[HaBo]

Rushjo

Anzeige

Wie auf den Seiten vom CCC Wiki lesen kann, fiel den eifrigen "usual suspects" des CCC Congress beim "dezenten Hinweisen" auf Sicherheitsproblemen im World Wide Web eine kleine Datei mit über 18.000 Passwörter für WebSites in die Hände. Das wohl der neue Weltrekord im "Mass Defacement" werden, wobei das "Defacen" momentan noch andauert. Bisher hat zone-h.org noch garkeine Notiz hiervon genommen. Der betroffene kleine ISP (wahrscheinlich die Loomes AG), der dem CCC wohl sogar nahe steht, hat sich beim CCC Congress beschwert und sich über das "verantwortungslose" Verhalten der Hacker beschwert. Auch das BKA hat darauf hin dem CCC Congress noch den "obligatorischen" Besuch abgestattet, wobei dies aber ganz "entspannt" verlief.

Tja, schauen wir mal, ob zone-h.org diesen neuen Weltrekord Versuch auch aktzeptiert. *gg* Die Jungs vom Guisness Rekord Buch werden es wohl eher weniger zu schätzen wissen.

MfG Rushjo

[NACHTRAG]
Wie auf heise.de zu lesen ist, handelt es sich scheinbar doch um die Loomes AG. Weiterhin wurde ein Forum vom OnlineGame "Everquest" gehackt. Darüber haben sich die User des Forum bitterlich beschwert, denn dies sei das Todesurteil des Forums gewesen, das der zuständige Admin sich schon länger verabschiedet hätte es und nun keinerlei technisch Befähigten zum Weiterbetrieb geben würde. Weiterhin wurde ausgeführt, sie hätten das Board "sicherheitstechnisch" bisher nicht geupdatet, weil es keinerlei "kritische" Daten enthalten würde. Tja, ""wer nicht hören will, muss Backups einspielen..." (= Originalzitat vom CCC Congress). *fg*
[/NACHTRAG]

Prometheus

Ich finde es nicht toll, das es Leute gibt wie die vom CCC den ich soetwas nicht zugetraut habe, auf Kosten anderer um Rekorde zu kämpfen.
Ich kannte zwar die Webseite nicht, aber ich weiß wieviel Arbeit so eine Webseite macht.

Rushjo

[SARKASMUS ANFANG]
Ja, es ist extrem viel Arbeit, wenn der Defacer die Original-index.html als index.html_old sichert und dann eine neue index.html erstellt. Man braucht bestimmt einen "master of scienes" oder ein abgeschlossenes Informatik-Studium, um dann die Original-index.html einfach wieder in index.html zurück zubenennen.
[/SARKASMUS ENDE]

Ich weise mal kurz drauf hin, das man auch ganz andere Sachen hätte machen können.

MfG Rushjo

sieben

Eben. Und weil man genau das nach einem Hack nicht ausschliessen kann (oder zumindest sehr selten) kostet das letzlich sehr viel eine ausgefallene Box neu aufzusetzen.

Okay. Defacements sind nett und Tradition, aber irgendwelche Leute unter der Verpeiltheit ihrer Admins leiden zu lassen ist mindestens ebenso uncool wie irgendwelche ungefixten phpBBs aufzumachen.

__________________
Diese Zeile ist reserviert für Clark Kent.

Rushjo

@sieben

Natürlich ist die "Sicherheit" damti "verbrannt", aber es sind "WebPacke" gewesen (zu mindestens zum grössten Teil, da wohl die wenigsten kleinen ISP ca. 18.000 Root Server vermieten!) und Leute, die nicht mal merken, das einfach nur Ihre index.html ausgetauscht wurde, die sollen sich Sorgen über "verbrannte Sicherheit" machen? Mhm, irgendwie mag ich das nicht so richtig glauben. Im Sinne der öffentlichen Ordnung wäre es wahrscheinlich besser gewesen, wenn man einfach die Sicherheitslücke ignoriert hätte. ?(

MfG Rushjo

P.S. Wer sagt eigentlich, das sich nicht schon Jemand "Böses" die File mit den Passwörter vorher gezogen hatte?? Damit ist auch das Argument des ISP, das er ja nun neue Passwörter austeilen muss, in meinen Augen kein wirkliches Schadesargument.

sieben

Das ist doch mal echt die Minderheit. Ab wenn Leute wie ich (ab dem naechsten Monat) mit 2-3 Servern ein bisschen Struktur aufbauen, waere das Flurschaden. Okay, nun weiss ich noch ungefaehr was ich da tue und biete Zope und habe damit die Updates relativ zentral in der Hand. Das ich dann wegen doofen phpBBs einpacken kann laesst weitgehend ausschliessen. ;-)

Jein. Aber ich halte das Signal fuer falsch. Wenn calgon.de defaced ist, dann leidet das Image dieser Firma. Das die das aber einer Firma in London in die Hand gedrueckt haben und das am wenigsten einschaetzen koennen was da passiert ist steht auf einem anderen Blatt. Damit wird einfach mal (in vielen Faellen) der falsche an den Pranger gestellt.

