Category Archives: Politik

eGovernment weiterhin nicht vetrauenswürdig

eGovernment Monitor 2014 – Hintergrund (egovernment-monitor.de)

Der eGovernment MONITOR 2014 ist eine Studie der Initiative D21 und ipima, durchgeführt von TNS Infratest (…)

Kern der Studie: Die Untersuchung liefert seit 2010 jährlich ein umfassendes Bild über die aktuelle E-Government-Situation in Deutschland.(…)

Zentrale Ergebnisse 2014
(…)
Angst vor Datendiebstahl nimmt in Deutschland weiter leicht zu.
(2012: 4 Prozent / 2013: 61 Prozent / 2014: 65 Prozent)

Woher nehmen 35 Prozent der Befragten das Vertrauen, dass es keinen “Datendiebstahl” gibt?


Am 12. September las ich folgendes:
Hacker-Attacke auf den Vogtlandkreis” (freiepresse.de)

Die Website des Kreises wurde gestern lahmgelegt. Hinter dem Angriff steckt offenbar eine politisch motivierte Hackergruppe.
(…)

Landrat Tassilo Lenk (CDU) zu dem Vorfall: “Wir werden künftig nicht von so etwas verschont werden. Man muss in der IT-Sicherheit aufrüsten.” Bis in die Abendstunden war die IT-Abteilung des Kreises gestern damit beschäftigt, die Homepage von “Akincilar” zu befreien.

<vorgriff>
Beruf: Politiker == Von Dingen reden, von denen man keine Ahnung hat.

Wenn die “IT-Abteilung des Kreises” es Kindern so leicht macht ihr “Kilroy was here” zu hinterlassen, dann muss nicht technisch aufgerüstet werden, dann muss einfach nur fähiges Personal eingestellt werden.
</vorgriff>

Da ich bei solchen Meldungen neugierig werde, habe ich kurz geschaut und nach wenigen Sekunden eine SQL-Injection gefunden. Um 10:28 Uhr war mein E-Mail zum Versand fertig, die an drei Adressen (landratsamt, redaktion und webmaster) ging. Darin fanden die Empfänger einen Link zu einer Seite mit zwei Screenshots und weiteren Erklärungen, um was für eine Sicherheitslücke es sich hier handelt. Ein einfaches and 1=1 und and 1=2 reicht für eine erste Demonstration von SQL-Injection vollkommen aus:

vogtlandkreis.de - SQL-Injection - and 1=1

vogtlandkreis.de - SQL-Injection - and 1=2

Bereits 10 Minuten später konnte ich einen Zugriff auf die Screenshots feststellen. Es gab mehrere Zugriffe mit dem Firefox 31, 32 und dem Internet Explorer 9. Der letzte Besucher versuchte sich dann noch als kleiner Hackerlehrling und suchte nach weiteren Screenshots:
GET /sqli/
GET /sqli
GET /sli

(So etwas reicht nicht einmal für das Bauerndiplom. <g>)

Ich bekam natürlich keine Antwort, dies ist aber nichts Ungewöhnliches. Meistens schließt der von mir angeschriebene die Lücken und gut. Sich mir gegenüber zu rechtfertigen warum da jemand gepennt hat und die Beteuerung der Besserung ist auch nicht erforderlich. Ich kenne dieses Verhalten, was auch menschlich ist — man möchte über so etwas peinliches gar nicht mehr reden.

Aber heute lese ich folgendes:
Kreis bleibt anfällig für Hacker-Angriffe” (freiepresse.de)

Dass Hacker am 10. September die Internetseite des Vogtlandkreises lahmlegen konnten, ist für Matthias Bittner*) keine Überraschung. “Ich habe bereits im März, leider erfolglos, auf ein Problem auf der Website hingewiesen”, sagt der Reichenbacher, der als Computerfachmann bei einer Plauener Firma tätig ist.

Es hat also Methode, dass auf Hinweise zu Sicherheitslücken nicht reagiert wird — weder eine Antwort, noch ein Fix. Daraufhin habe ich eben noch einmal geschaut, ob die von mir genannte SQL-Injection noch möglich ist — ja, sie ist noch möglich!

Doch was passiert, wenn sensible Daten auf Behördenseiten gehackt werden? “Datensparsamkeit”, heißt das Zauberwort. Matthias Bittner rät jedem, Ämtern und Firmen gegenüber möglichst wenig preiszugeben.
*) Name geändert

Dem kann ich mich nur anschließen.


Woher nehmen 35 Prozent der Befragten das Vertrauen, dass es keinen “Datendiebstahl” gibt?

Die sollten vielleicht einmal intitle:index-of in den Suchschlitz von dem Google einwerfen.

NSA: Wir schauen nicht in Open Source rein, wirklich nicht! Würde ein Geheimdienst lügen?

NSA will nichts von “Heartbleed”-Lücke gewusst haben” (heise.de)

Die US-Regierung hat einen Medienbericht dementiert, wonach der Geheimdienst NSA die jüngst öffentlich gewordene massive Sicherheitslücke im Internet seit langem gekannt und ausgenutzt habe.

Verschlüsselung funktioniert weiterhin, sofern sie richtig implementiert ist. Ein Geheimdienst wie die NSA hat damit natürlich Probleme. OpenSSL ist weit verbreitet und Open Source, also bietet es sich an, darin nach Sicherheitslücken zu suchen. Die NSA ist wahrscheinlich eine der wenigen Stellen die sich offenen Quellcode eingehend ansieht. Vielleicht nicht von jedem Plugin für irgendein CMS, aber die Software die für die Informationsgewinnung relevant ist ist auf deren Liste. Es ist naiv zu glauben, die NSA würde solch eine offensichtliche Möglichkeit nicht nutzen. Das Dementi kam auch recht schnell. Bei einer Behörde mit mehreren zehntausend Mitarbeitern und x Abteilung, würde eine echte interne Recherche wohl etwas mehr als drei Tage dauern.


Dass die NSA auch verschlüsselte Daten speichern, um diese später zu entschlüsseln, ist kein Geheimnis.

Keys auslesen ist einfacher als gedacht” (golem.de)

Zwei Personen ist es gelungen, private Schlüssel mit Hilfe des Heartbleed-Bugs aus einem Nginx-Testserver auszulesen. Der Server gehört der Firma Cloudflare, die mit einem Wettbewerb sicherstellen wollte, dass das Auslesen privater Schlüssel unmöglich ist.



Ein Geheimdienst würde sich niemals vorsätzlich der Möglichkeit berauben eine Verschlüsselung aufzubrechen, zumal wenn man ihn für den Bug nicht verantwortlich machen kann. Es gibt zwar sehr dumme Verschwörungstheoretiker die eine Hexenjagd auf den deutschen Programmierer veranstalten, aber einen echten Zusammenhang zwischen ihm und der NSA ist nicht herstellbar. Bei dem Zufallszahlengenerator, der Backdoor darin und RSA, sah dies etwas anders aus: “Mehr Details zur Hintertür im Zufallszahlengenerator Dual EC DRBG” (heise.de)

Das die NSA viele Mio. Menschen vorsätzlich dem Treiben von Kriminellen ausgeliefert hat, ist im höchsten Maße verwerflich und müsste Konsequenzen haben. “müsste” weil mir klar ist, dass die Politik nicht den Mut dazu haben wird.