhofft. Einige Betreiber haben sich unsere aufgedeckten Schwachstellen zwar zu Herzen genommen und waren auch an den Ergebnissen sehr interessiert. Es hat sich jedoch auch eine Art Gegenbewegung gebildet, die sich lieber darauf konzentriert hat, von uns verwendete Accounts zu finden oder ungefragte Security-Reviews schnell herauszufiltern. Das ist einerseits zwar verständlich, andererseits aber auch ein Armutszeugnis. Wer seinen Tracker für sicher hält und seine Hausaufgaben gemacht hat, hat schließlich nichts zu befürchten.

Daher wird es nun Zeit, das Kapitel Security-Reviews zu schließen. Da wir nach wie vor Anfragen von Betreibern oder Benutzern zu neuen Security-Reviews erhalten, wollen wir diesen "Service" nicht einfach komplett einstellen. Wir haben uns lange Gedanken gemacht und auch angebrachte Kritiken reflektiert.
In diesem Kontext schlagen wir daher nun ein neues Kapitel auf: Zertifizierungen.

Was eine Zertifizierung ist, was man damit macht und wie das Ganze funktioniert, erfahrt ihr in der dazugehörigen Ankündigung.