CERT.at analysiert Anonymous-Angriffe Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


01.12.2011 Edmund E. Lindau

CERT.at analysiert Anonymous-Angriffe

Klassische Fehler in der Absicherung von Webservern ermöglichten die Angriffe politischer Aktivisten auf sensible Daten.

In diesem Jahr wurden eine Reihe bekannter österreichischer Webseiten Opfer von Angriffen. Sensible Daten wurden kopiert und auszugsweise veröffentlicht. Das Team von CERT/GovCERT und Fachleute vom BVT (Bundesamt für Verfassungsschutz und Terrorismusbekämpfung) waren an der Vorfallsbehandlung und Analyse aktiv beteiligt. Dabei stellte sich heraus, dass eine Reihe von Fehlern in der Betriebsführung diese Einbrüche begünstigt hat.

Dessen Resümee: »Die Sicherheitsvorfälle waren keine neuartigen Angriffe auf Webserver oder gar aufwendige, gezielte Attacken auf die komplette IT-Infrastruktur von Organisationen (Stichwort Advanced Persistant Threat APT), sondern die Folgen von klassischen Fehlern in der Absicherung von Webservern. Schon einfache Penetrations-Tests hätten die Schwachstellen aufgedeckt, die zu den Einbrüchen geführt haben.«

In ihrer Untersuchung der Angriffe stellten die Sicherheitsspezialisten fest, dass viele der von den Angriffen Betroffenen zwar die Kernsysteme abgesichert hatten, jedoch keinen umfassenden Überblick über die Vielzahl der Web-Server-Applikationen hatten. Sowohl bei im eigenen Haus betriebenen Webseiten, als auch bei extern gehosteten Seiten müsse man sowohl den Aspekt Sicherheit des Systems (Betriebssystem, Hardware Management) als auch die Sicherheit der Applikation berücksichtigen. »Gerade bei externem Hosting haben wir Fälle gesehen, wo Verträge für die Anwendung abgeschlossen wurden, das darunterliegende System aber außer Acht gelassen wurde.« Speziell die Verträge mit externen Dienstleistern müssten in punkto Sicherheit der Systeme neu bewertet und angepasst werden.

In zwei Fällen wurden Daten von Organisationen publik gemacht, die selbst nicht für den Verlust dieser Daten verantwortlich waren. In derartigen Fällen sei zu hinterfragen, wer aller Kopien sensibler Daten hat, wie gut diese abgesichert seien und welche Konsequenzen für die eigene Organisation deren Diebstahl haben könnte.

GOOGLE HACKING In einigen Fällen sei der Datendiebstahl nämlich nicht durch einen Einbruch in Server, sondern durch schlichtes »Googeln« erfolgt. Oft genug findet die Suchmaschine Daten auf Webseiten, die dort abgelegt oder liegengelassen wurden, die aber nicht für die Öffentlichkeit bestimmt sind. »Google Hacking« nennt man die Nutzung von Suchmaschinen zum gezielten Auffinden von Informationen, die entweder selber schon sensitiv sind, oder für echtes Hacking hilfreich sind.

Es ist daher ratsam, diese Informationsquelle selbst zu nutzen, um Datenlecks zu finden und zu beseitigen. Durch entsprechende Konfiguration des Servers kann schon die unerwünschte Indizierung bestimmter Bereiche weitgehend vermieden werden (Verwendung der Datei „robots.txt«): Daten die von Suchmaschinen nicht indiziert wurden, können auch nicht über diese gefunden werden.

LOGGING UND SYSTEMZEIT Im Falle eines Einbruches ist es sehr ­hilfreich, wenn die Logfiles des betroffenen Servers vorhanden sind und diese vor ­Manipulationen geschützt waren. Ein ­Logging der sicherheitsrelevanten Events über das Netz auf einen (zentralen) Logserver kann hier besonders hilfreich sein. Auch ist es für die Analyse eines Vorfalls wichtig, dass alle beteiligten Geräte (Firewall, IDS, Webserver, ) synchronisierte Systemzeiten führen. Um im Falle einer Attacke die benötigten Informationen zur Hand zu haben empfiehlt es sich, die ­Logging-Mechanismen bereits im Vorhinein auf den individuellen Informations­bedarf auszurichten. Hier wird ein Kompromiss zwischen Vollständigkeit und Handhabbarkeit der Daten getroffen werden müssen.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema


Hosted by:    Security Monitoring by: