dsilag: Website zu Guttenberg gehackt

Heute liest man das die Website von zu Guttenberg gehackt wurde.
Es stand dort offensichtlich:

Mit Freude geben wir bekannt, dass Karl-Theodor zu Guttenberg am heutigen Tag zum Bundeskuchenminister ernannt wurde.

Nun frage ich mich, wie kann eine Website gehackt werden? Es gibt dafür einen Benutzernamen und ein Passwort. Ok meistens mag der Benutzername Admin oder sowas sein, aber das Passwort ist doch sicher nicht so einfach rauszubekommen.

Ich frage mich wirklich, wie schaffen es Leute Websiten zu hacken. Vor allem kann man damit ja einen riesigen Schaden anrichten. Irgendwelchen Blödsinn hinschreiben oder sonst was.

Irgendwo muß es doch auffallen in log files oder dergleichen. Und die Information ist doch über irgend einem Twitter Account weitergegeben worden, der doch offensichtlich auch gehackt wurde. Wie um alles in der Welt kann man denn so einen Account hacken. Speziell bei Twitter müßte es doch irgend eine Funktion geben, die dann sagt "he du versuchst jetzt schon das 10 mal ein Passwort einzugeben das falsch ist, der Account wird erst mal gesperrt".

  1. Hello,

    Heute liest man das die Website von zu Guttenberg gehackt wurde.

    Na, jedenfalls ist sie zur Zeit auf Eis gelegt *ohoh*
    http://www.zuguttenberg.de/

    Es stand dort offensichtlich:

    Mit Freude geben wir bekannt, dass Karl-Theodor zu Guttenberg am heutigen Tag zum Bundeskuchenminister ernannt wurde.

    Schade, hätte ich gerne einen Screenshot davon gemacht :-)
    Hat der sich etwa durch Dr. Oetker ernähren lassen?

    Nun frage ich mich, wie kann eine Website gehackt werden? Es gibt dafür einen Benutzernamen und ein Passwort. Ok meistens mag der Benutzername Admin oder sowas sein, aber das Passwort ist doch sicher nicht so einfach rauszubekommen.

    Das ging bei Schäuble damals vermutlich auch ganz leicht. Der hatte ein Typo3 in Betrieb und das hatte ein Loch beim Upload. Da konnte man daher bei bestimmten Installationen einfach Scripte hochladen auf den Server, die dann auch ausgeführt werden.

    Aus dieser Untersuchung stammt auch der Beginn meines Artikels - wenn ich doch nur nicht so faul wäre, dann wäre er auch fertig inzwischen.
    http://wiki.selfhtml.org/wiki/Artikel:PHP/File_Upload

    Ich frage mich wirklich, wie schaffen es Leute Websiten zu hacken. Vor allem kann man damit ja einen riesigen Schaden anrichten. Irgendwelchen Blödsinn hinschreiben oder sonst was.

    Man guckt einfach, welches "Framework" (ich nenne es mal "network application") da aktiv ist und benutzt die ermittelten Sicherheitslücken.

    Irgendwo muß es doch auffallen in log files oder dergleichen.

    Wenn man eine Lücke benutzt, um ein eigenes Script hochzuladen, dass dann auch ausgeführt wird, hat der Server meistens schon verloren. Die Übungen, ob sowas klappt, nehmen die Angreifer selten am betroffenen Objekt vor, sondern an einer möglichst genau nachgebildeten Testumbegung. Die ist offline! Das merkt also solange keiner, bis es dann nachher soweit ist.

    Liebe Grüße aus dem schönen Oberharz

    Tom vom Berg

    --
     ☻_
    /▌
    / \ Nur selber lernen macht schlau
    http://bergpost.annerschbarrich.de
    1. Hello,

      Heute liest man das die Website von zu Guttenberg gehackt wurde.

      Na, jedenfalls ist sie zur Zeit auf Eis gelegt *ohoh*
      http://www.zuguttenberg.de/

      Es stand dort offensichtlich:

      Mit Freude geben wir bekannt, dass Karl-Theodor zu Guttenberg am heutigen Tag zum Bundeskuchenminister ernannt wurde.

      Schade, hätte ich gerne einen Screenshot davon gemacht :-)
      Hat der sich etwa durch Dr. Oetker ernähren lassen?

      Zumindest der Text ist in google cache erhalten. Und unter welt.de ist ein Screenshot zu sehen.

      1. Hello,

        Zumindest der Text ist in google cache erhalten. Und unter welt.de ist ein Screenshot zu sehen.

        Im Prinzip kann der Gutti doch im Moment gar nichts besseres tun, als sich hier mit Humor einzuklinken in die Debatte, und die "Ernennung zum Bundeskuchenminister" annehmen. Wenn er schlau ist, richtet er auf seiner Webseite ein humorvolles Forum zum Thema "Kuchen und Backprodukte" ein, das auch mit echtem Wissen punktet und Missstände in diesem Bereich auf den Punkt bringt.

