symlink.ch
Wissen Vernetzt - deutsche News für die Welt
 
symlink.ch
FAQ
Mission
Über uns
Richtlinien
Moderation
Einstellungen
Story einsenden
Suchen & Index
Ruhmeshalle
Statistiken
Umfragen
Redaktion
Themen
Partner
Planet
XML | RDF | RSS
PDA | WAP | IRC
Symbar für Opera
Symbar für Mozilla

Freunde
Benutzergruppen
LUG Switzerland
LUG Vorarlberg
LUGen in DE
SIUG
CCCZH
Organisationen
Wilhelm Tux
FSF Europe
Events
LinuxDay Dornbirn
BBA Schweiz
CoSin in Bremgarten AG
VCFe in München
Menschen
maol
Flupp
Ventilator
dawn
gumbo
krümelmonster
XTaran
maradong
tuxedo

 
Peter Huth und die Sicherheit
Veröffentlicht durch Raffzahn am Donnerstag 26. August 2004, 20:13
Aus der tiefflug Abteilung
Security Ein anonymer Feigling hat uns auf einen Fall mediengerechter (oder besser medienverursachter) staatlicher Geldverschwendung aufmerksam gemacht: "Peter Huth - der Internet Experte von SAT.1 - hat offensichtlich bei der Berliner Polizei Anzeige gegen Unbekannt wegen der möglichen Ausspähung von Kreditkartendaten gestellt. Wie eine Heisemeldung berichtet, ging ein Link zu den Informationen auf der Firmenseite mychannel.de (bzw. dialersiegel.de) längere Zeit durch einschlägige Foren." Nicht stöhnen, es ist ein neues lustiges Kapitel in der alten Geschichte...

Der anonyme Feigling schreibt weiter: "In dem Schreiben werden Firmen (bisher weiß ich nichts von Privatpersonen) (von der Staatsanwaltschaft Berlin) aufgefordert mitzuteilen, wer zur entsprechenden Zeit mit der mitgeteilten IP-Adresse auf den Web-Server zugegriffen und/oder die Kreditkartendaten 'missbraucht' hat.

Meine Meinung: Die Staatsanwaltschaft hat wohl jetzt kistenweise Briefe abgeladen und diese gehen auf Staatskosten raus. Es werden hier unnötige Kosten generiert, die im Endeffekt zu nichts führen. Oftmals ging der Link kommentarlos durch's IRC und ich kann mir gut vorstellen, dass da Hunderte 'blind' draufgeklickt haben."

Hmm... Mal ab davon, dass das schon was MS-mässiges hat (*1), denke ich, es ist, ganz einfach, ein Versuch von Herrn Huth zu vermeiden selbst in die Schußlinie zu kommen, weil es ja die eigene Nachläßigkeit war, daß diese Daten überhaupt zugänglich waren (*2). Frei nach der alten Regel, wer Feurio schreit kanns nicht gewesen sein.

Denn, wenn er nix macht, kommt das einem Eingeständnis des Fehlverhaltens gleich, was die Regresspflicht gegenüber den Kunden, deren Kartennummern so in die Öffentlichkeit glangten, unterstreichen würde.

Letztendlich ist es aber doch so: Was immer man auf einen Webserver legt, ist per se öffentlich - Punkt-

Man kann natürlich versuchen den Server etwas sicherer zu machen, in dem man darauf achtet, daß es keinerlei Eingaben gibt die auf Daten ausserhalb dessen, was man den Besuchern zeigen will, zugreifen, aber wirklich sicher wird es nie. Besonders wenn dann PHP & Co. ins Spiel kommen. Der Webserver selber mag ja noch zuverläßig alle Pfade prüfen, spätestens bei Bastlerskripten ist Schluß damit.

In diesem Fall wurden aber sogar die simpelsten Vosichtsmaßnahmen versäumt: Die Datei unter einem anderen User abzulegen, so daß bei einem Zugriff ein Fehler kommt.

Hübsch ist auch der hier (Vorsicht, man wird auf einer ewiglichen (*3) Liste der pösen Puben und Mädls verewigt), gefunden in einen Thread auf Tuxbox.org. Da konnte man glatt die etc/passwd auslesen. Der Mann hat's wirklich drauf. Vor allem da er es geschaft hat das Loch zu stopfen ... nach wochenlangen Gelächter im Netz. Dafür jetzt mit richtig peinlichem Text:

Hallo liebe(R) Besucher(In), Sie haben gerade einen illegalen Zugriff auf meinen Server versucht. Datum, Uhrzeit und Ihre IP Adresse werden gespeichert.
- tscha, wenn man von eigenen Fehlern ablenken muß, dann unterstellt man anderen gerne 'was Böses.

