Details hier:

• Ferngesteuertes Wasserwerk – Hacker führen US-Behörden vor (Spiegel.de)
• Hacker zerstört Pumpe in US-Wasserwerk (Heise.de)

• Am 8.7. wurde bekannt, dass ein Server vom Zoll von der Hacker-Gruppe NN-Crew ausspioniert wurde: dabei wurden Daten zum GPS-Tracking bei der Überwachung von Verdächtigen gefunden. Es ist schon sehr bedenklich, dass noch nicht mal solche Informationen ausreichend geschützt werden. Der Angriff sei politisch motiviert.
• Ebenfalls am 8.7. wurde erst bekannt, dass Cracker bereits am 27.6.2011 entdeckt wurden wie sie Bankdaten tausender Westermann-Kunden abfischten, um die Betroffenen zu schädigen: hier stehen die wenigen bekannten Details. Ursache war eine nicht näher charakterisierte Schwachstelle im Online-Bestellsystem. Wenn ich raten müsste würde ich auf SQL-Injection tippen. Der Angriff sei kriminell motiviert gewesen, dafür spricht auch, dass sich niemand bisher damit geoutet hat.
• Am 4.7. veröffentlichte Annonymous 26 Admn-Accounts eines Apple-Umfrage-Servers als Beweis ihn geknackt zu haben. Heise schreibt: "Die Maschine namens "abs.apple.com" scheint Kundenumfragen für das Unternehmen vorzuhalten. Wie das Wall Street Journal schreibt, wurde eine Liste mit 26 administrativen Nutzernamen samt (offenbar verschlüsselten) Passwörtern veröffentlicht." Das Ziel war es Aufmerksamkeit zu erregen.
• Am 27.6. verschafften sich Cracker Zugang zur Nutzerdatenbank des Stellenportals der Washington Post. Die Täter erbeuteten rund 1,3 Millionen Benutzernamen und E-Mail Adressen. Veröffentlicht wurde die Datenpanne vom Verlag erst am 6.7.2011. Es ist nicht bekannt welche Schwachstelle ausgenutzt wurde. Da sich niemand dazu bekannt hat, ist von einer kriminellen Motivation auszugehen.
• 28.6.2011: Die Hackgruppe TeaMp0isoN veröffentlichte auf Pastebin Anschriften und Telefonnumern von Verwandten, Freunden und früheren Kollegen des britischen Premierministers Tony Blair veröffentlicht. Ziel der Attacke war Aufmerksamkeit zu erregen. Details hier.
• Am 22.6.2012 berichtete Heise von Phishing-Attacken auf K&M-Elektronik-Kunden: "Die Kriminellen nutzen offenbar eine SQL-Injection-Lücke im Webshop von K&M, um einen Verweis auf das extern gehostete Java-Applet in den Quelltext der Shop-Seite beim Aufruf einzubetten." Der Angriff war eindeutig kriminell motiviert. Ein Hacker hätte die Firma lediglich über die Lücke informiert oder Teile der Daten als Beweis veröffentlicht.
• 18.6.2011: Sega informiert über einen erfolgreichen Hack ihrer Webseite: dabei wurde von 1,3 Mio Sega-Pass-Mitgliedern persönliche Daten inklusive E-Mail-Adresse, Geburtsdatum und verschlüsseltem Passwort entwendet. Details siehe Information-Week. Es ist unklar welche Art von Schwachstelle ausgenutzt wurde. Da sich niemand dazu bekannt hat, ist von einer kriminellen Motivation auszugehen.
• 15.6.2011: Angriff auf den israelischen Zertifikatsherausgeber StartSSL. Ziel war das unbefugte Ausstellen von SLL-Zertifikaten. Die Art der Schwachstelle wurde nicht bekannt. Hier geht es ziemlich sicher um kriminelle Machenschaften.
• Am 20.6. wurde ein Angriff auf Bitcoin bekannt: "Nach einem Angriff auf die Bitcoin-Tauschbörse Mt. Gox musste diese vorerst geschlossen werden. Der Wert der Währung fiel an dieser Börse von umgerechnet 17 US-Dollar in den Cent-Bereich. […]
  Offenbar konnten die Hacker die zentrale Datenbank des Geldwechslers entwenden. Mindestens ein Benutzerkonto mit einem größeren Betrag an Bitcoins soll dabei entschlüsselt worden sein. Der Versuch, diese Bitcoins sofort zu verkaufen, fiel auf, weil Mt. Gox nach den Vorfällen der vergangenen Tage ein Transaktionslimit von 1000 US-Dollar pro Tag eingerichtet hatte." Auch hier ist von einer kriminellen Motivation auszugehen.
• Am 14.6.2011 wurde die üble Mobbing-Website isharegossip.com vom Hacker 23timesPi übernommen. Die Seite wurde mehrere Tage lang per Weiterleitung auch nach "23timespi.blogspot.com" umgeleitet. Dort stand neben einem Gruß zu lesen: "Mails, Zugangsdaten, Namen. Kennen wir. Admins, Organisatoren, Moderatoren, meldet euch innerhalb einer Woche bei der Polizei oder wir machen alle Daten öffentlich. Dann können sich die Opfer gleich persönlich bedanken kommen."
  Die einen nennen es Selbstjustiz, die anderen sind dankbar, dass die dort verübten Straftaten endlich aufhören. Details bei Heise-Online. Inzwischen wurde spekuliert, ob es sich um eine selbst inszenierte PR-Kampagne handelte.
• Am 13.6.2011 entdeckte LulzSec eine schwerwiegende Sicherheitslücke beim Spiele-Anbieter Bethesda: Sie hatten Zugriff auf den Sourcecode der Webseite, die komplette Datenbank und damit auf die Daten von 200.000 Anwender (inkl. deren Klartext-Passwörtern). Der Inhalt wurde – mit Ausnahme der Benutzerdaten – veröffentlicht. Die Sicherheitslücke bestand offenbar schon länger. Wer weiß was Cracker mit den Daten gemacht hätten oder schon haben?
• Ebenfalls am 13.6.2011 veröffentlichte LulzSec Informationen, die bewiesen, dass sie sich unbemerkt in die Webserver des US-Senats hacken konnten. Wie vielen ausländischen Geheimdiensten mag das vorher auch schon gelungen sein? Details siehe Heise-Online.
• Am 12.6.2011 veröffentlicht SecAlert eine gravierende Schwachstelle ("local file inclusion") der Schufa-Seiten: beliebige Dateien standen für jeden zum Download bereit. Eine detailierte Einschätzung der Sicherheitslücke kann man bei Jan Schejbal nachlesen.
• 11.6.2011: Der Angriff auf die Server von Distribute.IT fallen aus der Reihe. Golem formuliert es so:
  

