Dies ist der dritte Text in meiner Serie von Texten zum Thema Sicherheit eines Servers, der von der Stadt Wiesbaden betrieben wird. Es handelt sich um den PIWi-Server, den Stand der Absicherung dieses Servers habe ich hier dargestellt: TLS. Im darauf folgenden Text habe ich einige mögliche Formen des Missbrauchs eines kompromittierten Servers beschrieben: TLS (2).
Auch in diesem Text werde ich weiterhin nicht zeigen, wie man sich in diesen Server reinhacken kann, sondern eine weitere Möglichkeit des Missbrauchs eines solchen gehackten Servers aufzeigen. Und ich möchte mit einem historischen Beispiel beginnen.
0.75 US-$
Üblicherweise hört man, daß es die Russen waren. Nein, das stimmte nicht, das waren Hacker aus Deutschland, von denen allerdings einer Kontakte zum russischen KGB hatte. So hörte sich das dann im Jahre 1989 in der Tagesschau an:Hier kann man die damalige Geschichte nachlesen:
- 1989: „Alle großen Anarchisten starben am 23.“
- 2007: 20 Jahre "KGB-Hack" Wie 75 Cent zum Verhängnis wurden
- 2014: Vor 25 JahrenGruppe um den sogenannten "KGB-Hack" zerschlagen
Wikipedia hat auch einen Artikel über diesen Vorfall: KGB-Hack. Die Geschichte in Hannover wurde auch verfilmt, hier finden Sie den Trailer zu diesem Film: 23 - NICHTS IST SO WIE ES SCHEINT Trailer, zum Film gibt es auch einen Text in der Wikipedia: 23 – Nichts ist so wie es scheint.
Aufgefallen sind diese Hacker, weil in einem Buchhaltungssystem in Berkeley (Kalifornien/USA) ein Fehlbetrag von 0.75 US-$ (damals etwa 2,25 DM) auftrat. Diesen Fehlbetrag sollte ein Administrator abzeichnen, bei der Höhe des Betrags sollte dies kein Problem sein. Aber dieser Administrator, ein gewisser Clifford Stoll, weigerte sich und stellte eigene Nachforschungen an. Monate später und mit der Hilfe mehrerer Kollegen, diverser Fremdfirmen, dem FBI, der Polizei in Deutschland und der Deutschen Bundespost landete man bei einer Gruppe von 3 Hackern in Hannover; der Rest ist Geschichte.
Diese Geschichte, beginnend mit dem Fehlbetrag und endend in Hannover, wurde verfilmt. Diesen Film finden Sie hier:
Computer-Hack
Die Hacker haben sich von Hannover aus in einen Computer der Uni eingewählt, das war legal. Und da kein Computer eine Insel ist, haben sie auf diesem Computer nach Verbindungen zu anderen Computern gesucht. Solche Verbindungen haben sie gefunden und unter Ausnutzung eines Fehler in einer installierten Software haben sie sich in diesen entfernten Computer eingewählt. Und dort begann das Spiel erneut, immer auf der Suche nach interessanten Daten und Datenbanken. Irgednwann landeten sie dann auf einem Rechner in der Ostküste der USA und von dort aus, über Zwischenschritte auf dem Computer der Universität von Kalifornien in Berkeley. Da dieser Computer seine Rechenleistung an andere Instituionen vermietete, hatte er Software, die die Rechenzeit mitschrieb und einem Konto in der Buchhaltung zuordnete. Und für einen Betrag von 0.75 US-$ fehlte diese Zuordnung.Aber das alles ist Geschichte, zurück zum PIWi-Computer hier in Wiesbaden.
Kein Computer ist eine Insel
Ende der 80er Jahre gab es bereits Vernetzung der Computer, wie das obige Beispiel zeigt. Heutzutage gibt es kaum einen Computer, der nicht über Internet oder ein internes Netz mit anderen Computern verbunden ist. Das macht die Sache interessant für Hacker; in einen Computer eindringen und sich von dort weiterhangeln zu anderen Computern, immer auf der Suche nach interessanten Daten. Wie sieht das bei PIWi aus?Der Computer, auf dem die Software PIWi läuft, hat innerhalb des Internets die Adresse 141.90.9.69 (= IP-Adresse). Diese Adresse gehört zur Hessische Zentrale für Datenverarbeitung - HZD1):
Die HZD ist der zentrale IT-Dienstleister für die Hessische Landesverwaltung und führt somit viele Dienstleistungen im IT-Bereich für die hessische Landesregierung, aber auch für mehrere Kommunen (z.B. die Stadt Wiesbaden), aus. Und deshalb könnte es für einen Hacker interessant sein, in die dortigen Computer einzudringen und Daten abzugreifen. Der PIWi-Server könnte als Einstieg dienen und von dort aus kommt man möglicherweise weiter in andere Computer, über die Aufgaben für Kommunen oder die hessische Landesregierung ausgeführt werden.
