1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

DigiTask: Staatstrojaner-Bastler unsicher im Web

Dieses Thema im Forum "PC&Internet News" wurde erstellt von Anderl, 12. Oktober 2011.

  1. Anderl
    Offline

    Anderl Administrator Digital Eliteboard Team

    Registriert:
    30. November 2007
    Beiträge:
    17.347
    Zustimmungen:
    99.638
    Punkte für Erfolge:
    113
    Geschlecht:
    männlich
    DigiTask: Staatstrojaner-Bastler unsicher im Web

    Im Zuge der Diskussion um die am Wochenende durch den Chaos Computer Club (CCC) präsentierten Staatstrojaner hat der IT-Security-Berater David Vieira-Kurz die Webseite von DigiTask, dem Unternehmen, dass die Malware im Auftrag der Landesbehörden herstellte,

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    .
    Bereits bei einem recht oberflächlichen Blick offenbarten sich dabei gravierende Sicherheitsschwächen. "Ich denke es ist wichtig, die Öffentlichkeit darüber aufzuklären, dass hier ein Unternehmen, welches nicht in der Lage ist seine eigene Webpräsenz zu schützen, Software schreibt, mit denen die Bürger ausspioniert werden können", so Vieira-Kurz gegenüber WinFuture.de.
    Die Webseite der Firma basiert dabei auf verschiedenen Standard-Technologien, die in der Regel aber in stark veralteten Versionen vorliegen. So kommt als Content Management System (CMS) beispielsweise Joomla in der Version 1.5 zum Einsatz. Diese wurde erstmals Anfang 2008 bereitgestellt. Aktuell ist die Fassung 1.7, bis zu der verschiedene Sicherheitslücken geschlossen wurden.


    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?




    Auf die Login-Seite zum Admininstrationsbereich des CMS kann ohne weitere Beschränkung aus dem ganzen Netz zugegriffen werden. Was bei privaten Blogs üblich ist, sollte beim Betrieb einer Unternehmens-Webseite allerdings nicht der Fall sein. Eine Einschränkung auf das Firmennetz wäre hier beispielsweise geboten. Das System gibt außerdem Fehlermeldungen aus, aus denen sich die Pfad-Struktur auf dem Server ableiten lässt.
    Auch die auf dem Webserver eingesetzte Version 4.4.9 der Skriptsprache PHP ist auf dem Stand des Jahres 2008. In ihr sind eine ganze Reihe von Sicherheitslücken vorhanden, die schon lange öffentlich gut dokumentiert sind. Will man über die Webseite Kontakt zu DigiTask aufnehmen, werden die Daten aus dem entsprechenden Formular außerdem unverschlüsselt an den Webserver übertragen, obwohl hier aus Datenschutzgründen inzwischen eine SSL-Verbindung üblich ist.
    Die Konfiguration der DigiTask-Webseite sei laut Vieira-Kurz "einfach peinlich". Selbst bei preiswerten Webhostern bekomme man für einen geringen Betrag heute bereits deutlich besser geschützte Systeme, die auf dem neuesten Stand sind. Insbesondere für eine Firma, die im Security-Bereich tätig ist und hochsensible Anwendungen bereitstellen will, ist die DigiTask-Webseite eine äußerst misslungene Visitenkarte.


    Quelle: winfuture
     
    #1
    alex0373, EnricoPalazzo und nino2603 gefällt das.

Diese Seite empfehlen