07.10.2012

IT-Sicherheitsberater schlĂ€gt vor, Firmen fĂŒr "Bananen-Software" haftbar zu machen

Der IT-Sicherheitsberater Florian Walther schlug auf dem "GrĂŒnen Polizeikongress in Hamburg" vor, Firmen direkt dafĂŒr haftbar zu machen, wenn sie "Bananen-Software" mit SicherheitslĂŒcken auf den Markt bringen.

Nachdem ich gestern und vorgestern ĂŒber eine SicherheitslĂŒcke bei der Euroweb berichtete kann ich heute stolz verkĂŒnden:

Der Euroweb Internet GmbH  ist es bis heute, Sonntag, dem 7.10.2012 um 17:05 nicht gelungen, diese SicherheitslĂŒcke zu schließen!
Ich nenne das eine "schwache Leistung". Und vor allem bin ich der Meinung, dass sich derart lobpreisende Anbieter tatsÀchlich haftbar machen. Vor allem wenn diese (wie vorliegend!) unter dem Vormachen, es handele sich bei ihnen um seriöse Firmen welche Spezialisten beschÀftigen, ihre unbedarften Kunden unter mindestens grob fahrlÀssiger Missachtung des Standes der Technik der Gefahr aussetzen, dass deren Passwörter ausspioniert werden können.

Vermutlich wird die Euroweb Internet GmbH dieser SicherheitslĂŒcke vor allem dadurch begegnen, dass diese die Gerichte bemĂŒht um die Veröffentlichungen darĂŒber verbieten zu lassen. Nicht jedoch durch das höchst einfache, fĂŒr einen Fachmann geradezu triviale Schließen der LĂŒcken.

Das deckt sich mit bisherigen Erfahrungen mit diesem Unternehmen.

Kommentare:

Anonym hat gesagt…

Zumindest Haftbar zu machen fĂŒr solch einfache aber durchaus folgenschwere Fehler.

Bei Fehlern, die nur geĂŒbte HĂ€cker aufspĂŒren können, naja ob man dann Haftbar sein sollte, ich weiss es nicht.

Zumindest sollte im Falle eines erkennen einer Schwachstelle umgehend gehandelt werden.

Anonym hat gesagt…

Und dabei ist es so einfach zu lösen, SSL Zertifikate kosten nicht die Welt.

. hat gesagt…

Dann mĂŒsste der "Drupaluser und Mausschubser" (a.k.a. Euroweb-Spezialist") nur noch einen Kurs besuchen um die geschaffenen technischen Voraussetzungen auch noch zu nutzen. Und das gleich nachdem der Georgi Grozdev von der Euroweb die Zertifikate installiert und konfiguriert hat.

Was hoffentlich nicht wieder zu einem Serverausfall von einer Woche fĂŒhrt!

Anonym hat gesagt…

Fastix, geht's noch? HÀttest besser mal den verlinkten Heise-Artikel zuende durchgelesen. Da ging es ja zunÀchst einmal um Folgen des Festhaltens an eine hoffnungslos veraltete PHP Installation auf einem SPD-Server.

Du forderst also nichts anderes, als das die PHP Entwickler fĂŒr noch immer genutzte Uraltversionen ihrer Software verantwortlich zu machen sind? Am besten noch um Haus und Hof verklagt werden können?

Da können ja gleich alle LAMP Projekte mit dicht machen! Wird demnÀchst gar das SCO_Schulungs-Engagement wieder ausgebaut? Ist es wieder einmal so weit?

Unerhört!

. hat gesagt…

Nein. Woher Du das nimmst ist mir unklar. Im Text steht "Die Beamten fanden eine "grottenschlechte" PHP-Installation,"

Und auf Grund des Sachzusammenhanges ist anzunehmen, das es nicht PHP selbst ist, sondern das ein Skript angegriffen wurde:

"die der Hacker nach rund 870.000 Angriffen mit dem Tool Havij soweit in der Datenbankstruktur erkundete, bis er alle Passwörter von 23 Webservern der Partei erbeutete."

Also ein nicht beachteter "Kontext-Wechsel". Ähnliches hatten wir doch schon auf der Webseite der Kanzlei Berger zu bestaunen, die man mit in der Sucheingabe eingegeben JS und CSS die Seite beliebig verĂ€ndern konnte. Das geht auch wenn Formulardaten in PHP weiterverarbeitet werden und dann ohne genĂŒgende PrĂŒfung an MySQL, das Betriebssystem und/oder das Dateisystem weiter gegeben werden.

Das Tool "Havij" probiert genau solche Angriffe.

(FĂŒr die Euroweb: Falls sich jemand fĂŒr so schlau hĂ€lt, dass als Anleitung fĂŒr einen Angriff auf meine Server zu betrachten: Das wird nichts und immer schön an die VerfĂŒgung des AG DĂŒsseldorf denken...)

Anonym hat gesagt…

Fastix, schau Dich doch mal um. Viele Reseller aktualisieren ihre Serversoftware nicht ausreichend. Mir sind sogar Anbieter (bspw. Yellowgrey) bekannt, die noch heute mit vorinstallierten Debian 3.1, 4.0 bespielte Serversysteme anbieten/bereitstellen. Es gibt auch prominente Unternehmen, die noch heute Server mit vorinstalliertem SuSE Linux Enterprise Server 8 v. 2002 einsetzen etc.