BSI
Das Bundesamt für Sicherheit in der Informationstechnik - BSI1) ist eine Behörde der Bundesregierung, der die Zuständigkeit für die Sicherheit der IT-Systeme übertragen wurde. Ihre Aufgabe beschreibt das Amt so:Wer sind unsere Kunden?
Mit unserem Angebot wenden wir uns an die Nutzer und Hersteller von Informationstechnik. Das sind heute in erster Linie öffentliche Verwaltungen in Bund, Ländern und Kommunen, aber auch Unternehmen und Privatanwender.
Quelle: Unser Leitbild
Im Rahmen seiner Tätigkeit hat das BSI die Sicherheit diverser Web-Server untersucht und die Ergebnisse am 9. Januar 2017 in einer Pressemitteilung veröffentlicht. Darin heißt es u.a.:
"Leider zeigt sich nach wie vor, dass viele Betreiber bei der Absicherung ihrer Online-Shops sehr nachlässig handeln. Eine Vielzahl von Shops läuft mit veralteten Software-Versionen, die mehrere bekannte Sicherheitslücken enthalten", erklärt BSI-Präsident Arne Schönbohm. "Die Betreiber müssen ihrer Verantwortung für ihre Kunden gerecht werden und ihre Dienste zügig und konsequent absichern."
Nach § 13 Absatz 7 TMG sind Betreiber von Online-Shops verpflichtet, ihre Systeme nach dem Stand der Technik gegen Angriffe zu schützen. Eine grundlegende und wirksame Maßnahme hierzu ist das regelmäßige und rasche Einspielen von verfügbaren Sicherheitsupdates.
Quelle: Online-Skimming: 1.000 deutsche Online-Shops betroffen
Diese Aussage gilt auch für den PIWi-Server der Stadt Wiesbaden.
Gesetz
In Deutschland werden sehr viele Dinge per Gesetz geregelt. Zum Thema Server möchte ich auf folgende Auszug aus dem entsprechenden Gesetz verweisen:(7) Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass
1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und
2. diese
a) gegen Verletzungen des Schutzes personenbezogener Daten und
b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,
gesichert sind.
Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.
Quelle: Telemediengesetz: § 13 Pflichten des Diensteanbieters
Die Stadt Wiesbaden ist somit per Gesetz verpflichtet, ihre Server auf einem aktuellen Stand der Software zu halten.
Edward Snowden
Edward Snowden war der Mitarbeiter der NSA, der 2013 die Überwachung des Internets durch diesen amerikanischen Geheimdienst und insbesondere den Umfang dieser Überwachung aufzeigte, belegt durch interne Dokumente der NSA. Im Zuge der Aufarbeitung dieser Dokumente kam u.a. heraus, daß sich ein britischer Geheimdienst in die Computer eines belgischen Telekommunikationsunternehmens eingehackt hatte, der zufälligerweise auch die Fernsprech- und Internetanbindung der EU in Brüssel realisierte: Britischer Geheimdienst hackte belgische Telekom.Sie sehen, das ging nicht nur Ende der 80er Jahre, das geht auch heute. Und die Gefahr ist real, wie wir dank Edward Snowden wissen.
Fazit
Für Unbefugte gibt es viele Möglichkeiten, in einen Computer einzudringen. Einen Ansatzpunk, einen Schwachpunkt muß man finden, und von dort aus geht es weiter. Irgendwann landet man in einem Computer, wo man wichtige Informationen abgreifen kann. Deshalb müssen Computer, sofern sie öffentlich zugänglich sind, vernünftig abgesichert werden. Und das heißt u.a., daß man die Software auf einem aktuellen Stand hält und somit bekannte Schwachstellen in dieser Software entfernt werden. Das ist beim PIWi-Server nicht geschehen.Vermutlich muß ein Hacker erst einen nennenswerten Geldbetrag von der Kasse der Stadt Wiesbaden abbuchen, bis dieses Einfallstor geschlossen wird.
Anmerkungen:
1) Natürlich ist diese Seite gesichert mit TLS in der Version 1.2.