  Unbekannte waren am 11. Juni 2011 in die Systeme von Distribute.IT eingedrungen. Die Angreifer seien koordiniert vorgegangen, um "so viel Schaden wie möglich an unseren Systemen und an unserer Software" anzurichten. Der Angriff sei präzise durchgeführt worden und habe nur eine kurze Zeit gedauert. Ziel waren die Datensysteme der Server, wodurch die Angreifer trotz der kurzen Zeit einen immensen Schaden anrichteten. Sie hätten damit auch Backups und alle weiteren Daten zerstört, die für eine Wiederherstellung der Server nötig gewesen wären. Betroffen waren 4.800 Domains und Kundenkonten.

  Warum macht man so was? Rache?

Ein Nachschlag zu einem früheren Hack: Heise beziffert den Schaden aus dem City-Bank-Hack mit bisher etwa 2,7 Mio USD…

• Anonymous kündigt Aktionen gegen Sony an:
  Ab dem 4.4.2011 beginnen DoS-Attacken gegen Sony-Webseiten durch das Anonymous-Kollektiv (Details). Weil das die Spieler aber massiv stört, hören sie am 7.4. wieder damit auf und entschuldigen sich bei den Spielern.
• 16.4.2011: Die Daten von Sony Online Entertainment (SOE) werden geknackt: erbeutet werden 24,6 Millionen Kundendaten (inkl. Kreditkartendaten bzw. Konteninfos). Entdeckt wurde das aber erst nach intensiven Untersuchungen rund um den PSN-Hack am 2.5.2011. Details siehe Heise.de. Zu diesem Hack hat sich meines Wissens noch niemand bekannt, dass führt zu einer Vermutung:
• 19.4.2011: Offenbar wurden durch die Aktionen auch echte Hacker/Cracker auf die Lücken bei Sony aufmerksam. Sie hacken sich in deren Spieler-Netz PSN, erbeuteten Millionen von Kredikarteninfos und bieten sie angeblich zum Kauf an. Der Einbruch gelingt, weil Sony Software mit 5 Jahre lang bekannten Sicherheitslücken nicht aktualisierte. Wie peinlich.
  Spiegel.de berichtete: "Hacker haben Daten von Millionen Nutzern der Online-Dienste des Konzerns erbeutet. Es geht um Adressen, Passwörter und möglicherweise auch um Kreditkartennummern, warnte Sony. Mehr als 75 Millionen Nutzer des Playstation Network (PSN) und des Video- und Musikservices Qriocity weltweit sind betroffen."
  Eine ganz ausführliche Beschreibung findet man im Artikel PSN-Hack Timeline – Die ganze Geschichte!.
• 7.5.2011: Veraltete Kundendaten von einem eigentlich inaktiven Sony-Webserver können ganz leicht via Google eingesehen werden: sie schlummerten seit 2001 als Excel-Datei nur ungenügend geschützt auf einem Webserver. Details siehe thehackernews.com und Sophos.com. Wie peinlich ist das denn?
• 17.5.2011: 2 Tage nach dem Neustart des PSN meldet die Spiele-Webseite Nylevia ernsthafte Probleme. Man kann leicht die Passwörter fremder Accounts ändern.
  Details bei Heise.de: "Dazu musste der Angreifer lediglich die E-Mail-Adresse und das Geburtsdatum des PSN-Mitglieds kennen. Diese Informationen gehören zu den persönlichen Daten, die die Datendiebe bei ihrem Einbruch in das PSN Mitte April erbeuten konnten."
• 20.5.2011: auf der Webseite von Sony-Thailand wurde injizierter Phishing-Code entdeckt, der Kreditkartendaten abgegriffen hat. Details siehe F-Secure.com.
• 21.5.2011: Der Internet-Provider SO-NET, der zu Sony gehört, wurde gehackt. Laut Heise-Online werden
  aus dem Kunden-Bonus-System nur ein paar Punkte erbeutet.
