Geheimes Informationsleck beim Emerald-Viewer

[Bartholomew Gallacher]

Emerald hat nach Spitfire Clary und anderen seinen nächsten, handfesten Skandal.

Darum geht's:

Emerald nutzt zur Kodierung seiner Bilder im JPEG2000-Format die aktuelle Version der Standardbibliothek Kakadu. In jeder der Texturen wird standardmässig von Seiten Seiten Second Lifes normalerweise gewisse Metadaten hinzugefügt. Diese sind natürlich unsichtbar, aber auslesbar.

Zwagoth Klaar hat nun bei früheren (!) Emeraldversionen unter Max OS X und Linux, Windows ist davon nicht betroffen, die diese Bibliothek nutzten (1635 und dergleichen), in die Metadaten der baked Textures für den Avatar das Arbeitsverzeichnis des Emerald-Viewers eingebaut.

Anders gesagt: wer die Metadaten des Avatars ausliest, der kann sich so das Arbeitsverzeichnis der betreffenden Emeraldnutzer anzeigen lassen. Hazim Gatov hat seinen Inertia-Viewer, der nicht TPV-konform ist, so programmiert, dass er diese Informaitionen im Radar auswerten kann und anzeigt.

Spitfire Clary mutmasst, dass nur das Onyx-Team über diese Art des Informations-Lecks wusste, nicht mal die Hauptentwickler hätten davon gewusst, und dass man beim Datamining der ModularSystems-Bots vor einem Monat darauf zugegriffen hätte. Im Extremfall könne man durch diese Daten Rückschlüsse auf andere Accounts oder die RL-Identität ziehen.

Weiterhin mutmasst Spitfire Clary, die von ihm benachrichtigten Emerald-Entwickler hätten sich schockiert gezeigt, und er vermutet, JCool wird das Feature in Emerald belassen, nur die Kodierung anders vornehmen. Als Sofortmaßnahme empfiehlt Spitfire Clary, entweder auf OpenJPEG als Bibliothek zurückzugreifen oder die Kakadu-Version, die Linden Lab ohnehin verteilt.

Eine genauere Erklärung auf Englisch findet sich noch in diesem Blog.

Interessant wird es aber später im Thread, als sich der Emeraldentwickler LordGregGreg zu Wort meldet - und den Sachverhalt bestätigt.

Es handele sich dabei um eine geheime Erweiterung des Codes, den er hätte nicht sehen können. Er habe mit den Leuten (Onyx ist wohl gemeint) gesprochen, und dieser Code sei ursprünglich hinzugefügt worden, um festzustellen, ob andere Viewer illegal die EmKDU-Bibliothek benutzen würden oder nicht, da Phox für diese Bibliothek hätte bezahlen müssen und er alleine dazu das Recht habe.

Er hätte da nichts tun können, die EmKDU-Linzenz war für einen Entwickler gedacht, nicht ihn, Phox habe die Bibliothek nun gefixt und der Pfad würde nicht weiter in den Metadaten veröffentlicht.

Er entschuldigt sich dann noch zu den Emeraldbenutzern unter Linux und Macintosh, deren Benutzernamen so geleakt worden wären, und wünschte, er hätte davon früher erfahren.

Wer sich nicht sicher sei, der solle Emerald einfach erneut von der eite von modularsystems.Second Life herunterladen. Die neuen Binaries seien davon nicht mehr betroffen.

[Silvan Tobias]

Naja, ich halte das eher für ein Skandälchen.

Worum gehts? In den Metadaten der Avatartextur steht ein Teil des Verzeichnisses, in dem Emerald gespeichert ist. Die Programmdatei, nicht die Einstellungen. Dort könnte dann möglicherweise der Name des Computernutzers stehen. Oder auch ganz ein anderer.

Betroffen ist nur Linux und möglicherweise Mac OS. Windows ist auf keinen Fall betroffen.

Dieser Fehler ist bereits gefixt und kann durch ein erneutes Herunterladen und Installieren behoben werden.

Meine Meinung:
-Um das zu einem handfesten Skandal aufzublasen braucht man eine ordentliche Pumpe.
-Emeraldbashing ist modern. Nur zu. Verwendet ruhig den 2.1
-wie? Windows ist nicht betroffen? Linux hat Lücken? Ich bin schockiert !!1!!!elf

[Bartholomew Gallacher]

Naja, ich halte das eher für ein Skandälchen.