MfG Rushjo

ACK

__________________
Diese Zeile ist reserviert für Clark Kent.

Rushjo

Okay, die Jungs vom CCC haben nun die Liste der Defacements offline genommen. Damit sind die Links von oben z.T. nicht mehr erreichbar.

@sieben

Ich wünsche Dir erstmal viel Erfolg bei Deinen geschäftlichen Plänen. Also, soweit ich es verstanden habe, sind die über eine "Guest Book" eines WebSite, die bei der Loomes AG gehostet wurde, an die File gekommen. Dies war kein phpBB, womit sich aber schonmal die Frage stellt, warum man von so einer WebSite aus, seine Rechte soweit ausdehnen kann, dass man auf solch netten Files kommt. Das dies natürlich gerade für den ISP ein sehr grosser Imageschaden ist, ist klar und in meinen Augen leider ein "nicht gewolltes" Übel. Nur wie willst Du Leute auf Ihre Sicherheitslücken hinweisen ohne einen wirksamen Auftritt in der Öffentlichkeit? Ich erinnere mich da an gewisse immer wieder kehrende Diskussionen mit WebSite wegen fehlerhafter Scripte etc. (an dieser Stelle schöne Grüsse an "giga.de - NBC GIGA Community", "pcwelt.de - Community of the PC-WELT - Magazine", "autoscout24.de - online car market und aol.de", in deren Seiten sich nette XSS befanden, die dann aber erst so nach und nach still und heimlich entfernt wurden) und auch Diskussionen auf Mailing Listen wie "full disclosure" etc. bei denen immer von den Herstellern Alles abgestritten wird und behauptet wird: "NEIN, dieser Bug sieht zwar schlimm aus, aber man kann Ihn garnicht ausnutzen", bis dann irgendwer doch mal einen PoC schreibt. Irgendwie reagieren bestimmte Teile der Gesellschaft immer erst auf "Bad Publicity". Leider.

Okay, okay, just my 2 cent....

MfG Rushjo

P.S. Vielleicht sehe ich das auch nur Alles komplett falsch.

Sunstepper

Der Schaden mit der veränderten index ist offensichtlich gering, aber wer kann schon sagen, dass kein schwarzes Schaf irgendwo ein Backdoor reingesetzt oder vertrauliche Daten geklaut hat?

Unabhängig davon: Der Imageschaden für den Begriff "Hacker" ist sicherlich weit größer. Jetzt werden die Hacker mal wieder von den Medien großflächig als dumme unberechenbare Jugendliche dargestellt, die nichts besseres zu tun haben als wahllos unschuldige Websites anzugreifen.
Das ist dann wohl gegen alle "Ethiken" und Aufklärungsbemühungen.

Elderan

Hallo,

Quelle: http://www.heise.de/security/news/meldung/54671

Quelle: http://www.heise.de/security/news/meldung/54684


Und sagt nicht das soetwas "Harmlos" ist?
Stellt euch mal vor, jemand postet die Zugangsdaten zum Habo Webspace und jemand anderes löscht dann z.B. die DB, dann wären ohne Backup alle post verloren.
Aber auch mit Backup wäre es ein großer Aufwand für die Leute das alte System wieder herzustellen.

Und um sicher zu gehen das 18 000 Kunden ein andere PW erhalten, das ist auch mit Arbeit verbunden.
Sowas finde ich gar nicht mehr schön

Prometheus

Ich habe doch nicht gemeint, das es für den Defacer viel Arbeit macht, sondern für den Webmaster so eine Webseite zubasteln. Zwar ist es in größeren Firmen immer mal Gang und gebe Backups zu machen, doch bei Privatanwendern wie im größten Teil der CCC gehackt hat macht solche Backups selten.
Sie sind ja dazu auch nicht verpflichtet.
Ich selbst wäre ganz bestimmt nicht begeistert davon wenn jemand meine Webseite defaced.
Wenn man auch schon daran denkt, das es viele Anwender gibt die sich nicht mit der Sicherheit so gut beschäftigen und ihre Foren z.B. nicht updaten, Falls sie in Firmen angestellt wären, würden sie sicher von ihren Arbeitgeber ausgemekert werden wenn Jemand sich an der Webseite zuschaffen machen würde.
Bei vielen würde es auch zu finanziellen Schäden führen und zu Besucherverlust.