        Und wenn das klappt, kann er sich zum neuen "Ernährungsminister" expandieren lassen, das dann aber ernsthaft. Und schon sitzt er mittels "Web 2.0" in zwei Jahren wieder fest im Sattel...

        Irgendwie muss man sich doch heutzutage seine Pension sichern *höhöhö*

        Liebe Grüße aus dem schönen Oberharz

        Tom vom Berg

        --
         ☻_
        /▌
        / \ Nur selber lernen macht schlau
        http://bergpost.annerschbarrich.de
        1. Hello,

          Zumindest der Text ist in google cache erhalten. Und unter welt.de ist ein Screenshot zu sehen.

          Im Prinzip kann der Gutti doch im Moment gar nichts besseres tun, als sich hier mit Humor einzuklinken in die Debatte, und die "Ernennung zum Bundeskuchenminister" annehmen. Wenn er schlau ist, richtet er auf seiner Webseite ein humorvolles Forum zum Thema "Kuchen und Backprodukte" ein, das auch mit echtem Wissen punktet und Missstände in diesem Bereich auf den Punkt bringt.

          Das ist ja mal eine sinnvolle Idee. Ich mag keine Parteipolitik machen, aber immerhin hat er ja studiert. Viele Politiker haben ja nicht mal studiert. Und das sich dann solche Politiker über Guttenberg beschweren finde ich schon komisch.
          Aber keine Politik und zurück zum Thema. Ich bin gespannt wie das ganze weitergeht. Insbesondere, da ja in der letzten Zeit viele Websiten bekannter Personen gehackt wurden.
          IT Sicherheit ist wohl die große Zukunftsgeschichte in der IT.

          1. @@dsilag:

            nuqneH

            aber immerhin hat er ja studiert.

            Bist du sicher? Vielleicht hat er ja damals schon für sich studieren lassen.

            Qapla'

            --
            Gut sein ist edel. Andere lehren, gut zu sein, ist noch edler. Und einfacher.
            (Mark Twain)
          2. Om nah hoo pez nyeetz, dsilag!

            Viele Politiker haben ja nicht mal studiert.

            a) Woher weißt du das?
            b) Definiere viele!
            c) Definiere auch, für welche Politiker das gelten soll
               - Minister
               - Bundestagsabgeordnete
               - Landtagsabgeordnete

            Auch ohne Studium und dafür mit gesundem Menschenverstand lässt sich gute Politik machen, das sieht man vor allem in den unteren Ebenen, z.B. der Kommunalpolitik.

            Matthias

            --
            1/z ist kein Blatt Papier.

          3. Ho,

            Viele Politiker haben ja nicht mal studiert.

            Das ist gut so, nur so kann die Struktur der Bevölkerung repräsentiert werden.

            Studieren kann jeder Fachidiot, das ist noch kein Zeichen für Allgemeinbildung und schon gar kein Zeichen für soziale Kompetenz.

            1. Hello,

              Studieren kann jeder Fachidiot,

              Da ist doch leider sehr platt ausgedrückt.

              Studieren ist heute zwar leider nur noch das Aufnehmen vorgefertigten Wissens. Das führt zwangsläufig zu einer "Verblödung auf hohem Niveau". Aber die Menge des verfügbaren Stoffes ist nicht zu unterschätzen. Um die verarbeiten und merken (= ansatzweise verstehen) zu können, benötigt es schon einer enormen Geistesleistung.

              Dabei war der Studiosus früher der "Forscher", der sich auch neuen Gebieten zugewandt hat und Dinger erforscht hat, die keinesfalls als abgesichert galten. Nur das lernen Srtudenten heute nur noch sehr selten.

              Liebe Grüße aus dem schönen Oberharz

              Tom vom Berg

              --
               ☻_
              /▌
              / \ Nur selber lernen macht schlau
              http://bergpost.annerschbarrich.de
              1. @@Tom:

                nuqneH

                Studieren ist heute zwar leider nur noch das Aufnehmen vorgefertigten Wissens.

                Die Einführung des Bachelors hat sicher zu einer Verschulung des Studiums beigetragen.

                Dabei war der Studiosus früher der "Forscher"

                Tja, früher …

                Qapla'

                --
                Gut sein ist edel. Andere lehren, gut zu sein, ist noch edler. Und einfacher.
                (Mark Twain)
                1. Hello,

                  Die Einführung des Bachelors hat sicher zu einer Verschulung des Studiums beigetragen.

                  das mag ich nicht bestreiten.
                  Ich habe jedenfalls in meinem Studium das "echte Wissen" nur in den Freizeiten neben den offizellen Veranstaltungen erworben. Das kann ich auch heute noch anwenden, während die ganzen Schulinhalte "nur irgendwie Grundlage" sind.

