CCC Congress in Berlin mit neuen Rekord im "Mass Defacement"

[Rushjo]

Wie auf den Seiten vom CCC Wiki lesen kann, fiel den eifrigen "usual suspects" des CCC Congress beim "dezenten Hinweisen" auf Sicherheitsproblemen im World Wide Web eine kleine Datei mit über 18.000 Passwörter für WebSites in die Hände. Das wohl der neue Weltrekord im "Mass Defacement" werden, wobei das "Defacen" momentan noch andauert. Bisher hat zone-h.org noch garkeine Notiz hiervon genommen. Der betroffene kleine ISP (wahrscheinlich die Loomes AG), der dem CCC wohl sogar nahe steht, hat sich beim CCC Congress beschwert und sich über das "verantwortungslose" Verhalten der Hacker beschwert. Auch das BKA hat darauf hin dem CCC Congress noch den "obligatorischen" Besuch abgestattet, wobei dies aber ganz "entspannt" verlief.

Tja, schauen wir mal, ob zone-h.org diesen neuen Weltrekord Versuch auch aktzeptiert. *gg* Die Jungs vom Guisness Rekord Buch werden es wohl eher weniger zu schätzen wissen.

MfG Rushjo

[NACHTRAG]
Wie auf heise.de zu lesen ist, handelt es sich scheinbar doch um die Loomes AG. Weiterhin wurde ein Forum vom OnlineGame "Everquest" gehackt. Darüber haben sich die User des Forum bitterlich beschwert, denn dies sei das Todesurteil des Forums gewesen, das der zuständige Admin sich schon länger verabschiedet hätte es und nun keinerlei technisch Befähigten zum Weiterbetrieb geben würde. Weiterhin wurde ausgeführt, sie hätten das Board "sicherheitstechnisch" bisher nicht geupdatet, weil es keinerlei "kritische" Daten enthalten würde. Tja, ""wer nicht hören will, muss Backups einspielen..." (= Originalzitat vom CCC Congress). *fg*
[/NACHTRAG]

 

[Prometheus]

Ich finde es nicht toll, das es Leute gibt wie die vom CCC den ich soetwas nicht zugetraut habe, auf Kosten anderer um Rekorde zu kämpfen.
Ich kannte zwar die Webseite nicht, aber ich weiß wieviel Arbeit so eine Webseite macht.

 

[Rushjo]

[SARKASMUS ANFANG]
Ja, es ist extrem viel Arbeit, wenn der Defacer die Original-index.html als index.html_old sichert und dann eine neue index.html erstellt. Man braucht bestimmt einen "master of scienes" oder ein abgeschlossenes Informatik-Studium, um dann die Original-index.html einfach wieder in index.html zurück zubenennen.
[/SARKASMUS ENDE]

Ich weise mal kurz drauf hin, das man auch ganz andere Sachen hätte machen können.

MfG Rushjo

 

[sieben]

Original von Rushjo
Ich weise mal kurz drauf hin, das man auch ganz andere Sachen hätte machen können.

Eben. Und weil man genau das nach einem Hack nicht ausschliessen kann (oder zumindest sehr selten) kostet das letzlich sehr viel eine ausgefallene Box neu aufzusetzen.

Okay. Defacements sind nett und Tradition, aber irgendwelche Leute unter der Verpeiltheit ihrer Admins leiden zu lassen ist mindestens ebenso uncool wie irgendwelche ungefixten phpBBs aufzumachen.

 

[Rushjo]

@sieben

Natürlich ist die "Sicherheit" damti "verbrannt", aber es sind "WebPacke" gewesen (zu mindestens zum grössten Teil, da wohl die wenigsten kleinen ISP ca. 18.000 Root Server vermieten!) und Leute, die nicht mal merken, das einfach nur Ihre index.html ausgetauscht wurde, die sollen sich Sorgen über "verbrannte Sicherheit" machen? Mhm, irgendwie mag ich das nicht so richtig glauben. Im Sinne der öffentlichen Ordnung wäre es wahrscheinlich besser gewesen, wenn man einfach die Sicherheitslücke ignoriert hätte. ?(

MfG Rushjo

P.S. Wer sagt eigentlich, das sich nicht schon Jemand "Böses" die File mit den Passwörter vorher gezogen hatte?? Damit ist auch das Argument des ISP, das er ja nun neue Passwörter austeilen muss, in meinen Augen kein wirkliches Schadesargument.

