DigiTask: Staatstrojaner-Bastler unsicher im Web
Im Zuge der Diskussion um die am Wochenende durch den Chaos Computer Club (CCC) präsentierten Staatstrojaner hat der IT-Security-Berater David Vieira-Kurz die Webseite von DigiTask, dem Unternehmen, dass die Malware im Auftrag der Landesbehörden herstellte, Link veralten (gelöscht).
Bereits bei einem recht oberflächlichen Blick offenbarten sich dabei gravierende Sicherheitsschwächen. "Ich denke es ist wichtig, die Öffentlichkeit darüber aufzuklären, dass hier ein Unternehmen, welches nicht in der Lage ist seine eigene Webpräsenz zu schützen, Software schreibt, mit denen die Bürger ausspioniert werden können", so Vieira-Kurz gegenüber WinFuture.de.
Die Webseite der Firma basiert dabei auf verschiedenen Standard-Technologien, die in der Regel aber in stark veralteten Versionen vorliegen. So kommt als Content Management System (CMS) beispielsweise Joomla in der Version 1.5 zum Einsatz. Diese wurde erstmals Anfang 2008 bereitgestellt. Aktuell ist die Fassung 1.7, bis zu der verschiedene Sicherheitslücken geschlossen wurden.
Auf die Login-Seite zum Admininstrationsbereich des CMS kann ohne weitere Beschränkung aus dem ganzen Netz zugegriffen werden. Was bei privaten Blogs üblich ist, sollte beim Betrieb einer Unternehmens-Webseite allerdings nicht der Fall sein. Eine Einschränkung auf das Firmennetz wäre hier beispielsweise geboten. Das System gibt außerdem Fehlermeldungen aus, aus denen sich die Pfad-Struktur auf dem Server ableiten lässt.
Auch die auf dem Webserver eingesetzte Version 4.4.9 der Skriptsprache PHP ist auf dem Stand des Jahres 2008. In ihr sind eine ganze Reihe von Sicherheitslücken vorhanden, die schon lange öffentlich gut dokumentiert sind. Will man über die Webseite Kontakt zu DigiTask aufnehmen, werden die Daten aus dem entsprechenden Formular außerdem unverschlüsselt an den Webserver übertragen, obwohl hier aus Datenschutzgründen inzwischen eine SSL-Verbindung üblich ist.
Die Konfiguration der DigiTask-Webseite sei laut Vieira-Kurz "einfach peinlich". Selbst bei preiswerten Webhostern bekomme man für einen geringen Betrag heute bereits deutlich besser geschützte Systeme, die auf dem neuesten Stand sind. Insbesondere für eine Firma, die im Security-Bereich tätig ist und hochsensible Anwendungen bereitstellen will, ist die DigiTask-Webseite eine äußerst misslungene Visitenkarte.
Quelle: winfuture
Im Zuge der Diskussion um die am Wochenende durch den Chaos Computer Club (CCC) präsentierten Staatstrojaner hat der IT-Security-Berater David Vieira-Kurz die Webseite von DigiTask, dem Unternehmen, dass die Malware im Auftrag der Landesbehörden herstellte, Link veralten (gelöscht).
Bereits bei einem recht oberflächlichen Blick offenbarten sich dabei gravierende Sicherheitsschwächen. "Ich denke es ist wichtig, die Öffentlichkeit darüber aufzuklären, dass hier ein Unternehmen, welches nicht in der Lage ist seine eigene Webpräsenz zu schützen, Software schreibt, mit denen die Bürger ausspioniert werden können", so Vieira-Kurz gegenüber WinFuture.de.
Die Webseite der Firma basiert dabei auf verschiedenen Standard-Technologien, die in der Regel aber in stark veralteten Versionen vorliegen. So kommt als Content Management System (CMS) beispielsweise Joomla in der Version 1.5 zum Einsatz. Diese wurde erstmals Anfang 2008 bereitgestellt. Aktuell ist die Fassung 1.7, bis zu der verschiedene Sicherheitslücken geschlossen wurden.
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
Auf die Login-Seite zum Admininstrationsbereich des CMS kann ohne weitere Beschränkung aus dem ganzen Netz zugegriffen werden. Was bei privaten Blogs üblich ist, sollte beim Betrieb einer Unternehmens-Webseite allerdings nicht der Fall sein. Eine Einschränkung auf das Firmennetz wäre hier beispielsweise geboten. Das System gibt außerdem Fehlermeldungen aus, aus denen sich die Pfad-Struktur auf dem Server ableiten lässt.
Auch die auf dem Webserver eingesetzte Version 4.4.9 der Skriptsprache PHP ist auf dem Stand des Jahres 2008. In ihr sind eine ganze Reihe von Sicherheitslücken vorhanden, die schon lange öffentlich gut dokumentiert sind. Will man über die Webseite Kontakt zu DigiTask aufnehmen, werden die Daten aus dem entsprechenden Formular außerdem unverschlüsselt an den Webserver übertragen, obwohl hier aus Datenschutzgründen inzwischen eine SSL-Verbindung üblich ist.
Die Konfiguration der DigiTask-Webseite sei laut Vieira-Kurz "einfach peinlich". Selbst bei preiswerten Webhostern bekomme man für einen geringen Betrag heute bereits deutlich besser geschützte Systeme, die auf dem neuesten Stand sind. Insbesondere für eine Firma, die im Security-Bereich tätig ist und hochsensible Anwendungen bereitstellen will, ist die DigiTask-Webseite eine äußerst misslungene Visitenkarte.
Quelle: winfuture