                  Dabei war der Studiosus früher der "Forscher"

                  Tja, früher …

                  Da war sowieso alles besser ;-P

                  Liebe Grüße aus dem schönen Oberharz

                  Tom vom Berg

                  --
                   ☻_
                  /▌
                  / \ Nur selber lernen macht schlau
                  http://bergpost.annerschbarrich.de
                2. Moin Gunnar,

                  Dabei war der Studiosus früher der "Forscher"

                  Tja, früher …

                  … als selbst die Gummistiefel noch aus Holz waren!

                  LG,
                   CK

                  1. Moin suit,

                    When i was your age, we rocked jumped all the way to school uphill, both ways ... IN BOILING LAVA

                    Hahaha, als ehemaliger Quake-Spieler: danke, made my day ;D

                    LG,
                     CK

              2. Hello,

                Studieren kann jeder Fachidiot,

                Da ist doch leider sehr platt ausgedrückt.

                Möglich, ich meine Begabte auf einem schmalen Gebiet. Die können sehr wohl weit in die Tiefen ihres Gebietes vorstoßen, sind aber nicht in der Lage, über den Tellerrand zu schauen. Habe mich mal etwas befasst mit Die Inselbegabung – auch Savant-Syndrom genannt

                Zwischen denen und Universalgenies gibt es eine große Bandbreite (politisch korrekt ausgedrückt?)

                Murmelin

        2. Hello,

          Zumindest der Text ist in google cache erhalten. Und unter welt.de ist ein Screenshot zu sehen.

          Im Prinzip kann der Gutti doch im Moment gar nichts besseres tun, als sich hier mit Humor einzuklinken in die Debatte, und die "Ernennung zum Bundeskuchenminister" annehmen. Wenn er schlau ist, richtet er auf seiner Webseite ein humorvolles Forum zum Thema "Kuchen und Backprodukte" ein, das auch mit echtem Wissen punktet und Missstände in diesem Bereich auf den Punkt bringt.

          Und wenn man parallel die Medien beobachet, wird doch genau diese Möglichkeit gerade vorbereitet. AUf Phönix läuft gerade ein Bericht über die Backbranche. Wer da mal grundlegend aufräumt, könnte sich ganz bestimmt Ehrenkränze und -lorbeeren verdienen.

          Wenn man die Deutschen wirklich noch erreichen will, dann doch bei ihren Brötchen ...

          (oder beim Bier)

          Liebe Grüße aus dem schönen Oberharz

          Tom vom Berg

          --
           ☻_
          /▌
          / \ Nur selber lernen macht schlau
          http://bergpost.annerschbarrich.de
    2. Das ging bei Schäuble damals vermutlich auch ganz leicht. Der hatte ein Typo3 in Betrieb und das hatte ein Loch beim Upload.

      Nein.

      Da konnte man daher bei bestimmten Installationen einfach Scripte hochladen auf den Server, die dann auch ausgeführt werden.

      Nein.

      Bei Schäuble hat man sich das JumpURL-Exploit zu nutze gemacht - das Weiterleitungsscript war in TYPO3 nicht ausreichend gesichert, so konnte man beliebe Files herunterladen - unter anderem auch das lokale Konfigurationsscript (localconf.php).

      In diesem File steht das Passwort zum Installationswerkzeug als MD5-Hash.

      Das Passwort war "gewinner" - also eine Zeichenkette, die mit einem Wörterbuchangriff schnell geknackt ist.

      Um mit diesem Passwort ins Installationswerkzeug zu gelangen, muss man Zugriff aufs TYPO3-Backend oder das Filesystem haben um ein Prüffile (ENABLE_INSTALL_TOOL) erstellen zu können.

      Das File darf in einer Produktivumgebung niemals existieren (neuere TYPO3-Versionen prüfen hier zusätzlich das alter, sprich wenn das File älter als eine Stunde ist, wird es eingestampft) - die Schäuble-Version konnte das nicht.

      Im Installationswerkzeug kann man dann einen Admin-Benutzer anlegen und sich im Backend einloggen.

      Dort kann man Files hochladen - aber keine PHP-Scripte, das wird unterbunden und muss erst über das Installationswerkzeug erlaubt werden (darauf hatten die schon Zugriff).

      Unterm Strich wäre jede dieser Sicherheitslücken in TYPO3 kein Problem für die Schäuble-Website gewesen, nachdem hier aber ziemliche Pfeifen am Werk waren, konnten diese Lücken in Kombination dazu führen, dass die Website angegriffen werden konnte. Wären auch nur die Grundlagen (z.B. die gigatischen, kontrastreichen Warnmeldungen im Backend "ENABLE_INSTALL_TOOL existiert, musst du unbedingt löschen!" zu befolgen) befolgt worden, wären alle anderen Schwachpunkte zusammen kein Problem gewesen.