 

[sieben]

Original von Rushjo
@sieben

Natürlich ist die "Sicherheit" damti "verbrannt", aber es sind "WebPacke" gewesen (zu mindestens zum grössten Teil, da wohl die wenigsten kleinen ISP ca. 18.000 Root Server vermieten!)

Das ist doch mal echt die Minderheit. Ab wenn Leute wie ich (ab dem naechsten Monat) mit 2-3 Servern ein bisschen Struktur aufbauen, waere das Flurschaden. Okay, nun weiss ich noch ungefaehr was ich da tue und biete Zope und habe damit die Updates relativ zentral in der Hand. Das ich dann wegen doofen phpBBs einpacken kann laesst weitgehend ausschliessen. ;-)

und Leute, die nicht mal merken, das einfach nur Ihre index.html ausgetauscht wurde, die sollen sich Sorgen über "verbrannte Sicherheit" machen? Mhm, irgendwie mag ich das nicht so richtig glauben. Im Sinne der öffentlichen Ordnung wäre es wahrscheinlich besser gewesen, wenn man einfach die Sicherheitslücke ignoriert hätte. ?(

Jein. Aber ich halte das Signal fuer falsch. Wenn calgon.de defaced ist, dann leidet das Image dieser Firma. Das die das aber einer Firma in London in die Hand gedrueckt haben und das am wenigsten einschaetzen koennen was da passiert ist steht auf einem anderen Blatt. Damit wird einfach mal (in vielen Faellen) der falsche an den Pranger gestellt.

MfG Rushjo

P.S. Wer sagt eigentlich, das sich nicht schon Jemand "Böses" die File mit den Passwörter vorher gezogen hatte?? Damit ist auch das Argument des ISP, das er ja nun neue Passwörter austeilen muss, in meinen Augen kein wirkliches Schadesargument.

ACK

 

[Rushjo]

Okay, die Jungs vom CCC haben nun die Liste der Defacements offline genommen. Damit sind die Links von oben z.T. nicht mehr erreichbar.

@sieben

Ich wünsche Dir erstmal viel Erfolg bei Deinen geschäftlichen Plänen. Also, soweit ich es verstanden habe, sind die über eine "Guest Book" eines WebSite, die bei der Loomes AG gehostet wurde, an die File gekommen. Dies war kein phpBB, womit sich aber schonmal die Frage stellt, warum man von so einer WebSite aus, seine Rechte soweit ausdehnen kann, dass man auf solch netten Files kommt. Das dies natürlich gerade für den ISP ein sehr grosser Imageschaden ist, ist klar und in meinen Augen leider ein "nicht gewolltes" Übel. Nur wie willst Du Leute auf Ihre Sicherheitslücken hinweisen ohne einen wirksamen Auftritt in der Öffentlichkeit? Ich erinnere mich da an gewisse immer wieder kehrende Diskussionen mit WebSite wegen fehlerhafter Scripte etc. (an dieser Stelle schöne Grüsse an "giga.de - NBC GIGA Community", "pcwelt.de - Community of the PC-WELT - Magazine", "autoscout24.de - online car market und aol.de", in deren Seiten sich nette XSS befanden, die dann aber erst so nach und nach still und heimlich entfernt wurden) und auch Diskussionen auf Mailing Listen wie "full disclosure" etc. bei denen immer von den Herstellern Alles abgestritten wird und behauptet wird: "NEIN, dieser Bug sieht zwar schlimm aus, aber man kann Ihn garnicht ausnutzen", bis dann irgendwer doch mal einen PoC schreibt. Irgendwie reagieren bestimmte Teile der Gesellschaft immer erst auf "Bad Publicity". Leider.

Okay, okay, just my 2 cent....

MfG Rushjo

P.S. Vielleicht sehe ich das auch nur Alles komplett falsch.

 

[Sunstepper]

Der Schaden mit der veränderten index ist offensichtlich gering, aber wer kann schon sagen, dass kein schwarzes Schaf irgendwo ein Backdoor reingesetzt oder vertrauliche Daten geklaut hat?

Unabhängig davon: Der Imageschaden für den Begriff "Hacker" ist sicherlich weit größer. Jetzt werden die Hacker mal wieder von den Medien großflächig als dumme unberechenbare Jugendliche dargestellt, die nichts besseres zu tun haben als wahllos unschuldige Websites anzugreifen.
Das ist dann wohl gegen alle "Ethiken" und Aufklärungsbemühungen.

 

[Elderan]

Hallo,

Ich weise mal kurz drauf hin, das man auch ganz andere Sachen hätte machen können.

Überdies ist momentan ein "Massenhack" am Laufen, mit dem die Sicherheitsexperten auf eine lückenhafte Implementierung der Datenbank MySQL beim Webhoster Loomes aufmerksam machen wollen. Der Fehler, der laut den Chaoten Schuld hat an der Offenlegung der FTP-Zugangsdaten und der kompletten Datenbank von über 18.000 Kunden, soll an zahlreichen Sites vorexerziert werden. Betroffen ist etwa die Site Bioseek.de.

Quelle: http://www.heise.de/security/news/meldung/54671

Vorab hatten sich die Ereignisse regelrecht überschlagen: Jemand aus dem Congress-Umfeld hatte sich aufgrund einer fehlerhaft implementierten Datenbank beim Webhoster Loomes in den Besitz sämtlicher Datenbanken der Kunden sowie der FTP-Zugangsdaten zu ihren Webimmobilien gebracht, diese wiederum über die gehackten Sites öffentlich zur Verfügung gestellt und so die Welle an Folgeaktionen ausgelöst.

Quelle: http://www.heise.de/security/news/meldung/54684


Und sagt nicht das soetwas "Harmlos" ist?
Stellt euch mal vor, jemand postet die Zugangsdaten zum Habo Webspace und jemand anderes löscht dann z.B. die DB, dann wären ohne Backup alle post verloren.
Aber auch mit Backup wäre es ein großer Aufwand für die Leute das alte System wieder herzustellen.

Und um sicher zu gehen das 18 000 Kunden ein andere PW erhalten, das ist auch mit Arbeit verbunden.
Sowas finde ich gar nicht mehr schön

 

[Prometheus]

Original von Rushjo
[SARKASMUS ANFANG]
Ja, es ist extrem viel Arbeit, wenn der Defacer die Original-index.html als index.html_old sichert und dann eine neue index.html erstellt.

Ich habe doch nicht gemeint, das es für den Defacer viel Arbeit macht, sondern für den Webmaster so eine Webseite zubasteln. Zwar ist es in größeren Firmen immer mal Gang und gebe Backups zu machen, doch bei Privatanwendern wie im größten Teil der CCC gehackt hat macht solche Backups selten.
Sie sind ja dazu auch nicht verpflichtet.
Ich selbst wäre ganz bestimmt nicht begeistert davon wenn jemand meine Webseite defaced.
Wenn man auch schon daran denkt, das es viele Anwender gibt die sich nicht mit der Sicherheit so gut beschäftigen und ihre Foren z.B. nicht updaten, Falls sie in Firmen angestellt wären, würden sie sicher von ihren Arbeitgeber ausgemekert werden wenn Jemand sich an der Webseite zuschaffen machen würde.
Bei vielen würde es auch zu finanziellen Schäden führen und zu Besucherverlust.

Wie schnell findet man im Internet auch viele Webseiten, die Bugs in vielen Systemen beschreiben oder Schwachstellen verschiedener Webanwendungen aufzeigen: Beispiel wäre z.B.: heisec.de
So kann jeder Hosenscheißer überall einbrechen, velleicht auch nur mit den entschprechenden Tools oder Exploits.
Man würde dabei nicht sehr viel lernen, denn der CCC hatte auch die Seiten selbst ausgewählt und nicht etwa sich die Webseite des CIA vorgenommen.
Auch wenn sie damit versuchen die Leute aufzuklären, das ihre Webseiten nicht sicher sind, wäre es auch völliger Quatsch, denn es gibt nunmal welche die sich nicht mit Sicherheit befassen und ihre Webseite sicher nicht absichern, auch weil viele keine Lust dazu haben oder über Sicherheit nichts wissen.
Jedenfalls hat sich der CCC mit einem egoistischen Script-Kiddietum, den Weltrekordtitel erkämpft. Aber wer würde so einen Titel schon Akzeptieren?