• 21.5.2011: Die Webseite von Sony-Music in Indonesien wird von einem Hacker geknackt und verändert. So etwas nennt man Defacement.
• 21.5.2001: Schlechter Tag für Sony, denn auch Sony-Music in Griechenland wurde gehackt und die Inhalte geändert. Das passierte laut thehackernews.com mittels einfacher SQL-Injection.
• 23.5.2011: Gleich zwei neue SQL-Injection-Lücken werden auf Sony-Music Japan von LulzSec veröffentlicht. Diese Lücke erfordert wenig Kenntnisse. Spätestens jetzt ist Sony in der Fachwelt blamiert. Die Art der dabei zugänglichen Informationen sind hier einzusehen.
• 24.5.2011: Die Webseite von Sony-Ericsson in Kanada wird durch den Hacker Idahc gehackt. Dabei kommen Kundendaten zu Tage (Mail, Name, Passwort-Hash, …), als Beweis werden 2000 Beispiele veröffentlicht. Wer weiß wie viele Daten von bösen Buben schon entwendet wurden. Der Screenshot zeigt: auch hierbei handelt es sich im Prinzip um eine SQL-Injection.
• 27.5.2010: Diesmal wird bloß eine XSS-Verwundbarkeit im Sony Playstation Store veröffentlicht. Schon fast ein kleiner Fisch…
• Am 2.6.2011 wird SonyPictures.com von LulzSec wieder mittels einfacher SQL-Injection geknackt. Am gleichen Tag werden 8 Datenbanken gehackt: Dort finden sie eine lange Liste von sensiblen Daten in verschiedenen Tabellen frei zugänglich: Benutzerdaten, teilweise inkl. Geburtstag und Klartext-Passwort. Details über die acht Hacks.
• Am 3.6.2011 wird dann die Webseite von Sony Europa durch den Hacker Idahc gehackt. Wieder mittels SQL-Injection, diesmal werden wieder Klartext-Passwörter und sonstige persönliche Daten erbeutet…
• Am 5.6.2011 ist dann die russische Webseite von Sony-Pictures dran: SQL-Injection was sonst. Die üblichen Inhalte…
• Ebenso am 5.6.2011 ist die Webseite von Sony-Music Brasilien mit Defacement dran: Die Inhalte wurden durch eine "Owned"-Meldung ersetzt, die über 12 Stunden online war.
• Am 6.6.2011 gelingt es LulzSec das Developer-Network von Sony zu hacken und veröffentlicht als Beweis dort erbeutete Quelltexte.
• Am 6.6.2011 veröffentlicht LulzSec interne Pläne über das Netzwerk bei Sony BMG, deren Infos wertvole Informationen für weitere Angriffe geben. Es ist unklar wo die herkommen. Offenbar sind sie auch dort eingedrungen.
• Am 8.6.2011 wird die Webseite von Sony-Musik-Webseite in Portugal (SonyMusic.pt) wieder von Adahc gehackt. Diesmal gleich auf drei verschiedene Arten: SQL-Injection, XSS (cross-site scripting) und iFrame-Injection. Und was kam zutage? Das übliche…
• Ebenfalls am 8.6.2011 bestätigt Sony-Japan, dass es einem Hacker gelang durch Spoofing Punkte im My-Sony-Club zu erbeuten. Dieser Club scheint also auch nicht sicher zu sein.

Und was lernen wir daraus? Die Webseiten von Sony konnten mit ganz alten und einfachen Tricks penetriert werden. Sony lernte nicht aus den Fehlern, Sony aktualisierte die Software nicht und hätte mal besser etwas mehr Geld für Sicherheitsfachleute investiert…

Was geht mich das als DB-Entwickler an?

Als Resümee aus der obigen Liste fallen mir drei Dinge ins Auge:

1. Wenn man die Liste durchgeht, dann überwiegen die SQL-Injection-Angriffe. Sie sind auch die Angriffe mit den schlimmsten Datenlecks. Ein Defacement ist ja noch harmlos, aber das Auslesen von Kundendaten ist kein Spaß. In einem Artikel verweist Sophos resigniert auf deren Artikel "Securing Websites".

