Datenreichtum dank Swisscom

800’000 Datensätze (Namen, Adressen, Telefonnummern und Geburtsdaten) sind der Swisscom abhanden gekommen. Naja, nicht wirklich abhanden gekommen, denn Swisscom hat ja auch Geld dafür erhalten, dass jemand auf diese Daten zugreifen darf. Dumm nur, dass einer dieser jemands nicht aufgepasst hat und seine Zugangsdaten abhanden gekommen sind. Dadurch haben unbekannte Dritte Zugriff auf die DB der Swisscom gehabt und systematisch Datensatz für Datensatz abgezwackt.

Aber natürlich ist alles halb so schlimm, denn die Swisscom hat bisher «keinen Anstieg von Werbeanrufen oder anderen Aktivitäten zum Nachteil der betroffenen Kunden festgestellt». Das ist in etwa so beruhigend wie wenn man dir sagt: «Hey, sorry. Deine Adressdaten wurden von einer Einbruchsbande geschnappt. Aber in den letzten Monaten wurde kein erhöhtes Einburchsaufkommen festgestellt. Also wird es nicht so schlimm sein!». Als ob die Bande nicht einfach einige Monate warten könnte um später – wenn der Fall schon lange wieder vergessen wurde – zuschlagen könnte!

Naja… wer übrigens prüfen möchte ob er betroffen ist:

  • SMS an die Nummer 444 (sollte für Swisscom Kunden Gratis sein) senden.
  • «Info» (ohne Anführungszeichen!) als Text senden.
  • Sich darüber freuen wenn der Antwortetext:»Ihre Kundenangaben waren von dem Vorfall nicht betroffen.» lautet!



Blog Attacke: Nachtrag

Die Logfiles sind ausgewertet und das Ergebnis steht fest. Es war keine DDOS Attacke welche den Blog lahmgelegt hat, sondern eine Kommentarspam Attacke.

Innerhalb von 8 Minuten wurde die Webseite von 179 verschiedenen Adressen beglückt. Der Grossteil der «Besucher» sind Systeme mit offenen Proxies drauf die ausserdem richtig potent sind (verglichen mit Proxies die man sonst so auf Online Listen findet). Die eine hälfte dieser Zugriffe waren reine Aufrufe von Artikeln, die andere hälfte versuchte sich im platzieren von Kommentaren. Wahrscheinlich wollte der Spammer durch die normalen Zugriffe ein gewisses «rauschen» erzeugen.

Der Grund waum das ganze diesem Ansturm nicht standgehalten hat, waren falsche Settings in der Mysql sowie Apache Konfiguration. Da mein System lediglich 512MB hat wurden zuviele Apache Instanzen geöffnet, welche nach und nach den ganzen RAM weggefressen haben. Ich hoffe nun, dass die gemachten Änderungen das nächste mal mehr als 8 Minuten durchhalten.




Und weg war der Blog: DDOS

10:25 Uhr. Ich will mich auf dem Blog einloggen und den Spam löschen, als ich stutzig werde. Die Verbindung ist heute aber auch lahm… komisch. Als ich nach vollen zwei Minuten immer noch keine Verbindung habe, versuche ich es über einen Anonymisierer. Und siehe da, auch der kriegt keine Verbindung.

10:32 Uhr. Irgendwas ist in der Zwischenzeit passiert. Ich komme auf die Hauptseite, kann da aber den Blog auch nicht anwählen.

10:33 Uhr. Jetzt passiert schon mehr. Sobald ich den Blog anwähle erscheint die Fehlermeldung, dass keine Verbindung zum Datenbankserver hergestellt werden konnte. Und so bleibt es dann auch den ganzen Tag.

19:00 Uhr. Eine erste Analyse zeigt, dass irgendwas (Apache? Mysql?) gehörig Cores erzeugt hat und der Datenbank Server nicht mehr läuft. Hurtig alles wegdumpen um es später in ruhe anschauen zu können, dann werden die Dienste wieder aktiviert.

19:10 Uhr. Aha. Hunderte von Zugriffen auf so ziemlich alle verfügbaren Artikel dieses Blogs innerhalb von Sekunden. Da kann der Server nur in die Knie gehen. Es was also eine Distributed Denial of Service (DDOS) Attacke irgend eines Bot Netzes. Die Hauptfrage ist nun, wozu? Wollte jemand ein neues Bot-Netz ausprobieren, bevor er «richtig» zuschlägt? Hat man während der Attacke versucht den Server zu kompromitieren (Loganalyse am Weekend, sigh!) und die Attacke genutzt um Hinweise darauf im Rauschen untergehen zu lassen? Oder ist der Egger Blog für gewisse Kreise ene Bedrohung 😉

Updates werden folgen…




Egger hackt Webseiten der Kapo Zürich und Bern

Update (5. Januar 2008 – 22:50 Uhr): Die Sicherheitslücke bei der Kapo Zürich wurde mittlerweile geschlossen. Die Kapo Bern braucht wohl noch einen Moment. Wahrscheinlich feiern deren Informatiker, wie meine Wiener, Arbeitskollegen morgen die heligen drei Könige und haben darum eine Brücke gemacht 😉

Auf das neue Jahr hin sind die Eggers unter die Hacker gegangen. Nachdem der «Hack» auf die Kapo Zürich und Kapo Bern einen solchen medialen Wirbel verursacht hat, haben wir uns gedacht die Methode ebenfalls einzusetzen um Werbung für unsere Seite zu machen.

Hier also Screenshots der von uns gehackten Webseiten der Kantonspolizei Zürich und Bern.

Eggers Beweisbild des Kapo ZH Hacks
Eggers Beweisbild des Kapo ZH Hacks

Eggers Beweisbild des Kapo BE Hacks
Eggers Beweisbild des Kapo BE Hacks

Und zum Beweis, dass es sich um keine Fotomontage handelt, finden sich hier direkt die Links zu den gehackten Webseiten:

Link zur gehackten Webseite der Kantonspolizei Zürich
Link zur gehackten Webseite der Kantonspolizei Bern

Ich hoffe die tagelangen Recherchen, stundenlangen Diskussionen mit angetrunkenen Hackern und das bezahlen einiger tausender hat sich gelohnt und unsere Webseite schnellt nun medial in andere Hemisphären.

Wie immer wird auch hier das Gericht nicht so heiss serviert wie es gekocht wurde. Sprich, ich wollte mit dieser Aktion nur darauf hinweisen, wie «blindlings» sich die Medien auf solche Meldungen stürzen und einfach irgendwas abdrucken.

Meine Kritik richtet sich hier speziell an Manuel Bühlmann von 20min, da verschiedene andere Verlage auf seinen Artikel verweisen. So schreibt er in seinem Artikel auf 20 Minuten:

Zurzeit machen die Kapo Bern und Kapo Zürich unfreiwillig Werbung für die IT-Cracks vom Chaos Computer Club. [..] sie sind auch auf die Websites der Kantonspolizei Zürich, bzw. Bern eingedrungen. Beide Seiten haben sie klammheimlich mit ihrem Logo des Chaos Communication Congress (25C3) markiert.

Lieber Herr Bühlmann. Von einem «eindringen» kann doch gar keine Rede sein. Die Hacker haben weder irgend einen der beiden Polizei-Server gehackt noch wurde auch nur ein Bit irgend einer Datei – welche für die Darstellung der Webseite zuständig ist – auf irgend eine Art und Weise manipuliert.

Vielmehr ist es so, dass die beiden Webseiten schlicht und ergreifend nicht genügend gegen Cross Site Scripting (XSS) geschützt wurden. Dies bedeutet, dass das Logo nur derjenige sieht, welcher auch genau den Link mit dem untergejubelten Bild verwendet. Genau so verhält es sich auch mit meinem untergejubelten Bild. Besucht man die Webseite «regulär» wird man von dem Logo nichts sehen.

Genau so reisserisch, lieber Gerr Bühlmann, ist dann auch Ihre Aussage, dass die Kapo Zürich nichts von der Attacke gemerkt hat.

Bei der Kapo Zürich hatte man die Attacke erst gar nicht bemerkt, wie die Anfrage von 20 Minuten Online ergab. Die Manipulation bleibt zwar in diesem Fall ohne grosse Auswirkungen, zeigt jedoch, dass selbst die Polizei nicht vor ungebetenen Gästen gefeit ist.

Wie ich bereits erwähnt habe, hat die Kapo Zürich deswegen nichts bemerkt, weil es schlicht und ergreifend nichts zu bemerken gab. Das Logo bekommt nur derjenige zu Gesicht, der auch genau den einen Link aufruft. Wer die Suchfunktion der Webseite ganz normal verwendet, der wird das Logo nie sehen.

Und dass «selbst die Polizei nicht vor ungebetenen Gästen gefeit ist» liegt doch wohl auf der Hand. Schliesslich wird die Webseite nicht von «Polizisten» gehostet sondern von irgendwelchen IT Admins in irgend einem Datencenter. Ob da nun die Webseite der Polizei darauf zu finden ist oder die Webseite von Fritzli Müller ist absolut irrelevant. Mit einer derartigen Aussage versuchen Sie jedoch dem Leser ein Bild zu suggerieren, dass die Polizei als leicht trottelige Dorfpolizisten darstellt und die Hacker als spitzbübische, dreiste Technikfreaks.

Aber wie Marcel Strebel, Chef Informationsabteilung der Kantonspolizei Zürich richtig sagt:

Es handelt sich im vorliegenden Fall nach ersten Einschätzungen um eine harmlose Manipulation.

Natürlich will ich die Lücke nicht verharmlosen. Denn durch eine XSS Lücke ist es nicht nur möglich ein Bild einzufügen, sondern man kann auch – mit einiger Geduld und dem nötigen HTML, JavaScript wissen vorausgesetzt – HTML und JavaScript Inhalte in die Webseite einpflanzen, welche dann den Anschein erwecken, es handle sich um regulären Inhalt der Kapo Webseite.

Doch auch hier ist die Gefahr gering, dass damit «grober Unfug» angestellt werden kann. Schliesslich wird wohl niemand auf der Webseite der Polizei irgend eines seiner Passwörter eintippen (wozu auch?) noch die Webseite als Startpunkt für seine Internet-Reisen verwenden. Denn nur das anbringen von manipulierten Links (die z.B. auf Webseiten von echten gehackten Webservern verweisen) wäre noch das das einzige interessante Feature, welches XSS bietet.