Daily Archives: 22. Mai 2009

IT-(un)Sicherheitsdienstleister

Eröffnung des 11. Deutschen IT-Sicherheitskongresses” (bsi.de)

Das BSI bietet mit dem IT-Sicherheitskongress Anwendern aus Wirtschaft, Wissenschaft und Verwaltung sowie Herstellern, Entwicklern und Dienstleistern ein Forum zum Meinungsaustausch über Stand und Perspektiven der IT-Sicherheit. Im Fokus des diesjährigen Kongresses stehen Themen wie der Elektronische Reisepass, Mobile Sicherheit und Cyber-Kriminalität.

Hier sind die Aussteller des Kongresses aufgelistet: ““Sichere Wege in der vernetzten Welt” 11. Deutscher IT-Sicherheitskongress vom 12.-14. Mai 2009 in Bonn” (bsi.de)

Zum ” Stand (…) der IT-Sicherheit” auf den Websites der 26 Austeller kann ich sagen…

D E S A S T R Ö S

Nach nur jeweils wenigen Sekunden, fand ich auf 10 von 26 Websites Lücken und es ist zu befürchten, das ich in einem großen Teil der restlichen Websites auch Lücken finden würde, wenn ich mir mehr Zeit nehmen würde. Zum Teil waren auch alte Bekannte mit Lücken dabei, Dienstleister denen ich bereits vor Monaten mitgeteilt hatte, wo sie Löcher stopfen sollten. Weder damals noch heute hat auch nur ein Dienstleister auf meine Hinweise mit einer E-Mail reagiert. Manche Dienstleister sind aber zumindest einsichtig und stopfen die Löcher, aber leider nicht alle.

Wenn ich in Websites von Bund und Länder auf Sicherheitslücken stoße, so sind häufig die gleichen Dienstleister beteiligt. Da werden dann, natürlich auch in ganz frischen Websites, auch wieder die Content Management Systeme verwendet, deren Entwickler ich bereits vor Monaten auf Lücken hingewiesen habe. Auch die CMS-Entwickler antworten nicht auf E-Mails und, was noch viel schlimmer ist, sie stopfen die Löcher nicht.

Woher ich weiß das die angeschriebenen meine E-Mail erhalten haben? Wenn ich eine E-Mail mit Hinweisen zu Lücken versende, dann ist darin immer ein Link zu einem Beispiel enthalten und dieser Proof of Concept ist bei mir gehostet.

Wie will ein IT-Sicherheitsdienstleister seine Kunden beraten, wenn er selber kaum die verschiedenen Angriffsvektoren kennt und die grundlegendsten Sicherheitsmaßnahmen missachtet und Hinweise auf Sicherheitslücken ignoriert?


Vor ein paar Tagen antwortete mir jemand, nach meinem Hinweis zu Lücken in seiner Website:

Ich glaube eher, dass es einem Großteil der heutigen (selbsternannten) PHP-Programmierer an den grundlegendsten Kenntnissen fehlt.
(…)
PHP macht es wohl zu vielen Leuten zu einfach, Programme zu schreiben. ;-)

Meine Untersuchungen führe ich primär nicht auf irgendwelchen privaten oder halbkommerziellen Websites durch, sondern auf Seiten von sehr bekannten Unternehmen und eben, wie schon erwähnt, auf Websites von Bund und Ländern oder der EU. (Mit “halbkommerziell” meine ich Unternehmen die zu klein sind, um eine eigene IT-Abteilung zu beschäftigen.)

Bei den untersuchten Websites kommt natürlich auch PHP zum Einsatz, aber auch Java oder ASP. Die Verteilung der gefundenen Fehler ist relativ gleichmäßig auf die verwendeten Scriptsprachen verteilt. Was aber signifikant erhöht ist und immer mehr wird, ist das Vorkommen von sehr dummen und sehr leicht auszunutzenden Lücken.


Hier hat noch jemand das eigentliche Problem erkannt: “Von Hackern, Crackern, Entwicklern, Sicherheit und all dem Zeug” (phphacker.net)

Der eigentliche gefährliche Knackpunkt ist aber das, was Hacker machen, das was Cracker ebenfalls machen und das was Entwickler heutzutage offensichtlich nur noch ganz selten machen: Code strapazieren. Die Applikation nehmen, in Wasser tauchen, ins Feuer werfen und gucken was passiert, wenn man einen Türken seinen Namen eingeben lässt (den Turkey Test gibt es tatsächlich). Mit dem Code spielen, experimentieren. Dieses Interesse scheint vielerorts vollends verloren gegangen zu sein. Sehr schade.



In der vergangenen Woche haben die Jungs vom BSI mein Proof of Concept immer und immer wieder aufgerufen – mehrere Tage lang – da konnte man den Eindruck gewinnen, dass sie nicht verstanden haben was ich da gebaut habe.

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
"http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head><title></title></head>
<body onload="document.xss.submit()">
<form action="http://opfer.tld" method="post" name="xss">
<input type="hidden" name="email" value="&#x22;><marquee><h1>XSS an Bord!</h1><span class=&#x22;" />
</form></body></html>

Ist das wirklich so schwer zu verstehen? Sie klicken auf meinen Link, sehen die XSS-Meldung, aber in der Adresszeile des Browsers ist nichts zu sehen. “Wie macht der Hund das?” oder wie? Einfach mal JavaScript im Browser abschalten, dann kann man sich den HTML-Quellcode ansehen. ;O)