Vergangenes Wochenende gab es einen kleinen DatenGAU bei der LBB (Landesbank Berlin): “Bericht: Datenleck bei Kreditkarten-Dienstleister” (heise.de)

---

Im Forum von Heise fand ich, im Zusammenhang mit der LBB, einen Hinweis zu einer Radiosendung des SWR2: “SWR2 Forum – Hacker und Haecksen – Computerkultur zwischen Datenklau und Eigenbau” (swr2.de) (MP3 der Radiosendung)

Es diskutieren:
Günther Ennen, IT-Spezialist, Bundesamt für Sicherheit in der Informationstechnik, Bonn
Holm Friebe, IQ-Spezialist, Zentrale Intelligenz Agentur, Berlin
Tim Pritlove, IT-Spezialist, Chaos Computer Club, Berlin
Moderation: Burkhard Müller-Ullrich

Der Herr vom BSI (bsi.de) meint das er nicht an ein “Helfersyndrom” bei Hackern glaubt und er unterstellt jedem der sich nicht “professionell… seriös… standardisiert… als Diplom Informatiker” mit Sicherheitslücken beschäftigt eine unlautere, wenn nicht gar kriminelle Motivation. Er scheint mir sehr engstirnig zu sein. Er kennt offensichtlich das Internet und die User nicht wirklich. Was glaubt er warum es so funktioniert wie es funktioniert? Weil viele User anderen helfen – und dies uneigennützig und ohne das sie hierfür eine Bezahlung erwarten oder erhalten. Ich habe auch den Eindruck das er es gar nicht gut findet das nicht-Diplom-Informatiker in (wie er meint) seinem Revier wildern und diese Dienstleistung evtl. auch noch besser und zudem kostenlos anbieten.

Böswillige Hacker oder einfach, Kriminelle, halten sich nicht an Standards, mit Beamtendenke wird man diesen Leuten niemals das Handwerk legen können. Ich kann nur hoffen das beim BSI auch viele arbeiten die etwas freier im Denken und Handeln sind.

Leider wurde, obwohl auch ein Herr vom CCC in der Radiosendung sprach, nicht wirklich eindeutig genug differenziert, zwischen den verschiedenen Arten von Hackern – “White-, Grey- und Black-Hats” (de.wikipedia.org)
Laut dem BSI-Mensch ist diese Differenzierung nur eine Erfindung der Hacker, um von ihrem bösen Handeln abzulenken. Wenn er dann besser schlafen kann, meinetwegen, soll er es glauben. :O)

---

Nachdem ich auf Heise von der LBB gelesen hatte fiel mir wieder einer meiner XSS-Fälle ein (ist das nicht schön, ich habe meine eigenen Fälle <g>) bei dem ich jemanden in Berlin, eine Bank, zweimal auf eine XSS-Lücke hingewiesen habe. Während viele nach neuen, sicheren Anlagemöglichkeiten für ihr Geld suchen, ist eine Bankseite für BlackHat-Hacker natürlich eine lukrative Spielwiese um Opfer zu finden…

Nun gut, da keine Reaktion von der Bank kam dachte ich mir, wie wäre es mal mit dem Datenschutzbeauftragten des Landes Berlin, dem könnte ich eine Mail dazu senden, evtl. würde er sich der Sache annehmen…

Neben dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (bfdi.bund.de) gibt es auch noch 16 Landesbeauftragte (bfdi.bund.de), für jedes Bundesland einen.

Nachdem ich die erste XSS-Lücke gefunden hatte konnte ich es mir einfach nicht verkneifen auch noch die übrigen 15 Datenschützer-WebSites anzuschauen.
Ergebnis: 5 mal Volltreffer!

Wie es so meine Art ist, habe ich für alle Betroffenen ein kleines Demo gebastelt und sie angemailt. Dem Bundesdatenschützer habe ich ein eigenes Demo mit allen Beispielen erstellt und ebenfalls eine Mail verschickt.

Reaktionen zu meinen Mails:

für Ihren Hinweis bedanken wir uns.
Wir werden unseren Dienstleister umgehend auffordern, die Sicherheitslücke zu schließen.

(Hier wurde die Lücke geschlossen.)

vielen Dank für Ihren Hinweis zur vorhandenen Sicherheitslücke. Wir haben nun als Sofortmaßnahme die Suchfunktion entfernt und suchen zu gegebener Zeit nach einer entsprechenden Lösung für das Problem.

(Und hier wurde die Suche wirklich einfach entfernt.)

Und sonst? Nix! Keine weiteren Reaktionen.

Ich habe natürlich gesehen das die Jungs des Bundesdatenschützers auch meine Beispiele angeschaut haben. Es sieht so aus als ob sie meine Mail mit den Zugangsdaten zu meinen Demos dem BSI weitergeleitet haben.

Wenn alle beim BSI so denken wie der Herr Ennen… dann wird klar warum noch immer nichts gegen die übrigen XSS-Lücken unternommen wurde… Die BSI-Menschen grübeln wohl noch immer darüber nach, mit welcher Motivation ich die Datenschützer auf die Lücken hingewiesen habe. :O) Das ich einfach nur meinen Spaß daran habe anderen Menschen zu helfen, werden sie wohl nicht begreifen können.


Wofür ist das BSI gut?

Mit unserem Angebot wenden wir uns an die Nutzer und Hersteller von Informationstechnik. Das sind in erster Linie die öffentlichen Verwaltungen in Bund, Ländern und Kommunen – aber auch Unternehmen und Privatanwender. Als nationale Sicherheitsbehörde ist es unser Ziel, die IT-Sicherheit in Deutschland voran zu bringen – damit alle die Chancen der Informationsgesellschaft voll nutzen können.

Alleine an PDF-Dokumenten findet Google 1860 Stück vom BSI!
Viel Zeuch aber niemand scheint es zu lesen!!!

Man schaue sich mal beta.bund.de an… “Loch an Loch und hält doch.” Was denken die sich? “Wir schreiben BETA dran und dann scherts uns nicht ob da Sicherheitslücken drinstecken.”?

Der BSI-Mensch sagte das sie zu 80% präventiv arbeiten würden, schön! Das hilft aber kaum wenn 90% der Beamten aus Bund und Ländern sich den BSI-Output nicht reinziehen und immer wieder die gleichen Luschen mit der Erstellung von WebSites betrauen.

Wenn man sich die WebSites von Bund, Länder und Kommunen anschaut, da bekommt man den Eindruck… gefühlte 101% wurden von… Menschen… gebastelt die JavaScript nicht von Java unterscheiden können und von (annähernd) validem Code und grundlegenden Sicherheitsmaßnahmen noch nie etwas gehört haben. Die BSI mit BSE verwechseln… “Nö hatte ich noch nie, ich bin Vegetarier.”

Ignoranten! Ignoranten! Ignoranten!

Liebe BSIler, jetzt haut doch mal auf den Tisch, meldet euch zu Wort. Reibt den Luschen “Sicherheit von Webanwendungen – Maßnahmenkatalog und Best Practices” (PDF von bsi.de) unter die Nasen und zwar so lange bis die Nasen blutig sind.

Jeder Tag an dem der Otto-Normal-Surfer über manipulierte Links zu Landtags-, Landesdatenschutz-, Bundesbehörden-, etc.-WebSites mit dubiosen Finanzprodukten oder gar Schadsoftware versorgt werden kann ist ein schwarzer Tag für das E-Government (de.wikipedia.org) und fördert sicher nicht das Vertrauen der Bürger in neue Techniken.