[HaBo]

Enterhaken

Anzeige

Server-Einbruch beim CCC


Unbekannter Twiki-Exploit erlaubt unauthorisierten Zugriff


Spanischen Hackern gelang es, unauthorisiert auf Server des Chaos Computer Clubs (CCC) zuzugreifen und "in Vergessenheit geratene Registrierungsdaten des Chaos Communication Camp 2003" zu veröffentlichen, meldet jetzt der selbst betroffene CCC. Schuld ist ein bislang unbekannter Exploit in der Software TWiki.


http://www.golem.de/0411/34924.html

Lain

naja ehrlich gemeint mache ich mir nichts von ihnen die labern nur viel rum.
von sicherheit und so, aber können ihren server nicht schützen.

sieben

Erklaere wie Du einen Server vor einem bis dato unbekannten Problem in einem CGI-Script schuetzen moechtest.

__________________
Diese Zeile ist reserviert für Clark Kent.

Enterhaken

Lese Dir den Artikel mal genau durch.
Sie wurden auch erst darauf aufmerksam, als bestimmte sachen öffentlich gemacht wurden.

Das ganze bei heise = http://www.heise.de/newsticker/meldung/53748

Golgotha

Naja, das war soetwas wie ein Format-String-Angriff.

Einer der besten europäischen Hacker (imho),
nämlich Felix von Leitner, hat die Verantwortung des CCC
bekräftigt.

---
Es ist nicht nur schlecht, dass keiner vorher die
Open Source vorher wenigstens oberflächlich
evaluiert hat ---
sondern die übliche "Chaos - Theorie", das offenbar der Eine nicht weiss,
was der Andere im CCC macht, ist ein Grund.

So hätten die alten Daten aus 2003 schon lange gelöscht
werden müssen.


Das ist meine ganz private Meinung ---

Golgy.

__________________
Man sieht nur mit dem Herzen gut.
Wirklich relevante informationren sind für's Auge unsichtbar!

sieben

Danach erklaeren was man alles haette besser und anders machen koennen ist immer einfach.

Waere sicherlich nicht aufgefallen -- ebensowenig wie es aufgefallen ist als entsprechender Code ins CVS eingecheckt wurde. Zwar nicht wirklich subtil das Problem, aber leicht zu uebersehen. Ich frage mich auch wie das rein zeitlich von statten gehen soll das jemand quasi den kompletten Krams den man da nunmal so verwendet evaluiert -- und was ist wenn der dann mal 2 Wochen Urlaub macht?

Klingt nett, ist aber unrealistisch wie vieles was Fefe zu erzaehlt.

ACK. Aber ich hab auch schonmal Daten uebersehen. Leider merke ich es zu oft andersrum, dann sind sie naemlich NICHT im Backup. ;-)

__________________
Diese Zeile ist reserviert für Clark Kent.

Golgotha

Tsts ...

Die Sieben salamierte:

Hey, das war doch keine Wertung, sondern eine Feststellung,
mein Geisslein.

Fefe hat schon öfter seine äusserst gesunde Einstellung zu
bestimmten Vorgängen im CCC bewiesen, ich glaub' ihm
deshalb aufs Wort.


Apropo "Daten übersehen":
Was ist eigendlich mit "Hic Fuit" los?

__________________
Man sieht nur mit dem Herzen gut.
Wirklich relevante informationren sind für's Auge unsichtbar!

Lain

lol sind ja noch dümmer erst dan gemerkt als es public wurde.
wie ich es schützen würde ka, imho der "beste europäische hacker" sollte es ja merken.

Ray

Du lebst in einer kindlich-naiven Erlebniswelt. Du tust mir leid. Ehrlich.

ghostdog

Wenn ich schon beim CCC für Scripts zuständig bin, dann schau ich mir doch den Source mal an bevor ich ihn verwende? Oder konnte man das nicht sehen?

__________________
Die neuen Desire Z und Desire HD Smartphones

Sunstepper

@ hbier:
Ach, du schaust dir also von jeder Software die du verwendest vorher die Quellen an und überprüfst sie bis ins kleinste Detail auf mögliche zukünftige Schwachstellen?

ghostdog

nein, wenn ich schon andere software für mich verwende, dann um zu schauen wie sie es gelöst haben und versuch es auf dieselbe weise.

ich bin generell sehr vorsichtig, was pc sachen angeht und auch sehr sorgfältig wenn es um software geht, die potentiell unbefugten zugang zu wichtigen daten ermöglicht. dazu zählt auch schon apache und co, wenn ich sie schon installiere, dann nur dort wo wirklich durch gar nichts was angerichtet werden kann.

__________________
Die neuen Desire Z und Desire HD Smartphones

Enterhaken

Kann ich nur beipflichten ...