      1. Hello,

        Nein.

        *grins*

        Danke für die Zusatzinformation :-)

        Liebe Grüße aus dem schönen Oberharz

        Tom vom Berg

        --
         ☻_
        /▌
        / \ Nur selber lernen macht schlau
        http://bergpost.annerschbarrich.de
      2. Hi!

        Wären auch nur die Grundlagen (z.B. die gigatischen, kontrastreichen Warnmeldungen im Backend "ENABLE_INSTALL_TOOL existiert, musst du unbedingt löschen!" zu befolgen) befolgt worden, wären alle anderen Schwachpunkte zusammen kein Problem gewesen.

        Ist das nicht immer so? Wir muessen z.B. Passwoerter manuell verschicken. Deshalb sind unsere Systeme so gestrickt, dass diese Passwoerter quasi schon abgelaufen sind und man gezwungen ist, ein neues zu erstellen, dass eben nicht die halbe Welt kennt. Das steht auch in jeder Mai in der man eines geschickt bekommt, so drin. Trotzdem hat man jeden Monat die gleichen Herrschaften am Telefon, die sich mit dem frisch recovertem Passwort nicht einloggen koennen.

        Das gleiche bei Notebooks. Wenn man ein neues Notebook anschaltet kommt gewoehnlich eine Aufforderung mal eben schnell ne Recovery CD/DVD zu bauen. Dann is was defekt und auf die Frage nach dem Datentraeger mit dem OS kommt: "Was? Da war nichts dabei!" Der Hinweis auf die Inbetriebenahme des Geraets wird dann meist mit: "Da gabs sowas nicht." abgetan. Komisch, dass man selbst das gleiche Geraet hat und man selbst wurde aber durch eben jene laestigen Anfragen genervt, die man natuerlich auch alle ignoriert hat. Der Unterschied: Man selbst hat zuhause zweiunddroelfzig diverse Hilfsmittel, OS und Live-Systeme uns kann sich sowas auch erlauben.

        Was lernt man daraus? Grosse, kontrastreiche Meldungen scheinen per Definition unsichtbar zu sein.

        --
        Signaturen sind blöd!
  2. @@dsilag:

    nuqneH

    Ok meistens mag der Benutzername Admin oder sowas sein,

    Das wäre schonmal schlecht, denn dann reduziert sich das Erraten des Zugangs auf das Passwort.

    aber das Passwort ist doch sicher nicht so einfach rauszubekommen.

    Das hängt von der Einfachheit des Passworts ab. Wenn es ein normales Wort ist, dann geht das recht einfach.

    Ich frage mich wirklich, wie schaffen es Leute Websiten zu hacken.

    Wenn der Nutzername “heveling” und das Passwort “ansgar” ist … Obwohl, _so_ dumm kann der doch nun wirklich nicht gewesen sein, oder? Vielleicht wurde die Website erst auf andere Weise gehackt und dann der Zugang per “heveling”/“ansgar” eingerichtet.

    Qapla'

    --
    Gut sein ist edel. Andere lehren, gut zu sein, ist noch edler. Und einfacher.
    (Mark Twain)
    1. Ok meistens mag der Benutzername Admin oder sowas sein,

      Das wäre schonmal schlecht, denn dann reduziert sich das Erraten des Zugangs auf das Passwort.

      Wenn die Entropie des Passworts groß genug ist, spielt das keine Rolle.

  3. Tach,

    Ich frage mich wirklich, wie schaffen es Leute Websiten zu hacken.

    es gibt die bekannten Sicherheitslücken in den verwendeten Programmen (Webserver, verwendete Programmiersprache, CMS, …) und dann meist scheunentorartige Zugänge in der Form von SQL- oder sonstiger Code-Injection-Lücken, etc.

    Irgendwo muß es doch auffallen in log files oder dergleichen.

    Sofern die jemand liest und das passende geloggt wird, …

    Und die Information ist doch über irgend einem Twitter Account weitergegeben worden, der doch offensichtlich auch gehackt wurde. Wie um alles in der Welt kann man denn so einen Account hacken.

    Vermutlich: nachdem man auf der Webseite genug Rechte hat, schaut man, was man da so finden kann, z.B. Zugangsdaten für andere Dienste, Klartext-Passworte, u.ä. und dann probiert man halt mal, wo die noch so funktionieren.

    Speziell bei Twitter müßte es doch irgend eine Funktion geben, die dann sagt "he du versuchst jetzt schon das 10 mal ein Passwort einzugeben das falsch ist, der Account wird erst mal gesperrt".

    Gäbe es eine solche Funktion, könnte ich also jeden beliebigen Twitter-Account lahmlegen, indem ich mich 10 Mal versuche einzuloggen.

    mfg
    Woodfighter