Aktuelle Hacker-Angriffe auf Regierungsserver

[Hackse]

Jeder von Euch hat i.d. letzten Wochen i.d. Medien diverse, erfolgreiche Hacker-Angriffe auf Regierungsserver und weitere Konzerne mitbekommen, die CIA, Paypal, Polizeipräsidien, das Pentagon, Sony, ... die Liste wird täglich länger.

Hierunter sind zum Teil DDOS Angriffe zu verzeichnen, zum anderen Teil jedoch auch "echte Einbrüche" mit Datendiebstahl.

Da stellt sich mir die Frage:

Existieren in den aktuellen Apache-Versionen (und anderen Webservern) diverse Sicherheitslücken, die via Zero-Day Exploit ausgenutzt werden oder gelang hier der Einbruch jedes Mal über das Ausnutzen von Implementierungsschwächen via SQL-Injection, etc.?

Was meint ihr?

 

[bitmuncher]

Wenn man den Informationen der Medien glauben darf, waren zumeist Tools wie phpmyadmin und sonstige Webapps die Lücken. Gerüchte über 0-Days im Apache sind bisher nicht bestätigt. Solange allerdings XAMPP auf Servern von Staatsorganen läuft, muss man sich wohl kaum wundern, dass dort erfolgreich eingebrochen wurde. Siehe dazu z.B. auch http://www.hackerboard.de/news-ankuendigungen/44198-server-der-bundespolizei-ausspioniert.html

 

[Hackse]

Mir erschließt sich nicht warum sogar diverse Unternehmen, die sich selbst als Sicherheitsfirmen bezeichnen, Software wie LAMP und XAMPP im Inet stehen haben und dort deren Daten unverschlüsselt in der DB liegen haben.

Sind die wirklich alle so dämlich?

 

[bitmuncher]

Die sogenannten Sicherheitsunternehmen sind fast alle auf Windows spezialisiert und wenn sie es mal mit einem Linux-Rechner zu tun bekommen, sind sie zumeist überfordert. Allerdings würde ich ein Unternehmen, das GPS-Tracking-Software entwickelt, auch nicht unbedingt als Sicherheitsfirma bezeichnen. An der Stelle hat schlicht und einfach das BSI versagt, das die Sicherheit der staatlichen Rechner und die Einhaltung von Sicherheitsrichtlinien sicherzustellen hat.

Man sollte also nicht fragen warum die Unternehmen so handeln, sondern warum das BSI sowas zulässt. Hätten anständige Sicherheitstests stattgefunden, wären diese Schwachstellen sofort aufgefallen und sie hätten vor dem Launch behoben werden können. So funktioniert es normalerweise in der Software-Entwicklung.

 

[Hackse]

Ich sehe es nicht ausschließlich als BSI-Problem oder Problem der deutschen Behörden an. Schließlich wurden im Ausland ebenso diverse Server gehackt. Es ist ein weltweites Problem.

Windows-Leute an Linux-Server ranlassen klingt mutig.

 

[bitmuncher]

Aber hier in Deutschland haben wir eine Kontrollinstanz, die solche gravierenden Sicherheitsmängel eigentlich verhindern sollte. In vielen anderen Ländern ist das nicht der Fall.

 

[enkore]

Man kann sich eigentlich recht sicher sein, dass ernsthafte Lücken in den großen Webserver (Apache, nginx, IIS) ziemlich schnell sehr intensiv ausgenutzt würden. Die meisten Attacken wurden nach meinem Kenntnisstand per sqli, css oder eben code execution durchgeführt. Hauptproblem sind halt die vielen selbstgebastelten CMS, die meisten nur so vor Sicherheitslücken strotzen. Zumindest in Hinsicht auf Sicherheit lohnt es sich praktisch immer verbreitete CMS wie Drupal (was ja ohnehin als sehr sicher gilt und ist) oder Typo3 zu verwenden (Wordpress hat viele Lücken und ist kein CMS, Joomla hat viele Lücken und hat kein System im Inhalt)