Das war kein Fehler, sondern Absicht. Skandälchen ist daher stark untertrieben.

[Shirley Iuga]

Das seh ich auch nicht als kritisch. Alles, was man da als Hacker mit Cryptokenntnissen rausbekommen kann ist maximal der Username, unter dem man unter Linux angemeldet ist. Wenn überhaupt.

Und "wer die Metadaten des Avatars ausliest, der kann sich so das Arbeitsverzeichnis der betreffenden Emeraldnutzer anzeigen lassen" ist extrem missverständlich.

Man kann in der Textur lediglich sehen, dass die zur Kodierung verwendete library z.B. unter "/home/Flexy/Emerald/EmeraldViewer-i686-1.4.0.2270" gespeichert ist, weil unter Linux der Name des Dateipfades als String in Texturen aus der emkdu library enthalten ist. Oder unter "/usr/share/secondlife/Emerald-Viewer-i686-1.23.5.1636". Oder unter "/home/Flocke/secondlife/Emerald-Viewer-i686-1.23.5.1636". Also nur den Pfadnamen zur library.

Damit kann man unter Umständen möglicherweise Rückschlüsse auf den User ziehen und so eventuell Alts identifizieren. Aber nur, wenn der User den Viewer in sein Home Verzeichnis installiert hat und wenn man die Verschlüsselung knackt. Und wenn der User nicht mit einem default Account auf dem Rechner eingeloggt ist. Und wenn der User Linux verwendet.

Man kann sich aber weder den Inhalt dieses Verzeichnisses noch sonst irgendwelche Verzeichnisse auf dem PC anzeigen lassen und man kann auch nicht auf den PC zugreifen.

IMHO halte ich das Ganze für ziemlich unproblematisch und ein künstlich aufgeblasenes Skandälchen, da man wohl erst die Kleider Textur aus Second Life extrahieren musste und sie dann noch dekodieren und entschlüsseln musste, da diese Information nicht im Klartext sondern (allerdings nur schwach) verschlüsselt war, d.h. man musste eine (einfache) Verschlüsselung knacken. Diese Informationen (der Pfad zum Viewer bzw. der library) lagen jedenfalls nicht im Klartext vor.



Fazit:

In dieser aufgeblasenen Form vermutlich wieder der übliche Kleinkrieg Copybotersteller/Seller (also Hazim & Co.) gegen den Viewer, der u.a. manche Copybots entdecken und identifizieren kann, Emerald Viewer.


BTW:
<Satire>
SKANDAL:
In jeder Textur, die man hochlädt sind durch Linden Lab geheime Daten versteckt!!1Eins

Nicht nur DER GEHEIME SCHLÜSSEL eines Avatars (die sogenannte "UUID"), auch der Erstellungszeitpunkt und gar die Auflösung des originalen Bildes sind in kaum bekannten, UNSICHTBAREN BOTSCHAFTEN in jeder Texturdatei in Second Life gespeichert (in Hackerkreisen auch "meta data" genannt). Diese können von findigen Programmieren auch wieder ausgelesen werden. Dieser gut getarnte Link offenbart Details:Texture meta-data - Second Life Wiki.

Auf diese Weise ist es anderen Möglich sogenannte "Userprofile" in geheimen Datenbanken anzulegen und Protokolle zu erstellen wer - DER SCHLÜSSEL GIBT DARÜBER AUSKUNFT!- zu welcher Uhrzeit in Second Life online war -BIS AUF DIE SEKUNDE GENAU!. Alles was in Spion machen muss ist durch Second Life zu gehen und sich die Texturen anzusehen. Und mit einem simplen Script (siehe Link) hat er im nu alles, was er wissen will, in seiner Spionagedatenbank!
</satire>

[Phillie Rhode]

Und wieder eine Meldung über einen "Skandal" bei Emerald, der meiner Meinung nach keiner ist. Ich stimme Shirley absolut zu.
Ergänzend sehe ich es als eher "dubios" an, dass als Argumentation (wieder einmal) der Code von alten Versionen herangezogen wird. Der 1636 ist nun ja auch schon länger veröffentlicht und die Meldung über das vorliegende Update muss ich bewusst "übersehen".
Es ist niemand dazu gezwungen, den Emerald zu benutzen, warum wird immer wieder versucht, Zweifel und Misstrauen zu streuen?
Die Leute, die sich an solchen Sachen hochziehen, sollen ihre Energien lieber sinnvoller einsetzen, als überholten Programmcode zu zerpflücken.
Just my 50cc