2. Wenn ich mir die exponierten Daten so ansehe, dann kommt die Frage auf: Warum werden Passwörter im Klartext gespeichert? Wenn ein Hash gespeichert wird, ist er dann wenigstens gesalzen?

3. Wegen der vielen heterogenen Systeme wurden die gleichen Fehler immer und immer wieder gemacht. Offenbar hinderte die Organisationsstruktur die Sony-Admins und -Entwickler daran schnell und effizient Erfahrungen auszutauschen. Anders ist es nicht zu erklären, warum auch nach Wochen der ersten SQL-Injection-Angriffe immer noch weitere Webseiten dagegen verwundbar waren.

Diese drei Punkte gehen DB-Entwickler schon etwas an…

PS: Als ich fast fertig war, entdeckte ich eine sehr gute und knappe englische Liste der Hacks… Pech. Die ist auch deswegen interessant, weil darin auch alte Hacks enthalten sind.

Nachdem der Hersteller Sony seine Kunden sehr stark in der Nutzung der PS/2+3-Geräte einschränkte, griffen einige findige Entwickler zur Selbsthilfe und ermöglichten mit Jailsbreaks die freie Nutzung der Sony-Geräte. Warum machen Kunden das?

• Weil sie der Meinung sind, dass ihnen das Gerät gehört und die Firma nicht vorschreiben darf/soll, was man mit dem Gerät tun darf und was nicht.
• Weil sie die Geräte toll finden und Möglichkeiten erweitern wollen.
• Weil sie zeigen wollen, wie sinnlos die eingebauten Sperren sind.
• Und weil er geht.

Das Hacken solcher Geräte ist zu einem Volkssport geworden, beliebt sind vor allem Jailbreaks der Apple- und Sony-Geräte. Um ein Exempel zu statuieren, klagte Sony einen der Hacker an: GeoHot. Sony wusste, dass er keineswegs der einzige Hacker war. Dementsprechend ging auch das Jailbreaking unvermindert weiter, obwohl GeoHot längst schachmatt gesetzt war. Die Situation eskalierte als Sony sich am Ende als resistent gegen Argumente erwies und bewirkte, dass GeoHot sich zu vielen Einschränkungen verpflichten musste, um einer Verurteilung zu entgehen. Zum Beispiel darf er den Inhalt der Erklärung nicht veröffentlichen. Damit hat Sony einen Fan zu einem Gegner gemacht (Quelle: Golem.de):

Auf seinem privaten Blog schreibt Hotz, dass er ab sofort nie wieder ein Produkt von Sony kaufen wird, und ruft seine Leser auf, sich dem Boykott anzuschließen.

Aus verschmähter Liebe wird oftmals erbitterter Hass: Offenbar hat Sony damit aber nicht nur einen Fan gegen sich aufgebracht, sondern viele aus der Hacker-Szene. Anonymous drückt es gegenüber Sony so aus:

Congratulations! You are now receiving the attention of Anonymous. Your recent legal actions against fellow internet citizens, GeoHot and Graf_Chokolo have been deemed an unforgivable offense against free speech and internet freedom, primary sources of free lulz (and you know how we feel about lulz.)

You have abused the judicial system in an attempt to censor information about how your products work. You have victimized your own customers merely for possessing and sharing information, and continue to target those who seek this information. In doing so you have violated the privacy of thousands of innocent people who only sought the free distribution of information. Your suppression of this information is motivated by corporate greed and the desire for complete control over the actions of individuals who purchase and use your products, at least when those actions threaten to undermine the corrupt stranglehold you seek to maintain over copywrong, oops, "copyright".

Auf die Angriffe von Anonymous folgten echte Hacks und es wurde eine Zeit lang zum Hacker-Sport Sony zu blamieren und damit gegen deren Einstellung zu protestieren. GeoHot hat mit den Hacks offenbar nichts zu tun. Hier seine Worte, die ich glaubwürdig finde:

And to anyone who thinks I was involved in any way with this, I'm not crazy, and would prefer to not have the FBI knocking on my door. Running homebrew and exploring security on your devices is cool, hacking into someone elses server and stealing databases of user info is not cool. You make the hacking community look bad, even if it is aimed at douches like Sony.

One of the things I was contemplating back in early January was a PSN alternative, a place for jailbroken consoles to download homebrew and game without messing up anyone else's experience. Unfortunately events led me off of that path, but gamers, if I had succeeded you would have an alternative place to game online with your PS3 right now. I'm one of the good guys. I used to play games online on PC, I hated cheaters then and I hate them now.

Also, let's not fault the Sony engineers for this, the same way I do not fault the engineers who designed the BMG rootkit. The fault lies with the executives who declared a war on hackers, laughed at the idea of people penetrating the fortress that once was Sony, whined incessantly about piracy, and kept hiring more lawyers when they really needed to hire good security experts. Alienating the hacker community is not a good idea.

