Archiv für die Kategorie ‘Netzwerke’

Dieser Inhalt ist passwortgeschützt. Um ihn anzuschauen, gib dein Passwort bitte unten ein:

Advertisements

In eigener Sache

Veröffentlicht: 20. August 2014 in IT-Security, Netzwerke
Schlagwörter:, , , ,

„◾Leistung allein genügt nicht. Man muß auch jemanden finden, der sie anerkennt.“ – Lothar Schmidt

Heute kein gewöhnlicher Blogbeitrag, sondern ein kurzer Beitrag in eigener Sache!

Leider darf ich nicht immer darüber berichten, was ich bei meiner Suche nach Sicherheitslücken/ Zuarbeiten entdecke.
Sicherlich wäre der eine oder andere Fall ein gefundenes Fressen für gewisse Medien gewesen ;-)
Da ich mich aber durchaus in einer gewissen Verantwortung sehe, gehe ich eben solche Schritte definitiv nicht,
wenn es nicht Not tut, oder meinem Schutz dient!

Daher werden die besten Geschichten (insbesondere der letzten 3-4 Wochen) wohl unerzählt bleiben, so gerne
ich euch meine Erfahrungen dahingehend auch mitgeteilt hätte!!
Computer Password Security
In jedem Fall habe ich neue – und vor allem unerwartete – spannende Kontakte knüpfen können.
Viel wichtiger dabei ist mir aber, dass von gewissen Stellen ein direktes Lob bzw. aufrichtige Anerkennung für meine
Arbeit ausgesprochen wurde. Persönlich – unter 2 Ohren bzw. 4 Augen! Zwar können mir gewisse Unternehmen bzw.
Behörden hierzu nicht offiziell mit einer Referenz „aushelfen“, aber man erkennt und schätzt den Wert meiner Arbeit.

Man bewegt sich auch immer in einem Graubereich, wenn man sich bestimmte Seiten, Netze bzw. Systeme „vornimmt“.
Und ich habe mehr als einmal dabei den roten Alarm ausgelöst, wo andere im Vorwege gesagt hätten „lass die Finger davon“ ;-)

Bestärkt durch den Zuspruch und sogar Jobangeboten in diesem Bereich werde ich auch weiterhin mein Wissen im
großen Bereich der IT-Sicherheit erweitern und ethisch vertretbar den zuständigen Unternehmen und Behörden mitteilen.

Ganz besonderen Dank an dieser Stelle an das Innenministerium, die verschiedenen CERT, die Kripo, das LKA und gewisse Nachrichtendienste..!

I FEEL HONORED!

 

 

„◾When you sense that something is wrong, instead of letting everybody know about it, first figure out what it is.“ – someone

 

[Update 23.07.2014]
Einige der betroffenen Seiten wurden nun gefixt und das Problem behoben. Darunter die folgenden Webseiten:

Berliner-Zeitung

Hamburger Morgenpost

Berliner Kurier

Express

Kölnische Rundschau

Mitteldeutsche Zeitung

Kölner Stadtanzeiger

Jedoch aktuell weiterhin betroffen sind ca. 7 Radiosender und eine Hand voll anderer Seiten aus dem Verlags-/ Zeitungsbereich.

Hier ein Beispiel für das XSS und einen Fakebeitrag auf der Mopo, der dadurch Clientseitig angezeigt wurde.

Mopo-XSS


 

XSS-AttackEin ungeplanter und eher kurzentschlossener Test von einer relativ gut bekannten Webseite (Boulevardzeitung) zeigte mir auf, dass es dort ein Problem mit einer XSS-Lücke gibt. Die Redaktion der Tageszeitung reagierte nach meiner Kontaktaufnahme via Twitter zügig und verständigte den externen Entwickler, der momentan mit der Fehlerbehebung beschäftigt ist.

Clientseitig kann quasi nahezu beliebiger Code eingeschleust werden, wenn eine solche Lücke vorliegt.

Wie ich aus den Referenzen des Unternehmes entnehmen konnte, sind noch weitere namenhafte Unternehmen von der Lücke betroffen.

XSS
Um welche es sich dabei handelt (momentan habe ich eine Liste von 9,10, 16 betroffenen Webseiten) werde ich hier erst nach einem entsprechenden Fix seitens der Entwickler veröffentlichen!

Was mit einer XSS-Lücke alles angestellt werden kann und dass es eben kein „kleines Problemchen“ ist, zeigte bereits mein Feldversuch mit eBay, bei dem es möglich war mehrere Besucher der seit zu loggen und im schlechtesten Fall die Rechner via BeEF zu übernehmen!