Gefahren durch Hintertüren

Hintertüren, oft auch Backdoors genannt, kennt man eigentlich aus Filmen, bei denen Computer-Kriminalität eine zentrale Rolle spielt. Das aber Fiktion und Realität dicht beieinander liegen, zeigt ein jüngst wieder in die Diskussion geratenes Hintertürchen bei dem Web-Portal-System PHP-Nuke.

Im Oktober 2004 wurde dabei eine Hintertür in einer Reihe von Modulen gefunden, die von der sogenannten 4n-Community angeboten wurden. Nachdem Anwender von PHP-Nuke und dem Fork 2F CMS mehrfach über zerstörte Web-Sites berichteten, wurde in Zusammenarbeit mit Jens Ferner, Autor des Forks 2F CMS und des PHP-Nuke-Buchs, die Hintertür analysiert.

Der Autor der betroffenen Module, Lothar Dambowsky, reagierte verschnupft auf die Veröffentlichung der Hintertür und der damit ins Feld geworfenen Vorwürfe. Die Web-Site unter der Domain 4n-community.de verschwand für längere Zeit und es wurde ruhig.

Mit der Ruhe scheint es nun aber vorbei zu sein: Andi vom Entwickler-Team pragmaMx (einem anderen Fork von PHP-Nuke) wurde mit der Tatsache konfrontiert, dass die Module weiterhin im Umlauf sind, die Web-Site der sogenannten 4n-Community nun unter World Modules wieder im Netz ist.

Vor dem Problem, dass ein Modul schadhaften, ob bewusst oder unbewusst implementiert, Code enthalten kann, steht man auch als Anwender von Drupal. Im Gegensatz zu PHP-Nuke wird aber Sicherheit bei Drupal groß geschrieben. Das zeigt sich auch bei der implementierten Infrastruktur zum Drupal-Support, der Anwendern von Modulen eine gewisse, aber keine absolute Sicherheit gibt:

Entwickler wie Anwender sollten darauf achten, dass sie nur Erweiterungen verwenden, die im CVS unter drupal.org liegen. Die dort vorhandenen Module werden oftmals auch von anderen Entwickler betrachtet, so dass es schwer fallen dürfte, eine Hintertür zu implementieren. Diese zentrale Entwicklungsstruktur stärkt das Vertrauen zwischen Anwender und Entwickler. Sollte man unbedingt ein Modul von einer fremden Web-Site verwenden wollen oder müssen, so ist es dringend anzuraten, den Source von einem Fachmann überprüfen zu lassen. 

Links 

• phpnuke.de: Multi-Fotoalbum von 4n-community
• phpnuke.de: Vertrauter Feind - 4n-Module immer noch gefährlich
• NukeBoards: Multi-Fotoalbum von 4n-community

Quelle: drupal-security.de