 

[Mackz]

Original von Prometheus
doch bei Privatanwendern wie im größten Teil der CCC gehackt hat
...
denn der CCC hatte auch die Seiten selbst ausgewählt
...
Jedenfalls hat sich der CCC mit einem egoistischen Script-Kiddietum, den Weltrekordtitel erkämpft

Du musst das differenzieren.
Das war keine offizielle Aktion des CCC! Der CCC hat lediglich die Infrastruktur im Rahmen des Congresses bereitgestellt, die der/die Täter nutzten. Dazu muss man nicht einmal Mitglied im CCC sein. Der CCC hat also nichts im geringsten mit der Aktion selbst zu tun.
Zum Thema Skriptkiddie, der CCC schreibt selbst, dass dort ein "offenbar jugendlicher Hacker" am Werk war.
http://www.ccc.de/updates/2004/loomeshack?language=de

 

[Rushjo]

Weiterhin sei nochmal drauf hingewiesen, das auf dem CCC Congress es ein freies und offenes wLan und auch Lan gab, was zwar z.T. nur sehr eingeschränkt funktionierte (wie jedes Jahr beim CCC Congress), aber da konnte Jeder rein. Auch wenn man nur vor dem Gebäude steht!!! Und es war keine organisierte Aktion der Veranstalter, damit ist diese Schadensersatzforderung vom logischen Standpunkt her Schwachsinn.

MfG Rushjo

 

[lowlevel]

Man hätte auch im kleinen Rahmen auf Sicherheitslücken hinweisen können.
Ich denke das die defacer es zumindest super hinbekommen haben den Kongress und den CCC in der Öffentlichkeit in ein schlechtes Licht zu rücken, und somit die viele Arbeit, welche sich dort Leute machten um einen kreativen Umgang mit Technik zu demonstrieren und gute Reden zu halten, sowie die Arbeit des Kongress Teams zunichte zu machen.

Das ganze ist nicht die Kleinigkeit als die man sie abtun will. Defacements gab es bisher immer, und ich fand sie auch meistens angebracht und lustig, aber was da lief ist eine Sauerei, zumal die Menschen die das getan haben wohl keinen Funken verantwortungsvolles Handeln an den Tag gelegt haben, und sich wohl gedacht haben müssen: "Nach mir die Sinnflut". Wer's dann am Ende abbekommt (in diesem Fall wohl der ccc e.v.) war ihnen wohl egal. Das hat man davon wenn man Menschen vertraut.
Mit ein bisschen nachdenken hätte man gewusst das es solch hohe Wellen schlägt.
Ich habe keine Lust auf dem nächsten Kongress Überwachung und Einschränkung erfahren zu müssen wegen ein paar Idioten.

Genau so dumm finde ich das Verhalten von loomes übrigens, soll auch gesagt sein.

 

[Elderan]

Hallo,
vorallem für die "unwissenden" verstärkt das wieder das Bild des "bösen" Hackers.

Stellt euch vor die Leute lesen morgen in Bild:

Massenhack
Wie jedes Jahr vertrafen sich zwischen dem 27.12 und 29.12 Hacker aus aller Welt in Berlin zu einer Großversamlung, veranstaltet vom CCC Deutschland, einer bekannten Hackervereinigung.
Von dieser Hackerversammlung wurde ein Massenhack gestartet, der insgesamt rund 18 000 Websites lahm legte.
Der gesamt Schaden wird mehrer Hunderttausend Euro betraten.
Und so weiter und so fort.

P.S. So würde es die Bild schreiben

 

[Prometheus]

Sonst ist der CCC schon nicht schlecht und setzt sehr gut mit der Sicherheit auseinander. Es mag velleicht auch schon sein, das die Defacementaktion nicht vom CCC gestartet wurde und nur von enigen Kids die dem angehören, aber da hätten sie sich grundsätzlich von den Kids distanzieren sollen und das auch so kundtun müssen.
@Mackz
Das sieht mir eher aus wie eine defacte Webseite.