myGully.com

myGully.com (https://mygully.com/index.php)
-   News (https://mygully.com/forumdisplay.php?f=390)
-   -   [Internet] Webseite der NASA gehackt (https://mygully.com/showthread.php?t=2673033)

Prince 04.08.12 18:33
Webseite der NASA gehackt
 
Zitat:
Ein Hacker aus Mittelsachsen drang kürzlich in die NASA-Server ein und installierte dort zu Testzwecken eine PHP-Shell. Er konnte mit Hilfe einer SQL Injection eindringen und hat derzeit vollen Zugriff auf alle dort gespeicherten Daten. Wie er sagt, habe er die NASA schon vor mehreren Jahren informiert, aber keine Reaktion damit erzielt.

Matthias Ungethuem (Unnex) arbeitete in den letzten Monaten und Jahren schon mehrfach mit gulli.com zusammen, um Unternehmen oder Behörden auf Sicherheitslücken auf ihren Webservern hinzuweisen. Ziel seiner Penetrationstests waren unter anderem die Webseiten von ICQ, PayPal, Spiegel Online, focus.de, der CIA, den Hells Angels, MyVideo und vielen anderen. Vor wenigen Wochen knackte er die Webpräsenz von T-Online und wies die Betreiber auf die Problematik ihres E-Mail-Zentrums hin.

Per Zufall stolperte er über Bugs bei der NASA, die ihm schon vor mehreren Jahren ins Auge stachen. Die Sicherheitsmängel versetzen seit Jahren Cyberkriminelle in die Lage, den Inhalt der NASA-Webseiten zu verändern und alle auf dem Server gespeicherten Daten zu kopieren. Den Fehler berichtete Ungethuem der NASA bereits vor einigen Jahren. In der Zwischenzeit gab es aber keine Verbesserung. Wir wiesen die NASA vor mehr als 24 Stunden auf die Fehler per Twitter hin und erkundigten uns, wem wir die Details übermitteln sollen. Bislang erfolgte keine Reaktion. Sicherheitshalber wiederholten wir den Hinweis heute Vormittag per E-Mail.

Auch in der Suchmaske des Portals der Europäischen Raumfahrtbehörde ESA fand Unnex einen Cross Site S*****ing (XSS)-Bug, der in diesem Fall das Ausführen von HTML-Code ermöglichte. ESA-Sprecher Andreas Schepers reagierte sofort und leitete die Nachricht unverzüglich an die Technik-Abteilung weiter.

Der eher geringfügige Fehler bei der ESA wurde schon nach wenigen Stunden behoben, die Sicherheitsproblematik bei der NASA besteht allerdings bis heute. Wir warten derzeit noch auf eine Reaktion der NASA. Warum das Thema Sicherheit ausgerechnet bei einer Raumfahrtbehörde einen derart kleinen Stellenwert einnimmt, wird uns sicherlich kein Sprecher erklären können oder wollen. Mittlerweile hat der MDR über den Fall berichtet, das Radio-Interview wurde auch in die Mediathek der ARD aufgenommen.

[Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]

Jackieiii 05.08.12 10:01
Traurig wenn man Firmen auf Sicherheitslücken aufmerksam macht und es dort aber keinen interessiert.

redspot 05.08.12 10:08
Je grösser die Firma, desto länger dauert es, bis die Mail bei den richtigen Leuten ankommt.
(Und dann braucht's erstmal 3 Meetings, was man in der Sache unternimmt)

mrPants 05.08.12 13:25
vielleicht ist es ja auch einfach nur ein [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]

Skyler9000 05.08.12 18:23
Zitat:
Zitat von redspot (Beitrag 23731190)
Je grösser die Firma, desto länger dauert es, bis die Mail bei den richtigen Leuten ankommt.
(Und dann braucht's erstmal 3 Meetings, was man in der Sache unternimmt)
Ja gut das mag ja sein, aber wenn schon vor Jahren darauf hingewiesen wurde hatte man doch schon mehr als genug Zeit um irgendetwas zu unternehmen.
Wenn man das dann aber nicht nutzt ja da kann man nur sagen" Selbst Schuld "


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:26 Uhr.

Powered by vBulletin® (Deutsch)
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.