Category Archives: Computer

eGovernment weiterhin nicht vetrauenswürdig

eGovernment Monitor 2014 – Hintergrund (egovernment-monitor.de)

Der eGovernment MONITOR 2014 ist eine Studie der Initiative D21 und ipima, durchgeführt von TNS Infratest (…)

Kern der Studie: Die Untersuchung liefert seit 2010 jährlich ein umfassendes Bild über die aktuelle E-Government-Situation in Deutschland.(…)

Zentrale Ergebnisse 2014
(…)
Angst vor Datendiebstahl nimmt in Deutschland weiter leicht zu.
(2012: 4 Prozent / 2013: 61 Prozent / 2014: 65 Prozent)

Woher nehmen 35 Prozent der Befragten das Vertrauen, dass es keinen “Datendiebstahl” gibt?


Am 12. September las ich folgendes:
Hacker-Attacke auf den Vogtlandkreis” (freiepresse.de)

Die Website des Kreises wurde gestern lahmgelegt. Hinter dem Angriff steckt offenbar eine politisch motivierte Hackergruppe.
(…)

Landrat Tassilo Lenk (CDU) zu dem Vorfall: “Wir werden künftig nicht von so etwas verschont werden. Man muss in der IT-Sicherheit aufrüsten.” Bis in die Abendstunden war die IT-Abteilung des Kreises gestern damit beschäftigt, die Homepage von “Akincilar” zu befreien.

<vorgriff>
Beruf: Politiker == Von Dingen reden, von denen man keine Ahnung hat.

Wenn die “IT-Abteilung des Kreises” es Kindern so leicht macht ihr “Kilroy was here” zu hinterlassen, dann muss nicht technisch aufgerüstet werden, dann muss einfach nur fähiges Personal eingestellt werden.
</vorgriff>

Da ich bei solchen Meldungen neugierig werde, habe ich kurz geschaut und nach wenigen Sekunden eine SQL-Injection gefunden. Um 10:28 Uhr war mein E-Mail zum Versand fertig, die an drei Adressen (landratsamt, redaktion und webmaster) ging. Darin fanden die Empfänger einen Link zu einer Seite mit zwei Screenshots und weiteren Erklärungen, um was für eine Sicherheitslücke es sich hier handelt. Ein einfaches and 1=1 und and 1=2 reicht für eine erste Demonstration von SQL-Injection vollkommen aus:

vogtlandkreis.de - SQL-Injection - and 1=1

vogtlandkreis.de - SQL-Injection - and 1=2

Bereits 10 Minuten später konnte ich einen Zugriff auf die Screenshots feststellen. Es gab mehrere Zugriffe mit dem Firefox 31, 32 und dem Internet Explorer 9. Der letzte Besucher versuchte sich dann noch als kleiner Hackerlehrling und suchte nach weiteren Screenshots:
GET /sqli/
GET /sqli
GET /sli

(So etwas reicht nicht einmal für das Bauerndiplom. <g>)

Ich bekam natürlich keine Antwort, dies ist aber nichts Ungewöhnliches. Meistens schließt der von mir angeschriebene die Lücken und gut. Sich mir gegenüber zu rechtfertigen warum da jemand gepennt hat und die Beteuerung der Besserung ist auch nicht erforderlich. Ich kenne dieses Verhalten, was auch menschlich ist — man möchte über so etwas peinliches gar nicht mehr reden.

Aber heute lese ich folgendes:
Kreis bleibt anfällig für Hacker-Angriffe” (freiepresse.de)

Dass Hacker am 10. September die Internetseite des Vogtlandkreises lahmlegen konnten, ist für Matthias Bittner*) keine Überraschung. “Ich habe bereits im März, leider erfolglos, auf ein Problem auf der Website hingewiesen”, sagt der Reichenbacher, der als Computerfachmann bei einer Plauener Firma tätig ist.

Es hat also Methode, dass auf Hinweise zu Sicherheitslücken nicht reagiert wird — weder eine Antwort, noch ein Fix. Daraufhin habe ich eben noch einmal geschaut, ob die von mir genannte SQL-Injection noch möglich ist — ja, sie ist noch möglich!

Doch was passiert, wenn sensible Daten auf Behördenseiten gehackt werden? “Datensparsamkeit”, heißt das Zauberwort. Matthias Bittner rät jedem, Ämtern und Firmen gegenüber möglichst wenig preiszugeben.
*) Name geändert

Dem kann ich mich nur anschließen.


Woher nehmen 35 Prozent der Befragten das Vertrauen, dass es keinen “Datendiebstahl” gibt?

Die sollten vielleicht einmal intitle:index-of in den Suchschlitz von dem Google einwerfen.

heiseBrute

The Fappening: Promi-Nacktfotos über Find My iPhone aus der Cloud gesaugt” (heise.de)

Nach dem Hack, bei dem Unbekannte private Fotos mehrere prominenter junger Frauen unerlaubt kopiert haben, ist nun ein Skript im Internet aufgetaucht, dass bei dem Angriff verwendet worden sein soll.
(…)
Mittlerweile funktioniert das Skript nicht mehr…
(…)
Das Angriffs-Skript namens iBrute gibt sich als die Find-My-iPhone-App aus und arbeitet mit Gewalt mögliche Passwörter aus einer Liste ab, die der Angreifer zur Verfügung stellt.

Heise hat den Schuss nicht gehört!
Das folgende ist aus der Registrierung zum Forum:
heise brute force

Mit dem Benutzernamen hat ein Angreifer die erste Hälfte des Logins. Wenn dann noch KeinPasswort zulässig ist, dann ist es nur eine Frage der Zeit bis Kundenkonten gehackt sind. Heise weiß dies natürlich, sie sagen sich wohl: “Ist ja nur ein Form, da ist dass nicht so wichtig.” Ich sehe dies natürlich mal wieder anders. Grundsätzliche Sicherheitsvorkehrungen, wie der Schutz gegen Brute-Force-Angriffe, um Benutzernamen zu finden und zum testen von dazugehörige Passworten, muss ein Standard sein und zwar unabhängig davon wie wichtig ein Zugang ist. Wer jetzt an Zwangsregistrierung für kostenloses Material denkt, dem kann ich nur zustimmen, wenn er meint, dass diese keine starken Passworte und keinen besonderen Schutz benötigen, allerdings ist dies ein Ausnahmefall, von groben Unsinn des anbietenden Dienstes — wofür es Wegwerf-E-Mail-Adressen gibt und KeinPasswort wie 123456 ausreichend ist.

Menschen sind grundsätzlich dumm, was Logins angeht. Einerseits soll alles einfach sein, es soll möglichst keine Richtlinien für starke Passworte geben, aber andererseits wird sich bei dem Dienstleister beschwert, wenn ein Kundenkonto gehackt wurde. Wer auch noch wahrheitsgemäß auf Sicherheitsfragen antwortet, deren Antwort wiederum in asozialen Netzwerken zu finden ist, dem ist einfach nicht zu helfen.

Der Faktor Mensch ist nach wie vor das größte Problem wenn es um IT-Sicherheit geht — ich sag nur “h0r1z0n”.