Phillie

[Selina Hienrichs]

und irgendwie komisch viewer 2.1 erscheint und es giebt wieder einen "Skandal" um Emerald wer da nichts böses denkt

[Bartholomew Gallacher]

Fazit:

In dieser aufgeblasenen Form vermutlich wieder der übliche Kleinkrieg Copybotersteller/Seller (also Hazim & Co.) gegen den Viewer, der u.a. manche Copybots entdecken und identifizieren kann, Emerald Viewer.

Falsch. Deine Analyse der Sache trifft, das hat auch nie jemand hier anders bestritten. Nur wenn jemand zu solchem Zwecke, wie beschrieben, das in Emerald undokumentiert einbaut, was hätte den davon abgehalten, noch mehr einzubauen als das jetzt herausgekommene?

Bei den Emerald-Entwicklern hat der interne Code-Audit in Form eines Peer-Reviews damit dokumentiert versagt.

Es ist einfach das letzte Stückchen in einer Reihe von Klopsen, die sich Modular Systems geleistet hat. Wieso sollte man denen noch vertrauen? Ich tue es nicht mehr wirklich.

[Yistin Usher]

Man kann über diese Sache technisch sehr geteilter Meinung sein. Die angreifbaren Informationen sind gering, und mengenmäßig sind die Linuxuser bei den Spielern eine winzige Minderheit (leider!).

In einem Punkt muss ich allerdings Bart recht geben:
Wenn das im Codeaudit unbemerkt durchgeht, was geht dann noch durch?

Das Codeaudit hat hier rundweg versagt. Das lässt einige unschöne Möglichkeiten bedenklich weit offen.

[Shirley Iuga]

Der Codeaudit hat deswegen versagt, weil der Code der emkdu.dll nicht open source ist und weil wohl nur einer der Entwickler Zugang zu diesem Code hatte.

Und was die Exploits angeht:
Theoretisch möglich ist ist vieles. Man könnte theoretisch auch ein rootkit mitliefern oder derartiges. Und da ist dann nicht nur der Emerald betroffen, sondern jeder Viewer, auch der Viewer von LL:
Es reicht ein Mitarbeiter von LL oder Amzon (dem Dateihoster), der eine präparierte *.dll oder eine präparierte *.exe in die Downloads einschleust. Und die könnte dann z.B. dafür sorgen, dass die Daten, die man bei secondlife.com oder beim Einloggen mit dem Viewer eingibt einfach mitgelesen werden...

Aber da bisher keine ungewöhnlichen Netzwerkaktivitäten rund um den Emerald Viewer beobachtet wurden und auch im Netzwerktraffic bisher nichts aussergewöhnliches aufgetaucht ist und in der Emerald.exe bisher nichts aufgetaucht ist, sondern lediglich in den Metadaten der hochgeladenen Texturen der dateipfad der library gefunden wurde geh ich mal davon aus, dass der Viewer für mich als normaler User durchaus brauchbar ist.

Aber wer wirklich Sicherheit will, 100%tige womöglich, dem bleibt nichts, als a) einen Viewer komplett selbst zu entwickeln oder b) den ganzen Source Code von Emerald/LL/etc. nach versteckten Backdoors und derartigem zu durchsuchen, auf kompilierte Libraries usw. zu verzichten und komplett alles selbst zu kompilieren und zu bauen....

[Iron Core]

Fazit:

In dieser aufgeblasenen Form vermutlich wieder der übliche Kleinkrieg Copybotersteller/Seller (also Hazim & Co.) gegen den Viewer, der u.a. manche Copybots entdecken und identifizieren kann, Emerald Viewer.

Korrekt, die Kinder spielen wieder Krieg. Aber niemand ist gezwungen den Emerald zu nutzen, wer sich in die Hose macht soll es halt lassen. Diese ganze Panikmache nervt langsam, das erinnert mich an die Schlagzeilen einer großen, schlechten, deutschen Tageszeitung. Wenn ich da an die ganzen aktuellen Löcher und Lücken von Adobe bis Microsoft denke relativiert sich die Meldung über den Emerald zu NICHTS.

LG