Eigentlich ein Thema fürs WzS, aber zu schön um es Euch bis morgen Abend vorzuenthalten :)

---

*1 - Alle die Sicherheitslücken finden sind böse Hacker und alle Info darüber gehört geheimgehalten

*2 - Zum einen, daß die Daten überhaupt auf dem Server 'vergessen' wurden (Siehe Heiseartikel), als auch, daß es überhaupt möglich war die 'vergessene' Datei zu adressieren.

*3 - Schade eigentlich, daß es bei den heutigen Plattengrößen fast unmöglich ist Logfiles zum überlaufen zu bringen :(

Computer für Teenager entwickelt | Druckausgabe | Mahnung per Spam?  >

 

 
symlink.ch Login
Login:

Passwort:

extrahierte Links
  • PHP
  • Heise
  • Slashdot
  • Internet Experte
  • Heisemeldung
  • mychannel.de
  • der hier
  • Tuxbox.org
  • WzS
  • Mehr zu Security
  • Auch von Raffzahn
    •

    Diese Diskussion wurde archiviert. Es können keine neuen Kommentare abgegeben werden.
    huah.. (Score:0)
    Von Anonymer Feigling am Thursday 26. August 2004, 22:02 MEW (#1)
    /etc/passwd nützt nicht sehr viel. Interessanter wäre schon /etc/shadow
    Re: huah.. (Score:0)
    Von Anonymer Feigling am Thursday 26. August 2004, 22:22 MEW (#2)
    sehr gut bemerkt
    Re: huah.. (Score:1)
    Von bhaak (bhaak@gmx.net) am Friday 27. August 2004, 00:34 MEW (#5)
    (User #1161 Info) http://bhaak.dyndns.org/
    Diesem „Experten“ würde ich zutrauen, dass er kein /etc/shadow verwendet…
    Re: huah.. (Score:1)
    Von Ventilator (ventilator auf netz-warm punkt nett) am Friday 27. August 2004, 08:15 MEW (#9)
    (User #22 Info) gopher://ventilator.netswarm.net
    Leuts, das ist halt Raffzahn. =:-) Bei alten Unixen sind die Passwörter auch in /etc/passwd. Schon mal überlegt, warum die Datei passwd und nicht users oder accounts heisst?
    --
    Sterben kannst Du nicht, wenn du in aller Leute Köpfe bist!
    Da hat die Staatsanwaltschaft ja was zu tun (Score:0)
    Von Anonymer Feigling am Thursday 26. August 2004, 23:10 MEW (#3)
    Peter Huth hat die Kundendaten letzten Oktober auf seinem Webserver "zwischengeparkt", weil er offenbar sonst keinen Datenträger zur Hand hatte. Anschliessend hat er sie dort vergessen, d.h. die Daten waren rund zehn Monate frei zugänglich, nachdem die Links so ziemlich überall kursiert sind, werden tausende darauf zugegriffen haben. Da wird die Staatsanwaltschaft viel Briefe verschicken müssen.
    Kaputtes Skript immer noch zum Download angeboten (Score:1, Interessant)
    Von Anonymer Feigling am Friday 27. August 2004, 00:04 MEW (#4)
    Peter Huth hat sein kaputtes Skript, das für die Sicherheitslücke verantwortlich ist, immer noch auf seinem Server zwischengelagert: http://www.dialersiegel.de/nav/nav. Die "Einbrecher" dürften wohl dank mod_speling an die Daten gekommen sein, das immer sehr freundlich Dateien angezeigt hat, die nicht direkt verlinkt gewesen wären.
    Öööööh... (Score:1, Troll)
    Von tr0nix am Friday 27. August 2004, 06:19 MEW (#6)
    (User #741 Info)
    wieder so ein provokativer Raffzahn-Kommentar den ich nicht gebraucht hätte.

    Was sind denn deiner Meinung nach keine Bastler-Scripts?


    ----------------
    Wer gegen ein Minimum
    Aluminium immun ist, besitzt
    Aluminiumminimumimmunität
    Bastelskripte (Score:2)
    Von blindcoder (symlink@scavenger.homeip.net) am Friday 27. August 2004, 07:29 MEW (#7)
    (User #1152 Info)
    Nun ja, ich zumindest wuerde als Bastlerskripts das bezeichnen, was ich auf meinem eigenen kleinen Webserver liegen habe: PHP oder bash Skripte die ich in 2 Stunden zusammengefrickelt habe und das tun was ich von ihnen erwarte.