Es gibt in diesem Zusammenhang einen sehr schönen Artikel auf Linuxforen.de, den ich an der Stelle nicht vorenthalten möchte.

http://www.linuxforen.de/forums/showthread.php?t=178777

. hat gesagt…

http://www.linuxforen.de/forums/showthread.php?t=178777

Ooooch! Wie kontraproduktiv fĂŒr mich. Ich lebe (als "Feuerwehr") auch von Leuten, die diese Überlegungen nicht anstellen.

Die Euroweb wartet wohl ab, bis ich denen ganz klipp und klar sage, was diese verÀndern muss...

fastix hat gesagt…

"Die Euroweb wartet wohl ab, bis ich denen ganz klipp und klar sage, was diese verÀndern muss..."

Wieso sollte die Euroweb auf Hilfe von Kritikern warten dĂŒrfen? Sie ist selbst fĂŒr die Sicherheit auf ihren Serversystemen verantwortlich. Linuxforen.de schreibt dazu ganz klar:

"Ein Rootserver ist kein ÜbungsgelĂ€nde. Wenn Du ĂŒben willst, dann benutze einen Linux-Rechner zu Hause im LAN. Wenn Du auf einem Rootserver ĂŒbst bzw. herumspielst und Fehler machst, kann das u.U. zivil- oder sogar strafrechtliche oder finanzielle Konsequenzen mitsichziehen, die nicht zu unterschĂ€tzen sind." und weiter "Das Thema Sicherheit ist wohl der umfangreichste und schwierigste Teil bei einem Rootserver. Bei einem Rootserver bist Du ganz allein dafĂŒr verantwortlich, aber auf keinen Fall Dein Server-Anbieter.

Wenn Du z.B. ein offenes Mail-Relay hast, kann dies, wie schon vorhin erwĂ€hnt, u.U. zu zivil- oder sogar strafrechtlichen Konsequenzen fĂŒhren. Dabei spielt es keine Rolle, ob dies wissentlich oder unwissentlich geschehen ist. Auch kann ein Rootserver plötzlich sehr kostspielig werden, wenn bei einem Hackangriff oder einem durch eine SicherheitslĂŒcke ermöglichten Servereinbruch ein Mehrverbrauch an Netzwerktraffic entsteht.

Sicherheitsrisiken und -probleme sind nicht zu unterschĂ€tzen. Es ist nicht damit getan, den Server einmal einzurichten. Verantwortung heisst, das Thema Sicherheit stĂ€ndig im Internet zu verfolgen, Schwachstellen zu beheben, den eigenen Server zu ĂŒberwachen und immer wieder Neues hinzuzulernen [2].". Warum sollte jemand der Euroweb diese Pflichten abnehmen? Sind doch hier nicht die Arbeiterwohlfahrt fĂŒr xbeliebige Reseller-Webhoster!

Im ĂŒbrigen, zu "Ooooch! Wie kontraproduktiv fĂŒr mich. Ich lebe (als "Feuerwehr") auch von Leuten, die diese Überlegungen nicht anstellen." ich finde, solchen Leuten ist eher zu dem zu raten, was auf Linuxforen.de vor Jahren geschrieben wurde. NĂ€mlich den kompromitierungsbedrohten Server umgehend(!) vom Netz zu nehmen oder ebenso umgehend(!) durch Experten neu aufzusetzen. Kannst gerne von mir aus einen Serverneuinstallationsangebot machen. WĂ€hren im besten Falle ein paar Spamschleudern/Bots weniger im Netz.

Nebenbei, das oben geschriebene war eine interessante Antwort auf die Hervorhebung des Umstands, dass hier wieder einmal auf einem Polizeikongress freie Software durch sinnfreie politische Forderungen bedroht wird. Es braucht mehr Engagement fĂŒr freie Software in diesen Bereichen, statt eine fragwĂŒrdig legitimierte Behinderung der freien Software Gemeinde.

Freie Software sollte selbstverstÀndlich uneingeschrÀnkt gestÀrkt werden. Genauso, wie auch (was ich zum Thema Vorratsdatenspeicherung anmerken möchte) - siehe http://www.youtube.com/watch?v=rM1L-vDn0_A | http://de.wikipedia.org/wiki/Telecomix - Telecomix. Und an der Stelle, es braucht anscheinend noch einen redaktionellen Open Source Updates Newsticker. Deshalb folgt von meiner Seite auch zeitgleich zu der nÀchsten Ubuntu Release ein identi.ca Ticker! ;-)

Kommentare dazu bitte an fastix@privacybox.net - Der Name ist allgemeingut, wird immerhin weltweit mehrfach genutzt. Es gibt nĂ€mlich bereits 62.500 Ergebnisse in der Google Suche nach Fastix und ich bin an der Stelle der Meinung, jeder sollte sich seinen Nicknamen beliebig aussuchen können. Dies in dem Fall als Teil des Engagement fĂŒr freie Software.

Anonym hat gesagt…

LOL

Kommentar veröffentlichen