Daily Archives: 30. Mai 2009

US-Atomraketen per CSRF abschießen?

Anti-U.S. Hackers Infiltrate Army Servers” (informationweek.com)

Investigators believe the hackers used a technique called SQL injection to exploit a security vulnerability in Microsoft’s SQL Server database to gain entry to the Web servers.

In dem Artikel wird darauf abgehoben, dass das böse Hacker aus der Türkei sind, die Botschaften Anti-Amerikanisch und Anti-Israelisch waren und es wird eine Verbindung zwischen der Türkei und al-Qaida hergestellt.
Also am Ende: Scriptkiddie == Terrorist

Echte Terroristen würden wohl eher Zugangsdaten auslesen, um darüber auf weitere Systeme zugreifen zu können, Keylogger installieren oder sonstige, unauffällige, Aktionen durchführen. Para pur, typisch Amis könnte man jetzt sagen, aber in Deutschland ist das ja ähnlich.


Noch einmal der Hinweis auf die Radiosendung des SWR2 und dem Herrn vom BSI, der meint, das Hacker generell böses im Schilde führen: “SWR2 Forum – Hacker und Haecksen – Computerkultur zwischen Datenklau und Eigenbau” (swr2.de) (MP3 der Radiosendung)


Naja, ich finde es viel interessanter das solch eine einfache Lücke ausgenutzt werden kann. Seit wann gibt es Lücken wie SQL-Injection? Mindestens so lange wie es Datenbanken und schlampige Entwickler gibt, also mehrere Jahrzehnte! Die Amis geben Mrd. von Dollar jedes Jahr für ihr Militär und ihre Sicherheit aus und trotzdem können ein paar Scriptkiddies ihre Botschaften auf den Army-Servern hinterlassen?

Also wenn da am Horizont die Atomraketen zu sehen sind, ich war das nicht, weil ich mal wieder eine CSRF-Lücke ausprobiert habe… Zumindest hoffe ich das… ;O)

Weiterführende Infos:
SQL-Injection (de.wikipedia.org)
Cross-Site Request Forgery (de.wikipedia.org)