Stimmt, das Ergebnis zeigt, dass das Vorgehen von Sony keine gute Idee war. Die Hacker-Community ist aber keine fest umrissene Gruppe, sondern eine heterogene Masse. Daher sind auch die Angriffe auf Sony völlig unterschiedlich. Schließlich nutzen auch Kriminelle die offensichtlichen Sicherheitslücken und erbeuten Millionen von Kundendaten, z.T. mit Kreditkartendaten.

Was kann man daraus lernen?

Als Sony gerichtlich gegen einen der Hacker vorging, löste das mehr als nur Unverständnis bei den anderen Nutzern aus. Hatte Sony noch andere Möglichkeiten als gerichtlich gegen Nutzer vorzugehen?
Dass es auch anders geht, zeigte übrigens Microsoft: Hier wurde erkannt, dass die Kunden so begeistert waren, dass sie den Geräten einen erheblichen Mehrwert geben können. Nachdem Microsoft im Handy-Bereich den Anschluss an
die Konkurrenz verloren hatte, kam mit Windows Phone 7 endlich der erhoffte "Lichtbringer" auf den Markt. Damit wollte Microsoft endlich wieder positive Schlagzeilen und verlorene Marktanteile gut machen. Das Schlimmste passiert: Das System floppt, Hacker knacken sehr schnell Windows Phone 7 und installieren alle möglichen anderen Dinge auf die Handies. Anstelle der üblichen Reaktion der "Großen" kommt von Microsoft jedoch ein interessantes Angebot: Sie erkennen, dass hier sehr kreative und engagierte Köpfe von Windows-7-Phone begeistert waren und laden die Hackergruppe ChevronWP7 zu einer Diskussion mit den Entwicklern ein. Warum soll das neue System nicht offen für die Eigenentwicklungen von Kunden werden? (Quelle: Golem.de)

Ein Treffen mit ChevronWP7 gab es bereits – erklärtes Ziel ist es, Jailbreaking von Smartphones mit Windows Phone 7 unnötig zu machen und Homebrew-Entwicklern einen einfacheren Zugang zur Plattform zu verschaffen.

Mit einem T-Shirt für die Hacker gelang ihnen außerdem ein toller Coup. Die an das Team verschenkten T-Shirts hätte sicher jeder Hacker gerne, sie tragen die Aufschrift: "I was the first to jailbreak Windows Phone 7, and all I got was this lousy t-shirt"

Mit Kinnect ging es Microsoft ganz ähnlich: Die innovative Steuerung für die X-Box wurde bereits nach kurzer Zeit für die breite Nutzung zur Verfügung gestellt, nach dem sich zeigte, dass einige Hacker Interesse an der ausgefallenen Steuerung zeigten. Sony hätte die Jungs vermutlich verklagt. Für Microsoft hat sich das indes gelohnt: Die positive Publicity und die Verkaufszahlen sprechen für sich…

Beliebt waren außerdem 112233, 987654321, qwerty (war eine amerikanische Seite), upload, 666666, 121212, 123321, 654321 und 555555. Was kann man dazu sagen?

Anhand der verwendeten Passwörter vermute ich, dass die Webseite keine Mindestlänge vorgab. Daher ist die Auswertung besonders interessant:

Offenbar findet eine Konditionierung auf 6 oder 8 Zeichen lange Passwörter statt…

