Dez 07

Nach einem umfangreichen Formware-Update für die Easyboxen der Reihen 300, 400, 600 und 800 mit Produktionsdatum bis August 2011 glaubte man bei Vodafone, die Lücken im WLAN endgültig geschlossen zu haben. Entstanden waren diese, da der Hersteller die Standfardpasswörter und WPS-Pin mit einem patentierten Algorithmus aus der MAC-Adresse gewann. Da Patente öffentlich einsehbar sind, war zum Knacken nicht einmal Reverse-Engeneering erforderlich. Sogar das BSI warnte vor diesem Sicherheitsrisiko. Das „Knacken“ des WLAN Hunderttausender Vodafone-Kunden war mit den passenden Tools kinderleicht und in Sekundenbruchteilen möglich. weiterlesen »

geschrieben von Holger \\ tags: , , , , , , , ,

Feb 09

Das dürfte in Deutschland einmalig sein. Das Blog peerblog.de des SPD Kanzlerkandidaten Peer Steinbrück wurde nach anhaltenden Attacken eingestellt. Das von einer Agentur von Karl-Heinz Steinkühler für den Kanzlerkandiaten betriebene Blog war in die massive Kritik geraten, da das Blog angeblich im Auftrag und mit Hilfe eines sechsstelligen Eurobetrages von fünf Unternehmern gestartet wurde, deren Namen bis heute unbekannt ist. Selbst Peer Steinbrück gab an, die Geldgeber nicht zu kennen.

Die Finanzierung ist nicht nur das Thema einer Anfrage von CDU, Grünen und Linke an die Bundestagsverwaltung, sondern hatte auch in der Netzgemeinde für Protest gesorgt. Nach Angaben der Agentur habe eine Gruppe mit dem Namen „“T3AM M3DUSA“ die Agentur erpresst und auf Twitter gedroht, die Webseite so lange anzugreifen, bis die Namen der Geldgeber offengelegt sind.

Nun hat Herr Steinkühler nach angeblich massiven Angriffen aus einem Botnetz heraus die Notbremse gezogen und die Seite offline gestellt. 1:0 für die Hacker und ein klares Signal, das Geheimniskrämerei und Obscurity in der Politik und im Wahlkampf in Zeiten des Internet nicht mehr funktionieren. Ein klarer Sieg für die Demokratie, wenngleich auch mit kriminellen Mitteln erkämpft.

geschrieben von Holger \\ tags: , , , ,

Jul 22

Beinahe täglich erreichen uns Meldungen über neue Datendiebstähle. Letzter Höhepunkt war die Meldung des Datenklaus aus den Bildertauschbörsen des Lebensmittelhändlers REWE. Besonders prekär, weil zum einen ein Teil der Daten von den Hackern veröffentlicht wurde und zum anderen, weil es sich beiden Nutzern dieser Webseite größtenteils um Kinder gehandelt haben dürfte. Noch ärgerlicher ist, dass Rewe diese Sicherheitslücke gut eine Woche vor dem Diebstahl  zunächst per Mail, dann öffentlich gemeldet wurde.

Aber wie kommt es zu diesen vermehrten Sicherheitslecks? Sind immer mehr kriminelle Hacker mit aufwendigstem Equipment am Werk, die auch die kleinste Lücke finden? Eher nicht. In der Mehrzahl der bekannt gewordenen Fälle brauchten die Täter kaum mehr als einen Browser und die Sicherheitslücken, die sie ausnutzen, sind seit einem Jahrzehnt bekannte Fehlerquellen, die durch schlampige Programmierung immer wieder entstehen.

