07.10.2012

IT-Sicherheitsberater schlägt vor, Firmen für "Bananen-Software" haftbar zu machen

Der IT-Sicherheitsberater Florian Walther schlug auf dem "Grünen Polizeikongress in Hamburg" vor, Firmen direkt dafür haftbar zu machen, wenn sie "Bananen-Software" mit Sicherheitslücken auf den Markt bringen.

Nachdem ich gestern und vorgestern über eine Sicherheitslücke bei der Euroweb berichtete kann ich heute stolz verkünden:

Der Euroweb Internet GmbH  ist es bis heute, Sonntag, dem 7.10.2012 um 17:05 nicht gelungen, diese Sicherheitslücke zu schließen!
Ich nenne das eine "schwache Leistung". Und vor allem bin ich der Meinung, dass sich derart lobpreisende Anbieter tatsächlich haftbar machen. Vor allem wenn diese (wie vorliegend!) unter dem Vormachen, es handele sich bei ihnen um seriöse Firmen welche Spezialisten beschäftigen, ihre unbedarften Kunden unter mindestens grob fahrlässiger Missachtung des Standes der Technik der Gefahr aussetzen, dass deren Passwörter ausspioniert werden können.

Vermutlich wird die Euroweb Internet GmbH dieser Sicherheitslücke vor allem dadurch begegnen, dass diese die Gerichte bemüht um die Veröffentlichungen darüber verbieten zu lassen. Nicht jedoch durch das höchst einfache, für einen Fachmann geradezu triviale Schließen der Lücken.

Das deckt sich mit bisherigen Erfahrungen mit diesem Unternehmen.

9 Kommentare:

Anonym hat gesagt…

Zumindest Haftbar zu machen für solch einfache aber durchaus folgenschwere Fehler.

Bei Fehlern, die nur geübte Häcker aufspüren können, naja ob man dann Haftbar sein sollte, ich weiss es nicht.

Zumindest sollte im Falle eines erkennen einer Schwachstelle umgehend gehandelt werden.

Anonym hat gesagt…

Und dabei ist es so einfach zu lösen, SSL Zertifikate kosten nicht die Welt.

. hat gesagt…

Dann müsste der "Drupaluser und Mausschubser" (a.k.a. Euroweb-Spezialist") nur noch einen Kurs besuchen um die geschaffenen technischen Voraussetzungen auch noch zu nutzen. Und das gleich nachdem der Georgi Grozdev von der Euroweb die Zertifikate installiert und konfiguriert hat.

Was hoffentlich nicht wieder zu einem Serverausfall von einer Woche führt!

Anonym hat gesagt…

Fastix, geht's noch? Hättest besser mal den verlinkten Heise-Artikel zuende durchgelesen. Da ging es ja zunächst einmal um Folgen des Festhaltens an eine hoffnungslos veraltete PHP Installation auf einem SPD-Server.

Du forderst also nichts anderes, als das die PHP Entwickler für noch immer genutzte Uraltversionen ihrer Software verantwortlich zu machen sind? Am besten noch um Haus und Hof verklagt werden können?

Da können ja gleich alle LAMP Projekte mit dicht machen! Wird demnächst gar das SCO_Schulungs-Engagement wieder ausgebaut? Ist es wieder einmal so weit?

Unerhört!

. hat gesagt…

Nein. Woher Du das nimmst ist mir unklar. Im Text steht "Die Beamten fanden eine "grottenschlechte" PHP-Installation,"

Und auf Grund des Sachzusammenhanges ist anzunehmen, das es nicht PHP selbst ist, sondern das ein Skript angegriffen wurde:

"die der Hacker nach rund 870.000 Angriffen mit dem Tool Havij soweit in der Datenbankstruktur erkundete, bis er alle Passwörter von 23 Webservern der Partei erbeutete."

Also ein nicht beachteter "Kontext-Wechsel". Ähnliches hatten wir doch schon auf der Webseite der Kanzlei Berger zu bestaunen, die man mit in der Sucheingabe eingegeben JS und CSS die Seite beliebig verändern konnte. Das geht auch wenn Formulardaten in PHP weiterverarbeitet werden und dann ohne genügende Prüfung an MySQL, das Betriebssystem und/oder das Dateisystem weiter gegeben werden.

Das Tool "Havij" probiert genau solche Angriffe.

(Für die Euroweb: Falls sich jemand für so schlau hält, dass als Anleitung für einen Angriff auf meine Server zu betrachten: Das wird nichts und immer schön an die Verfügung des AG Düsseldorf denken...)

Anonym hat gesagt…

Fastix, schau Dich doch mal um. Viele Reseller aktualisieren ihre Serversoftware nicht ausreichend. Mir sind sogar Anbieter (bspw. Yellowgrey) bekannt, die noch heute mit vorinstallierten Debian 3.1, 4.0 bespielte Serversysteme anbieten/bereitstellen. Es gibt auch prominente Unternehmen, die noch heute Server mit vorinstalliertem SuSE Linux Enterprise Server 8 v. 2002 einsetzen etc.

