“Sicherheitslücken bei Hersteller von Smartphone-Apps” (gulli.com)

Die eigentlich aufgelösten AnonyPwnies – eine Splittergruppe des Onlinekollektivs Anonymous – wollen es noch einmal wissen und veröffentlichen einen letzten Leak. Dieser betrifft die Die Firma “appia.com”, die Shoplösungen für Smartphone-Software programmiert. Diese Shoplösungen weisen offenbar erhebliche Sicherheitslücken auf und ermöglichten den Pwnies das Kopieren großer Mengen sensibler Daten.

“LEAKS NEED THIS MUCH VOLUME – BY: ANONYPWNIES” http://pastebin.com/1HkZxwS4

2 Wochen lang blieb eine Reaktion auf eine SQL-Injection aus:

http://www.sicherheit-online.org/Aktuelle-Themen/Sicherheitslucke-bei-mobile2day.de-wird-ignoriert.html

Als wir das lasen, entschieden wir uns selbst nach der Lücke zu suchen und kamen mit 40GB SQL Backups, 2 GB PHP Scripten, 2 Rootserver Passwörtern, 2 Paypal Accounts und rund 100 GB Android/Windows Mobile/Symbian Apps zurück…

---

“Sicherheitslücke bei mobile2day.de wird ignoriert” (sicherheit-online.org)

…nicht mit einem Erfolg zu verzeichnen.

Bitte was? “von Erfolg gekrönt” heißt es.

Wir bedauern, dass es zu diesen Übergriffen kommen musste.

Es musste nicht, aber wer Skriptkiddies Dreck in die Hand drückt, darf sich nicht wundern, wenn damit auch geworfen wird.

Der Verlauf vom ersten Hinweis bis zum heutigen Tag aber, zeugte mehr von Imkompetenz und Ingoranz, sowie von unprofessioneller Hinhaltetechnik von…

sicherheit-online.org ist inkompetent? Dies sehe ich genau so. Übrigens heißt es “Hinhaltetaktik”.

In dieser Nachricht wurde behauptet, dass keine Warnmeldung von Sicherheit-Online dort angekommen sei.

Wenn keine Bestätigung des Empfangs einer E-Mail versendet wurde, ist es nicht möglich, zweifelsfrei festzustellen, ob eine E-Mail empfangen und gar gelesen wurde.

Man wollte uns die Schuld daran geben, dass diverse “Scans” auf das Portal erfolgten und man behauptete, dass wir mit unserem Beitrag einen 0day Exploit veröffentlicht haben.

sicherheit-online.org hat die Schuld, wenn nun Kundendaten verbreitet werden und finanzielle Schäden bei den Kunden eintreten.

Zudem haben wir darauf hingewiesen, dass der Beitrag – sofern es keine Reaktion mehr geben sollte – wieder online geschalten und ein entsprechendes Update veröffentlicht wird.

Mit anderen Worte: Es wurde versucht eine Reaktion zu erzwingen, um nicht zu sagen, zu erpressen.

Die Verantwortlichen bei

sicherheit-online.org

sollten sich für den Vorgang – ernsthaft – schämen.

Dem ist nichts hinzuzfügen.

Uns trifft hier sicherlich keine Schuld, zumal ein Kontaktversuch stattgefunden hat.

Doch! sicherheit-online.org trifft die Schuld, dass die Skriptkiddys die Büchse öffneten, Daten kopierten und diese nun veröffentlichen werden. Wenn einem eine Lücke und die Schließung dieser wichtig ist, dann greift man auch mal zum Telefon, wenn per E-Mail keine Reaktion zu erhalten ist.

Wir möchten an dieser Stelle die “AnonyPwnies” bitten, Abstand davon zu halten, Kundendaten zu veröffentlichen…

Was für ein lächerlicher Appell. Und, im Straßenverkehr sollte man Abstand halten, ansonsten wird von einer Aussage oder Handlung Abstand genommen.

---

Wer in der IT-Sicherheit ernsthaft arbeitet, muss auch ein Gespür dafür haben, welche Lücken wie schwerwiegend sind. Eine SQL-Injection gehört eindeutig in die Kategorie von Lücken, die man nicht veröffentlicht, da damit Angriffe und irreparable Schäden provoziert werden. Die Domain und ein Screenshot, auch wenn etwas geschwärzt, reichen schon vollkommen aus, um dem Hinweis nachzugehen und in kürzester Zeit die Lücke zu finden. Das was sicherheit-online.org hier getan hat, ist einfach nur verantwortungslos.

Mediathek : Plenarsitzungen
132. Sitzung vom 19.10.2011
Schröder, Dr. Ole, PSts
2. BMI Frage 43
http://dbtg.tv/vid/17/132/5/1 (Kurzlink zu www.bundestag.de)

Deutscher Bundestag
Stenografischer Bericht 132. Sitzung Berlin, Mittwoch, den 19. Oktober 2011
http://dipbt.bundestag.de/dip21/btp/17/17132.pdf

---

Nur eine kleine Passage aus dem PDF:

Burkhard Lischka (SPD):
Herr Staatssekretär, wie bewerten Sie denn die Aussage eines Beamten Ihres Hauses heute Morgen im Rechtsausschuss, dass ohne Kenntnis des Quellcodes keine komplette Prüfung der Software möglich sei und vor allen Dingen keine Aussage darüber möglich sei, ob in der Software weitere Funktionen vorhanden sind, die nicht aktiviert wurden, oder ob solche Funktionen fehlen?