• DoS: Die Webseite der spanische Polizei wird am 12.6.2011 durch Anonymous lahm gelegt: Die Aktivisten wollen damit gegen die Festnahme von drei mutmaßlichen Anonymous-Mitglieder protestieren.
  Details bei Heise-Online: "Wie der staatliche Rundfunk RNE am Sonntag berichtete, hatte die Organisation Anonymous die Internetseite der Polizei so massiv mit Anfragen bombardiert, dass der Server zusammenbrach. In einer Mitteilung bekannte sich die Gruppe zu der Attacke. Darin betonte sie, dass ihre Mitglieder keine Terroristen seien, sondern Bürger, die sich für ihre Rechte einsetzten."
• Crack: Epic Games wurde am 10.6.2011 gehackt: E-Mail-Adressen und verschlüsselte Passwörter wurden erbeutet. Die Passwörter wurden zurück gesetzt.
  Details siehe Heise.de
• Hack: Das Sex-Portal Pron.com wurde am 10.6.2011 von Lulzsec gehackt: erbeutet und veröffentlicht wurden die Mailadressen der Benutzer mit deren Klartext-Passwörtern.
  Details siehe lulzsecurity.com
• DoS: Am 10.6.2011 war die Webseite der GVU durch Anonymous lahm gelegt.
  Details siehe netzwelt.de: "Zur Begründung gibt Anonymous an, dass "das Betreiben einer Suchmaschine für Videos nach unserem Ermessen nicht illegal" sei. Die Gruppe stellt die Aktion gleichsam in einen größeren Rahmen: "Wir verurteilen es zutiefst, dass der Staat Teile des Internets abschaltet. Somit wurde die Freiheit des Internets erneut von staatlicher Seite her angegriffen und ein weiterer Schritt in Richtung Zensur beschritten."
• Crack: Am 9.6. wurde erst bekannt, dass ein Hack der Citibank bereits im Mai entdeckt wurde: Aus dem "Citi Account Online" wurden Namen, Kontonummern und Mailadressen von etwa 1 Prozent der rund 21 Millionen Kreditkartenkunden in Nordamerika erbeutet.
  Detail bei Heise-Online.
  Update 15.6.2011: Die Daten waren offenbar durch simple URL-Manipulation abrufbar.
• Crack: Auch erst am 10.6.2011 wurde bekannt, dass ein Hack bei Codemasters am 3.6.2011 entdeckt wurde: daraufhin wurden alle Server offline genommen. Erbeutet wurden Kundendaten: Anschrift, Telefonnummer, Mailadresse, Passwort-Hash und Bestellverlauf. Im Kundenclub CodeM fanden sie auch noch Geburtsdaten, IP-Adressen, Benutzerbiografien und Xbox-Live-Gamertags.
  Details bei Heise-Security.
• DoS: Am 9.6.2011 wurde die Webseite der türkischen Telekommunikationsbehörde TIB (Zuständig für die geplante Internetregulierung) durch Anonymous mit der Aktion "Turkey" durch Anonymous lahm gelegt, um gegen die geplante Internetzensur zu protestieren.
  Details siehe Golem.de
• Hack: Nintendo wurde am 3.6.2011 von Lulzsec gehackt: hier wurden nur freundliche Grüße hinterlassen.
  Details bei areagames.de
• Hack: Die Sicherheits-Organisation InfraGard (Zusammenarbeit des FBI mit Privatunternehmen) wurde am 3.6.2011 von Lulzsec gehackt: sie veröffentlichten die persönlichen Daten von 180 InfraGard-Mitarbeitern sowie einige Kennwörter im Klartext und 700 MByte E-Mails.
  Details bei Heise-Security: "Anlass für den Angriff gab angeblich der Plan der USA, Hackerangriffe künftig als kriegerischen Akt zu behandeln. In einem Bekennerschreiben behauptet LulzSec, einige der Benutzer hätten ihre InfraGard-Kennwörter auch auf anderen Servern eingesetzt. Zudem steht im Bekennerschreiben, man habe Informationen über einen von der US-Regierung gesponserten Hackerangriff gegen Libyen erbeutet."
• und Sony … tja, was soll ich da schreiben. Auch hier habe ich den Überblick längst verloren. Die Ergebnisse meiner Recherchen veröffentliche ich morgen und übermorgen…

Als ich die Liste aufstellte, bemerkte ich, dass eine gewisse Differenzierung nötig ist. Ich sehe da auch wenigstens drei verschiedene Arten der Angriffe, die ich oben jeweils den Einträgen voran stellte:

1. Cracks: ausgeführte Angriffe von böswillige Cracker, die die Daten verkaufen oder benutzen wollen, um sich zu bereichern. Ich gehe davon aus, dass Cracker mit krimineller Energie sich in der Regel nicht erwischen lassen oder gar Notizen hinterlassen, daher ist mit einer hohen Dunkelziffer zu rechnen.
2. Hacks: Hacker, die aus verschiedenen Gründen in Systeme eindringen und die gefundenen Daten dann teilweise veröffentlichen: meist um die Firmen für ein aus deren Sicht falsches Verhalten abzustrafen oder einfach nur weil es geht. oftmals erst nachdem Hinweise auf die Sicherheitslücken von den Firmen ignoriert wurden. Dazu gehören auch die Angriffe auf Sony. Wer weiß wie viele unentdeckte Cracker vorher die Lücken schon nutzten…/li>
3. DoS: Denial-of-Service-Attacken, wie sie bspw. teilweise von Anonymous genutzt werden, um auf Ungerechtigkeiten aufmerksam zu machen, legen die Webseiten einfach nur durch unerhört viele Aufrufe lahm. Die Seiten sind überlastet und damit vorübergehend nicht erreichbar. Die Presse schreibt dann oft, dass die "Server unter der last zusammen brachen". Damit ist nicht gemeint, dass die Hardware danach kaputt war, sondern einfach nur, dass sie in der Zeit der Attacken nicht mehr rechtzeitig auf die Anfragen antworten konnten.

Die einzelnen Punkte wäre fast jeweils mal ein eigenes Posting wert. Mal schauen, ob ich irgendwann mal dazu komme…

Sehr geehrter Gewinnspielteilnehmer,

wir moechten Sie vorsorglich darauf hinweisen, dass neckermann.de
am 26. Mai 2011 einen Hacker-Angriff bei Gewinnspielen
festgestellt hat.

Der Angriff ereignete sich in einem Neben-System. Der Online-Shop
von neckermann.de war nicht betroffen. Von dem kriminellen
Angriff betroffen waren Name, Vorname und die E-Mail Adresse.
Weitere personenbezogene Daten der Gewinnspielteilnehmer wurden
nicht entwendet. Dies hat die umgehend eingeleitete
Sicherheits-Analyse des Angriffs eindeutig ergeben.