Wie schnell findet man im Internet auch viele Webseiten, die Bugs in vielen Systemen beschreiben oder Schwachstellen verschiedener Webanwendungen aufzeigen: Beispiel wäre z.B.: heisec.de
So kann jeder Hosenscheißer überall einbrechen, velleicht auch nur mit den entschprechenden Tools oder Exploits.
Man würde dabei nicht sehr viel lernen, denn der CCC hatte auch die Seiten selbst ausgewählt und nicht etwa sich die Webseite des CIA vorgenommen.
Auch wenn sie damit versuchen die Leute aufzuklären, das ihre Webseiten nicht sicher sind, wäre es auch völliger Quatsch, denn es gibt nunmal welche die sich nicht mit Sicherheit befassen und ihre Webseite sicher nicht absichern, auch weil viele keine Lust dazu haben oder über Sicherheit nichts wissen.
Jedenfalls hat sich der CCC mit einem egoistischen Script-Kiddietum, den Weltrekordtitel erkämpft. Aber wer würde so einen Titel schon Akzeptieren?

Mackz

Du musst das differenzieren.
Das war keine offizielle Aktion des CCC! Der CCC hat lediglich die Infrastruktur im Rahmen des Congresses bereitgestellt, die der/die Täter nutzten. Dazu muss man nicht einmal Mitglied im CCC sein. Der CCC hat also nichts im geringsten mit der Aktion selbst zu tun.
Zum Thema Skriptkiddie, der CCC schreibt selbst, dass dort ein "offenbar jugendlicher Hacker" am Werk war.
http://www.ccc.de/updates/2004/loomeshack?language=de

__________________
RL sux big time... auch 2012!

Deleting pr0n is like killing your best friend

[HaBo] bei Facebook - Werde Fan

Rushjo

Weiterhin sei nochmal drauf hingewiesen, das auf dem CCC Congress es ein freies und offenes wLan und auch Lan gab, was zwar z.T. nur sehr eingeschränkt funktionierte (wie jedes Jahr beim CCC Congress), aber da konnte Jeder rein. Auch wenn man nur vor dem Gebäude steht!!! Und es war keine organisierte Aktion der Veranstalter, damit ist diese Schadensersatzforderung vom logischen Standpunkt her Schwachsinn.

MfG Rushjo

lowlevel

Man hätte auch im kleinen Rahmen auf Sicherheitslücken hinweisen können.
Ich denke das die defacer es zumindest super hinbekommen haben den Kongress und den CCC in der Öffentlichkeit in ein schlechtes Licht zu rücken, und somit die viele Arbeit, welche sich dort Leute machten um einen kreativen Umgang mit Technik zu demonstrieren und gute Reden zu halten, sowie die Arbeit des Kongress Teams zunichte zu machen.

Das ganze ist nicht die Kleinigkeit als die man sie abtun will. Defacements gab es bisher immer, und ich fand sie auch meistens angebracht und lustig, aber was da lief ist eine Sauerei, zumal die Menschen die das getan haben wohl keinen Funken verantwortungsvolles Handeln an den Tag gelegt haben, und sich wohl gedacht haben müssen: "Nach mir die Sinnflut". Wer's dann am Ende abbekommt (in diesem Fall wohl der ccc e.v.) war ihnen wohl egal. Das hat man davon wenn man Menschen vertraut.
Mit ein bisschen nachdenken hätte man gewusst das es solch hohe Wellen schlägt.
Ich habe keine Lust auf dem nächsten Kongress Überwachung und Einschränkung erfahren zu müssen wegen ein paar Idioten.

Genau so dumm finde ich das Verhalten von loomes übrigens, soll auch gesagt sein.

Elderan

Hallo,
vorallem für die "unwissenden" verstärkt das wieder das Bild des "bösen" Hackers.

Stellt euch vor die Leute lesen morgen in Bild:

P.S. So würde es die Bild schreiben

Prometheus

Sonst ist der CCC schon nicht schlecht und setzt sehr gut mit der Sicherheit auseinander. Es mag velleicht auch schon sein, das die Defacementaktion nicht vom CCC gestartet wurde und nur von enigen Kids die dem angehören, aber da hätten sie sich grundsätzlich von den Kids distanzieren sollen und das auch so kundtun müssen.
@Mackz
Das sieht mir eher aus wie eine defacte Webseite.