Dr. Ole Schröder, Parl. Staatssekretär beim Bundesminister des Innern:
Diese Aussage – ich war ja heute, anders als Sie, im Innenausschuss dabei – ist so nicht gemacht worden. Das BKA hat klargestellt, dass selbstverständlich das BKA volle Kontrolle über die Anwendung der Software hat und deshalb das Ganze rechtmäßig abläuft.

Noch einmal: Das Ganze wird auch über eine revisionssichere Protokollierung festgehalten, damit im Nachhinein überprüft werden kann, ob unter Umständen etwas eingesetzt wurde, was vom Richter nicht angeordnet worden war.

Anwesend zu sein reicht aber offensichtlich nicht aus — zuhören und verstehen wäre auch ganz hilfreich.

Jerzy Montag (BÜNDNIS 90/DIE GRÜNEN):
Herr Staatssekretär, ich muss Ihnen vorhalten, dass genau das, was Sie jetzt bestreiten, uns der Vertreter Ihres Hauses im Rechtsausschuss gesagt hat: Erstens. Wir haben keinen Quellcode. Zweitens. Ohne den Quellcode ist eine vollständige Kontrolle nicht möglich.

Ich halte es, ehrlich gesagt, auch für putzig, dass Sie uns hier erklären, das Bundesinnenministerium und die Bundesbehörden könnten diese Trojaner vollständig prüfen; denn der Chaos Computer Club habe es ohne Quellcode auch gekonnt. Das ist eine Antwort mit Chuzpe, aber so kann man, finde ich, Abgeordnete nicht abspeisen. Der Chaos Computer Club hat ja selbst geschrieben, dass er nur eine oberflächliche Prüfung durchführen kann. Dass er dabei so viel herausgefunden hat – so hat er geschrieben –, ist nur deswegen möglich gewesen, weil dieser Trojaner so miserabel gebaut worden ist.

Deswegen in allem Ernst meine Frage an Sie: Halten Sie es für richtig, rechtsstaatlich und möglich, dass staatliche Behörden auf Bundesebene einer privaten Firma gegen Geld den Auftrag erteilen, eine solche Software zu entwickeln, sich aber damit begnügen, dass sie von der Firma keinen Quellcode bekommen und damit eine vollständige Prüfung aller möglicherweise versteckten Funktionalitäten gar nicht vornehmen können?

Dr. Ole Schröder, Parl. Staatssekretär beim Bundesminister des Innern:
Entscheidend ist, welche Software im konkreten Fall angewendet wird. Das ist der rechtsstaatliche Maßstab. Das wird durch eine revisionssichere Protokollierung sichergestellt.
(Jerzy Montag [BÜNDNIS 90/DIE GRÜNEN]: Das Verfassungsgericht sieht das ganz anders!)
Wenn der Richter anordnet, dass nur die entsprechende Telekommunikation überwacht werden darf, dann darf auch nur dieses Mittel angewendet werden, und das wird durch die revisionssichere Protokollierung sichergestellt.

Sie unterstellen hier den Beamten, dass sie rechtswidrig gehandelt haben, und Sie tun das, ohne dass Sie dafür Anhaltspunkte haben. Das ist nicht in Ordnung.

---

Keiner der Parlamentarier hat unterstellt, dass die Beamten die den Trojaner eingesetzt haben, vorsätzlich etwas rechtswidriges getan haben. Es wurde nur versucht auch dem Dämlichsten klarzumachen, dass man nur mit Kenntnis des Quellcodes feststellen kann, was eine Software macht.

Mehrfach wurde von Parlamentariern nachgefragt, ob der Quellcode von Staatstrojanern vorliegt und mehrfach meinte der Parlamentarische Staatssekretär beim Bundesminister des Innern, Dr. Ole Schröder, dass es nicht nötig sei diesen zu kennen, da man ja die “revisionssichere Protokollierung” hätte, die besagt welche Software eingesetzt wird (allerdings ohne zu wissen was sie kann). Hier weiß der Herr Staatssekretär natürlich sehr viel mehr, als Beamte (des BMI, BKA oder BSI) die im Rechtsausschuss behaupten “dass ohne Kenntnis des Quellcodes keine komplette Prüfung der Software möglich sei”.

Das BKA und die LKAs beschäftigen so kompetente Reengineerer (das BSI hat jegliche Tätigkeiten im Bereich Staatstrojaner abgelehnt), dass die am Binärcode sofort sehen können, welche 0 und welche 1 was macht. Die Bugs in dem Staatstrojaner die der CCC seziert hat, wurden dabei wohl einfach übersehen — dies kann jeder 0 mal passieren. ;O)

Die Dummheit muss offensichtlich sehr fortgeschritten sein, um das Amt eines Staatssekretärs bekleiden zu können. Ein Hirn wäre da nur hinderlich, wenn wieder und wieder der Schwachsinn repetiert wird, welcher der Dienstherr gerne verbreitet haben möchte.


Einerseits halte ich Politiker (ab einer höheren Position) generell für korrumpiert, weil, wer an wichtigen Schaltstellen der Macht angelangt ist, hat dafür seine Seele verkauft, ist Kompromisse eingegangen, die ein moralisch einwandfreier Charakter nicht in Betracht zieht, aber andererseits hege ich doch auch eine gewisse Bewunderung, wenn ich sehe wie schwer es ist, ehrlich gegen Dummheit, Lüge und Vetternwirtschaft unter den Kollegen vorzugehen.


Update: 17:28 Uhr

Der Link zu der Auflistung zu den Videos aus der Mediathek des Bundestages zur Fragestunde:
http://forum.gleitz.info/showthread.php?25965-Artikel-zu-allgemeinen-Themen/page167