Nach Bekanntwerden der Straftat sowie nach umgehenden
Ermittlungen des Tathergangs haben wir die Sicherheit des
angegriffenen Servers wieder hergestellt und zusaetzlich
verstaerkt.

Es kann nicht ausgeschlossen werden, dass auch Sie in Folge des
Hacker-Angriffs unerwuenschte Werbe-E-Mails ("Spam") erhalten.
Wir raten Ihnen, keine E-Mail zu oeffnen, deren Absender Ihnen
nicht bekannt ist.

Bitte beachten Sie:
neckermann.de wird Sie wie bisher auch niemals per E-Mail
auffordern, Ihre Kundendaten zu veraendern oder per E-Mail zu
versenden.

Wir bedauern sehr, falls Sie in Folge dieses Hacker-Angriffs
Unannehmlichkeiten haben, und werden gemeinsam mit den Behoerden
an der Aufklaerung des Angriffs arbeiten. Dazu haben wir
Strafanzeige gegen Unbekannt bei der Staatsanwaltschaft
Frankfurt am Main gestellt.

Hacker-Angriffe kommen im Internetzeitalter weltweit zunehmend
haeufiger vor. Sie richten sich gegen zahlreiche Unternehmen
unterschiedlichster Branchen. Dabei handelt es sich um kriminelle
Handlungen, die strafrechtlich verfolgt werden, unabhaengig
davon, ob umfassende Daten oder – wie in diesem Fall – Vorname,
Name und E-Mail Adresse entwendet wurden.

Nach unserer Auffassung handelt es sich nicht um einen
behoerdlich meldepflichtigen Vorgang, dies haben auch externe
IT-Rechts-Experten bestaetigt. Trotzdem haben wir die zustaendige
Datenschutzbehoerde ueber den Hacker-Angriff informiert.

Unter der kostenlosen Hotline 0800 / 664 69 87 stehen Ihnen bei
Fragen unsere Kundenberater gerne zur Verfuegung.

Mit freundlichen Gruessen

Axxxxxx Bxxxxxx
Ihre Online-Beraterin

Verantwortlich fuer dieses Informations-Mailing ist die
neckermann.de GmbH.

Den Namen habe ich ausgeXt…

Auch Heise.de berichtet mittlerweile darüber:

Berichten zufolge wurden bereits Spammails an die Gewinnspielteilnehmer verschickt. Neckermann.de rät seinen Kunden, keine Mails von unbekannten Absendern zu öffnen. Sobald ein Angreifer jedoch Mails mit gefälschtem Neckermann-Absender verschickt, ist dieser Hinweis nutzlos. Auf diese Weise könnte man sich etwa durch ein als Rechnung getarntes PDF-Dokument mit Schadsoftware infizieren oder Opfer von Phishing werden.

Ich persönlich habe noch keine SPAM-Mail über die bei Neckermann angegebene Mailadresse bekommen. Mal abwarten…

Man kann das Programm immerhin im sicheren Modus betreiben. Das wird aber offenbar eher als Problem gesehen. Unter Tipps und Tricks steht bspw. unter "Tipp 3":

Problem: In der "Seitenverwaltung" bietet FileZilla auf Ihrem PC unter Umständen nur ein ausgegrautes Passwort-Eingabefeld an, Sie können keine Passwörter speichern und müssen das Passwort bei der Herstellung jeder FTP-Verbindung erneut eingeben.

Ursache: Offensichtlich haben Sie das Programm im "Security Mode" (sicheren Modus verwenden) installiert. Dann sind die Passwörter für den Benutzer nicht auf dem PC abspeicherbar.

So geht es nicht: Registry-Hack oder Installationsoptionen

Leider half die dort beschriebene Methode nicht im umgekehrten Fall: Ich will den sicheren Modus verwenden, damit keine Passwörter mehr gespeichert werden. Das Setzen der genannten Registry-Keys brachte keinen Erfolg.

Auch die Deinstallation mit anschließender Neuinstallation brachte nichts (außer zwei erzwungenen Reboots): Die Passwörter wurden weiterhin gespeichert. Ich wurde bei einer Neuinstallation nicht nach dem "Secure mode" gefragt.

So aber: Config-Datei

Wenn man hingegen im Programmverzeichnis (z.B. "C:\Program Files (x86)\FileZilla FTP Client") aus dem Unterverzeichnis "Docs" die Datei "fzdefaults.xml.example" eine Verzeichnisebene höher kopiert und in "fzdefaults.xml" umbenennt, dann kann man die Datei editieren, dass sie so aussieht:

Danach muss man noch die Sessions-Datei verändern (%APPDATA%\FileZilla\sitemanager.xml):

• Zuerst muss man alle dort gespeicherten Passwort-Einträge löschen (<pass>…</pass>),
• danach muss man den Passwort-Modus auf "nach Passwort fragen" ändern: "<Logontype>2</Logontype>"

Unter "Bearbeiten –> persönliche Daten löschen" kann man statt dessen auch alle gespeicherten Sessions löschen und die Daten dann neu eingeben (ohne Passwort).