    Dass diese Null Prozent sicher sind weiss ich, bin aber zu faul zum sichermachen.
    Daher hab ich sie einfach hinter eine Basic-Authentication gelegt.

    Keine Bastlerskripte waeren dann wohl Skripte die einem vernuenftigen Security-Audit unterzogen wurden.
    Re: Bastel-Scripts (Score:0)
    Von Anonymer Feigling am Friday 27. August 2004, 13:38 MEW (#12)
    Skripts, die nicht auf den ersten Blick offensichtliche und längstens bekannte Fehler enthalten (s. Post einen Thread weiter oben). Der Trick, sich mit PHP Daten anzeigen zu lassen, die man nicht sehen dürfte, hat einen derart langen Bart, wie mit einem formmail.pl-Skript zu spammen. Dass unerfahrener "Hobbyfrickler" auf sowas hereinfällt, ist noch nachzuvollziehen, aber ein "Sicherheits-Experte" hat das Zeug entweder selbst im Griff oder weiss, dass er es nicht im Griff hat und sucht jemanden, der es im Griff hat. Ausserdem überprüft ein Sicherheits-Experte regelmässig den Webserver und die Logfiles, da hätten ihm die vergessenen Kundendaten und die Angriffe in den letzten acht Monaten x-fach auffallen müssen.
    Open Basedir... (Score:1)
    Von creative (stefan at tlmedia punkt ch punkt nospam) am Friday 27. August 2004, 08:10 MEW (#8)
    (User #1607 Info)
    ...Restriction wäre doch da die einfachste Lösung? Also das ist so das Erste, was ich an meiner php.ini konfiguriere, wenn ich einen WebServer aufsetze.
    Lustig an dem Ganzen finde ich, dass MyChannel eine "Sicherheitsfirma" sein soll. ;)
    Korrektur: erodata GmbH (der NetBlock Owner des Servers wo auch MyChannel drauf ist) macht ja Altersabfragesysteme (oder wie die heissen) à la ueber18.de.
    Disketten formatieren von Huth! (Score:3, Interessant)
    Von dkg (http://daniel.gebhart.name/) am Friday 27. August 2004, 10:39 MEW (#10)
    (User #1410 Info) http://daniel.gebhart.name/
    Von ihm kommt ja auch das erstaunliche Buch: "Disketten - 35 x mit 0 überschreiben". ;-)

    --
    Leiberl zu ersteigern!
    Re: Disketten formatieren von Huth! (Score:0)
    Von Anonymer Feigling am Friday 27. August 2004, 11:25 MEW (#11)
    bittte keinen Deeplink auf meinen Webserver setzen. Ich will nicht für dich Traffic bezahlen! eine Lösung wäre das bild zu speichern und auf einem Server zu speichern.

    mfG

    Re: Disketten formatieren von Huth! (Score:0)
    Von Anonymer Feigling am Friday 27. August 2004, 14:07 MEW (#13)
    Wie soll man denn auf einem Server, auf dem nur Bilder rumliegen anders verlinken? Schaetze mal ein Troll der sich als Besitzer aufspielt.
    Browsererkennung (Score:0)
    Von Anonymer Feigling am Friday 27. August 2004, 16:15 MEW (#14)
    Sehr lustig ist auch die "Browser- und Betriebssystemerkennung" auf der Seite von Peter Huth. Mein Safari wird nachgesagt, dass er nur aus KHTML besteht. Und Betriebssystem soll ich überhaupt keins haben :)
    Impressum nicht erreichbar (Score:0)
    Von Anonymer Feigling am Saturday 28. August 2004, 09:17 MEW (#15)
    Anscheinend weiss der Author von http://www.peterhuth.de/ nicht dass das Impressum ohne technische Huerden (JavaScript) erreichbar sein muss:

    <snip>
    <b onMouseOver="this.style.color='red';this.style.cursor='pointer'" onMouseOut="this.style.color='black'" onClick="MM_goToURL('parent.frames[\'leftFrame\']','left.php?datei=leftimpr.txt');return document.MM_returnValue">Impressum</b>
    </snip>

    Linux User Group Schweiz
    Durchsuche symlink.ch:  

    Never be led astray onto the path of virtue.    		 trash.net

    Anfang | Story einsenden | ältere Features | alte Umfragen | FAQ | Autoren | Einstellungen