Ein Beispiel: Sie sind im Kundenbereich eines Webshops, also da, wo man die Adresse und evtl. das Passwort ändern kann. Sie sehen in der Adressezeile Ihres Browsers eine Zeile wie diese „http://www.shop.de/kundendaten.php&12345“ und sie erkennen, dass die Zahl 12345 Ihre Kundennummer ist. Jetzt werden Sie neugierig und ändern die Zeile, in dem Sie eine andere Kundennummer angeben. Die Shopssoftware müßte das abwehren bzw. Benutzername und Passwort dieses Kundenabfragen. Aber aufgrund fehlerhafter Programmierung geschieht das nicht, die Webseite zeigt Ihnen einfach die Kundendaten eines fremden Kunden an. Klingt unglaublich? Auf diese Art und Weise sollen der Citibank in den USA mehr als 200.000 Kundendatensätze mit Kredikartendaten gestohlen worden sein. [Artikel auf heise-online]

Die Mehrzahl aller Angriffe erfolgt über sogenannten SQL-Injections. Das kann theoretisch bei allen Webseiten funktionieren, die mit Datenbanken arbeiten. Das Grundprinzip ist auch hier einfach: Man schummelt dem System einen oder mehrere Datenbankbefehle unter. Die Möglichkeit hierzu besteht bei Dateneingaben oder auch über die URL, die Adresszeile im Browser. Ziel ist es meist, durch eine solche Attacke eine eigene Datei auf den fremden Server zu laden, mit deren Hilfe man dann Zugriff auf das System erhält. Wie das genau funktioniert, ist im Web hundertfach nachlesbar, teilweise in Kochbuchmanier mit genauen Anweisungen zum Nachmachen. Auf Links zu solchen Seiten verzichte ich aus nachvollziehbaren Gründen.

Solchen Angriffen kann man leicht einen Riegel vorschieben, in dem man Dateneingaben auf unzulässige Zeichenfolgen filtert. Ähnlich wird es auch mit der URL gemacht. Aber da die meisten Programmierer erst die gewünschten Funktionen programmieren und die Sicherheitsmaßnahmen erst nachrüsten, wenn der Rest funktioniert, bleibt die eine oder andere Lücke. Besonders gefährdet sind Webseitenbetreiber mit Software „von der Stange“, also Lösungen wie Joomla, Typo, WordPress oder ähnlichem. Zwar ist diese Software an sich sehr sicher und evtl. bestehende Lücken werden schnell geschlossen, aber das gilt nur die Grundsoftware und die ganze gängigen Plugins oder Addons. Viele andere Erweiterungen enthalten hin und wieder Fehler, die erst Monate nach Entdecken behoben werden. Oder unter Umständen gar nicht, weil der ursprüngliche Autor sich nun anderen Hobbies zugewandt hat. Glauben Sie nicht, dass solche Lücke nicht ausgenutzt werden können. In sogenannten Exploit-Datenbanken kann gezielt nach fehlerhaften Erweiterungen gesucht werden. Dank google ist das Auffinden von Webseiten, wo genau diese fehlerhafte Software genutzt wird, leichter als man denkt. Beim Bundesligisten Schalke 04 z.B. nutzen Unbekannte im Jahr 2009 gleich zweimal eine Sicherheitslücke des dort eingesetzten Contentmanagementsystems Typo aus, die jeweils nur einen Tag bekannt war.

Man hat den Eindruck, dass trotz solcher Vorfälle, die durch sämtliche Medien gingen, sich in vielen Firmen wenig getan hat. Die Liste der Firmen, denen allein in diesem Jahr Kundendaten abhanden kam, ist beängstigend lang und es sind viele bekannten und renomierte Firmen dabei. Noch erschreckender ist dabei, dass einigen Firmen nicht zum ersten Mal die Kundendaten gestohlen wurden, wie zum Beispiel dem Computerversender K&M, also einer IT-Firma, der man das Knowhow zum sicheren Betrieb von Servern durchaus zutraut.

Die wichtigste Grundregel gegen Datenklau ist die gleiche Regel, die man auch beim heimischen PC beherzigen sollte: Software immer auf dem neuesten Stand halten, Sicherheitsupdates SOFORT einspielen. Und bei selbstentwickeltem Code immer prüfen (oder prüfen lassen), ob die gängigen Hackmethoden abgefangen werden.

Solange diese bekannten Erkenntnisse aber ignoriert werden, dauert die „Ausbildung“ zum erfolgreichen Hacker nur einen Nachmittag und wir lesen weiter von jeder Menge Daten, die geklaut wurden.

geschrieben von Holger \\ tags: , , , , , , , , ,