Alles Vertrauenssache

Wenn man sich das nächste Mal verbindet, muss man das Passwort eingeben und wird gefragt, ob man es speichern möchte (der Haken ist leider zuerst gesetzt und muss entfernt werden). Wenn man dann "Passwort speichern" sagt, dann kommt keine Fehlermeldung. Man muss also davon ausgehen das Speichern habe geklappt. Tatsächlich wurde es bei mir aber nicht gespeichert. Das verunsicherte mich schon. Ich würde mir wünschen, dass die Auswahl im Kiosk-Mode gar nicht erst angeboten wird. Leider sieht man nirgends, ob die Software im Kiosk-Mode gestartet wurde und dementsprechend Passwörter gespeichert werden oder nicht. Offenbar wurde die Sicherheit nicht wirklich verinnerlicht.

Wenn man darauf vertraut, dass der Kiosk-Mode in den zukünftigen Versionen noch genauso funktioniert, dann kann man sich schon etwas sicherer fühlen. Leider sind so weiterhin die Server- und Benutzernamen im Klartext lesbar, aber immerhin nicht mehr die Passwörter. Schade, dass kein Master-Passwort zur Verschlüsselung der Daten angeboten wird.

Ein Entwickler meinte in einem Forum das sei Aufgabe des Betriebssystems und man solle die Dateiverschlüsselung von Windows Professional verwenden. Offenbar geht er davon aus man wolle sich davor schützen, dass andere Benutzer des gleichen Computers die Daten lesen. Da denen die Rechte auf mein Benutzerverzeichnis fehlen, geht das ohnehin nicht. Leider übersieht er, dass alle Prozesse, die in meinem Benutzerkontext laufen, die Dateien dann trotzdem lesen können, Z.B. gekidnappte Anwendungen/Browser/ActiveX-Controls oder echte Schadsoftware (Trojaner etc.). Das nutzt also nichts und wird unter Windows Home/Starter etc. ohnehin nicht angeboten.

Bei BeyondCompare2 werden Passwörter für hinterlegte Sessions in der Registry gespeichert: HKEY_CURRENT_USER\Software\Scooter Software\Beyond Compare\FTP\Passwords. Sie sind zwar nicht im Klartext gespeichert aber nur mit XOR "verschleiert".

Scooter-Software geht damit recht offen um, hier ist eine Beschreibung, wie man das Speichern umgehen kann:

To clear saved passwords, select Tools|Options. Go to the FTP > Firewall / Proxy section. Click the "Clear Passwords" button.

If you enter an FTP path directly using the form ftp://userass@server/, BC will automatically save the password.

If you enter a username and password in the FTP browse dialog, it will also save the password.

If you enter a URL without a password, such as ftp://user@server/, or if you only enter a username in the FTP browse dialog, BC will prompt you for a password. The "Enter Password" dialog has a "save password" check box. If you leave this unchecked, it won't save your password.

Der Knopf "Clear Password" hat bei mir funktioniert. Danach war alles leer. Wenn ich danach eine Verbindung aufbaue, dann werde ich nach dem Passwort gefragt und kann ich bei "Save Password" den Haken entfernen. Erfreulicherweise merkt der Dialog sich die Einstellung und ich muss den Haken nie wieder entfernen…

Dabei sendet der Browser an Facebook unter anderem als Referer die URL der gerade geöffneten Spiegel-Seite. Außerdem schickt er dem Facebook-Server auch das von ihm bereits früher gesetzte Cookie. Ist der Anwender gerade in einem anderen Fenster bei Facebook angemeldet, enthält das seine Sitzungs-ID. Damit kann Facebook diesen Aufruf der Spiegel-Seite einer konkreten Person zu ordnen.

Konkret kann Facebook also während Sie dort angemeldet sind beobachten, welche Web-Seiten Sie aufrufen, sofern diese einen solchen Like-Button enthalten. Angesichts des Erfolgs des sozialen Netzwerks nimmt deren Zahl ständig zu. Und anders als Statistik-Server wie Google Analytics, die IVW oder auch die Server von Anzeigen-Dienstleistern, die mit anonymisierten Daten oder schlimmstenfalls IP-Adressen arbeiten, kann Facebook diese Daten direkt mit einer realen Person verknüpfen, deren Adresse und Freunde es kennt.[…]

Das mit dem Like-Button war schon eine schlaue Idee von Facebook…

Einfach von den ISO-Image "Offline NT Password & Registry Editor" oder einem USB-Stick booten und der Anleitung folgen. Wer den Ablauf einmal trocken sehen will, der findet hier eine schön bebilderte Beschreibung.

Um Angreifern den Zugang remote zu erschweren lohnt sich m.E. ein Passwort übrigens unbedingt. Selbst wenn man es bei physischen Zugriff leicht entfernen kann…