Es gibt in diesem Zusammenhang einen sehr schönen Artikel auf Linuxforen.de, den ich an der Stelle nicht vorenthalten möchte.

http://www.linuxforen.de/forums/showthread.php?t=178777

. hat gesagt…

http://www.linuxforen.de/forums/showthread.php?t=178777

Ooooch! Wie kontraproduktiv für mich. Ich lebe (als "Feuerwehr") auch von Leuten, die diese Überlegungen nicht anstellen.

Die Euroweb wartet wohl ab, bis ich denen ganz klipp und klar sage, was diese verändern muss...

fastix hat gesagt…

"Die Euroweb wartet wohl ab, bis ich denen ganz klipp und klar sage, was diese verändern muss..."

Wieso sollte die Euroweb auf Hilfe von Kritikern warten dürfen? Sie ist selbst für die Sicherheit auf ihren Serversystemen verantwortlich. Linuxforen.de schreibt dazu ganz klar:

"Ein Rootserver ist kein Übungsgelände. Wenn Du üben willst, dann benutze einen Linux-Rechner zu Hause im LAN. Wenn Du auf einem Rootserver übst bzw. herumspielst und Fehler machst, kann das u.U. zivil- oder sogar strafrechtliche oder finanzielle Konsequenzen mitsichziehen, die nicht zu unterschätzen sind." und weiter "Das Thema Sicherheit ist wohl der umfangreichste und schwierigste Teil bei einem Rootserver. Bei einem Rootserver bist Du ganz allein dafür verantwortlich, aber auf keinen Fall Dein Server-Anbieter.

Wenn Du z.B. ein offenes Mail-Relay hast, kann dies, wie schon vorhin erwähnt, u.U. zu zivil- oder sogar strafrechtlichen Konsequenzen führen. Dabei spielt es keine Rolle, ob dies wissentlich oder unwissentlich geschehen ist. Auch kann ein Rootserver plötzlich sehr kostspielig werden, wenn bei einem Hackangriff oder einem durch eine Sicherheitslücke ermöglichten Servereinbruch ein Mehrverbrauch an Netzwerktraffic entsteht.

Sicherheitsrisiken und -probleme sind nicht zu unterschätzen. Es ist nicht damit getan, den Server einmal einzurichten. Verantwortung heisst, das Thema Sicherheit ständig im Internet zu verfolgen, Schwachstellen zu beheben, den eigenen Server zu überwachen und immer wieder Neues hinzuzulernen [2].". Warum sollte jemand der Euroweb diese Pflichten abnehmen? Sind doch hier nicht die Arbeiterwohlfahrt für xbeliebige Reseller-Webhoster!

Im übrigen, zu "Ooooch! Wie kontraproduktiv für mich. Ich lebe (als "Feuerwehr") auch von Leuten, die diese Überlegungen nicht anstellen." ich finde, solchen Leuten ist eher zu dem zu raten, was auf Linuxforen.de vor Jahren geschrieben wurde. Nämlich den kompromitierungsbedrohten Server umgehend(!) vom Netz zu nehmen oder ebenso umgehend(!) durch Experten neu aufzusetzen. Kannst gerne von mir aus einen Serverneuinstallationsangebot machen. Währen im besten Falle ein paar Spamschleudern/Bots weniger im Netz.

Nebenbei, das oben geschriebene war eine interessante Antwort auf die Hervorhebung des Umstands, dass hier wieder einmal auf einem Polizeikongress freie Software durch sinnfreie politische Forderungen bedroht wird. Es braucht mehr Engagement für freie Software in diesen Bereichen, statt eine fragwürdig legitimierte Behinderung der freien Software Gemeinde.

Freie Software sollte selbstverständlich uneingeschränkt gestärkt werden. Genauso, wie auch (was ich zum Thema Vorratsdatenspeicherung anmerken möchte) - siehe http://www.youtube.com/watch?v=rM1L-vDn0_A | http://de.wikipedia.org/wiki/Telecomix - Telecomix. Und an der Stelle, es braucht anscheinend noch einen redaktionellen Open Source Updates Newsticker. Deshalb folgt von meiner Seite auch zeitgleich zu der nächsten Ubuntu Release ein identi.ca Ticker! ;-)

Kommentare dazu bitte an fastix@privacybox.net - Der Name ist allgemeingut, wird immerhin weltweit mehrfach genutzt. Es gibt nämlich bereits 62.500 Ergebnisse in der Google Suche nach Fastix und ich bin an der Stelle der Meinung, jeder sollte sich seinen Nicknamen beliebig aussuchen können. Dies in dem Fall als Teil des Engagement für freie Software.

Anonym hat gesagt…

LOL

Kommentar veröffentlichen