Werbung
Amazon.de VISA-Karte: Jetzt mit 40 € Startgutschrift


Die CSU ist ein IT-Sicherheitsalbtraum

Meldung von doelf, Freitag der 06.11.2020, 15:16:47 Uhr

In Zeiten des Digitalisierungs-Wahn hat sich der Sicherheitsexperte Heiko Frenzel die Systeme im Freistaat mit der High-Tech Agenda, vormals auch als Bayern bekannt, angesehen und traf dabei insbesondere bei der CSU auf vollumfängliche Digital-Unfähigkeit. Der CSU-Landtag erreichte dabei das Prädikat Worst-Case-Situation, denn seine Datenbank ließ sich ganz einfach kopieren und die Passwörter waren mit MD5 geschützt.

Webseite und Datenbankserver angreifbar
Wie Frenzel berichtet, boten sich zahlreichen Möglichkeiten für Cross-Site-Scripting (XSS), wobei sich dem Server auch komplexe Scripte unterschieben ließen. Über diese Schwachstellen hätten Angreifer die Sitzungen von Benutzern übernehmen, Phishing-Angriffe durchführen, Schadprogramme verteilen oder die Webseiten Umdekorieren bzw. mit eigenen Inhalten füllen können. Mit etwas Aufwand wäre auch eine Übernahme der Server denkbar gewesen, doch normales Phishing kostet - die Angelfreunde aus der CSU werden dies wissen - oft sehr viel Zeit, weshalb der CSU-Landtag für eilige Hacker sozusagen eine Möglichkeit zum superschnellen Sprengstoff-Phishing integriert hatte: Per SQL-Injection ließ sich die komplette Datenbank abgreifen! Inklusive der Zugangsdaten zum Intranet der Partei.

Schlechte Passwörter mies verschlüsselt
Das Positive bei dieser SQL-Injection: Frenzel konnte keine Dateirechte erlangen. Das Negative: Die rund 300 Zugangsdaten von Abgeordneten und Mitarbeitern waren durch MD5-Hashes geschützt und die Passwörter waren alles andere als sicher. MD5 wurde 1991 von Ronald L. Rivest entwickelt. Bereits drei Jahre später konnten Bert den Boer und Antoon Bosselaers Pseudokollisionen nachweisen und 1996 fand Hans Dobbertin eine echte Hash-Wert-Kollision für zwei unterschiedliche Nachrichten. Auf Basis dieser Erkenntnisse wurden Angriffe auf MD5 immer weiter optimiert und lassen sich heutzutage zeitnah umsetzen. Insbesondere wenn Passwörter kurz oder sehr simpel sind. Als abschreckendes Beispiel sei andi2020 genannt, doch auch Ministerpräsident Markus KI Söder begnügt sich mit acht Zeichen der Einfalt.

Als Krönung eine File-Inclusion obendrauf
Jetzt müsste man nur noch beliebige Dateien vom Server laden können und die Blamage wäre perfekt. Und da sich die CSU Perfektion auf die Parteifahne geschrieben hat (oder war das die Bierfahne am abendlichen Stammtisch?) war auch dieses Feature vorhanden. Die Belohnung: Zusätzlich 500 Zugangsdaten der CSU-Landtagsabgeordneten für Datenbanken, E-Mail- und FTP-Konten, Newsletter-Systemen sowie weitere Dienste. Der Fundort: Eine Konfigurationsdatei im öffentlichen Verzeichnis des Servers! Der Generalschlüssel lag also nicht einmal unter der einzigen Blumenschale, die vor der Haustüre steht, sondern wurde mit einem rostigen Nagel gleich neben das Schloss gehämmert. Der einzige Lichtblick: Die Betreiber zeigten sich kooperativ und reagierten sehr schnell.

Auch virtuelles.bayern.de angreifbar
Das Portal virtuelles.bayern.de, welches vom bayerischen Landesamt für Digitalisierung, Breitband und Vermessung (LDBV) betrieben wird, offenbarte eine weitere Sicherheitslücke, die Frenzel beim Betreiber und dem Bayern-CERT (Cyber Emergency Response Team) meldete. Zumindest das Bayern-CERT reagierte blitzschnell und ließ den Fehler beseitigen. Zudem kündigte das Bayern-CERT einen intensiven Penetrationstest des gesamten Portals an.

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]