24.03.2011

Paßwort-Dienst greift zu Holzhammer
c't-Redaktion ausgesperrt

Mit dem Holzhammer gegen ct Hamburg (LiZ). Ein Redakteur der Computer-Zeitschrift c't des Heise-Verlags testete in Vorbereitung eines Artikels den Paßwort-Dienst 'Lastpass' auf Sicherheitslücken. Kurze Zeit darauf war die gesamte Redaktion ausgesperrt. Beim Aufruf der 'Lastpass'-Web-Site erschien nur noch der Hinweis, daß die IP-Adresse wegen verdächtiger Aktivitäten gesperrt sei.

Eigentlich nicht mal ein wirklicher Hacker-Angriff: Der c't-Redakteur hatte lediglich routinemäßig ein paar Eingabefelder auf der Seite des Paßwort-Dienstes 'Lastpass' mit Zeichenketten gefüttert, die Hinweise auf XSS- beziehungsweise SQL-Injection-Probleme auf der Seite geben würden. Derartige Sicherheitslücken sind leider nach wie vor weit verbreitet und wären für einen zentralen Paßwort-Speicher, wie ihn 'Lastpass' anbietet, unverzeihlich. 'Lastpass' reagierte mit dem "Holzhammer" und setze die IP-Adresse des vermeintlichen Hackers auf eine schwarze Liste.

Da aber sämtliche MitarbeiterInnen bei Heise über einen gemeinsamen Proxy ins Internet gelangen, war nun die IP-Adresse des gesamten Verlags auf der schwarzen Liste gelandet. Das ganze Haus war somit ausgesperrt. Zwar wurde die Sperrung laut Heise-Medieninfo "nach einem kurzen eMail-Austausch" aufgehoben, die Betroffenen stellen nun jedoch öffentlich die rhetorische Frage, ob eine derartige schwarze Liste tatsächlich geeignet ist, die Sicherheit eines Dienstes zu erhöhen. 'Lastpass' hatte offenbar erst zum "Holzhammer" gegriffen, nachdem im Internet eine XSS-Lücke auf seinen Web-Seiten veröffentlicht wurde, die der Anbieter am darauffolgenden Tag geschlossen hat. In Hacker-Kreisen wird das Verhalten von 'Lastpass' amüsiert kommentiert, da es ohne allzu großen technischen Aufwand möglich ist, auf den "Holzhammer" von 'Lastpass' einen groben Keil zu setzen: Ein Angreifer könnte mit Hilfe von IP-Spoofing IP-Adressen fälschen und so ganze Adressbereiche sperren.

Hinzu kommt, daß es bei einer derart hypersensiblen Abwehr wie bei 'Lastpass' dazu führen kann, daß nicht nur Einzelne, sondern auch unbeteiligte Dritte, die über die gleiche NAT-Firewall oder einen gemeinsamen Proxy ins Internet gehen, ausgeperrt werden. Das trifft nicht nur Firmennetze. Auch NutzerInnen von Mobilfunk-Providern werden fast immer über solche Vermittlungsstellen geleitet, wenn sie ins Internet gehen. Wenige schwarze Schafe könnten damit ganze Providernetze aussperren.

Joe Siegrist, CEO bei 'Lastpass', zeigte sich gegenüber den Heise-Journalisten wenig einsichtig: "Im Wesentlichen wollen wir Hackern damit klarmachen, daß wir für sie kein Ziel abgeben." Ob diese Äußerung wohl als Aufforderung zum sportlichen Wettkampf verstanden wird?

 

LINKSZEITUNG

 

Anmerkungen

Siehe auch unsere Artikel:

      Die virtuelle Diskussions-Armee
      ist im Anmarsch (22.02.11)

      EU-Kommissarin Malmström
      kämpft weiter für Internet-Zensur (17.02.11)

      EU mit Appetit auf Passagier-Daten
      Speicherung angeblich zum Zweck der Terrorabwehr
      (3.02.11)

      Luxenburger Piratenpartei
      gegen Volkszählung (28.01.11)

      Neo-Nazis wollen bundesweit schnüffeln
      "Zensus 2011" bietet Einfallstor (23.01.11)

      Datenspeicher Küchentisch
      "Zensus 2011" wenig durchdacht (21.01.11)

      Internationale Liga für Menschenrechte
      unterstützt Volkszählungs-Boykott (8.01.11)

      Volkszählung "Zensus 2011"
      Die NPD will helfen (6.01.11)

      Volkszählungs-GegnerInnen
      legen Verfassungsbeschwerde ein (16.07.10)

      Daten-Krake ELENA eingefroren
      Moratorium für elektronischen Einkommensnachweis
      (6.07.10)

      google und Zensur
      Deutschland weit vorne (21.04.10)

      Unfähig zur Diskussion
      Internet-Sperren und Cecilia Malmström (15.04.10)

      Internet-Zensur nun aus Brüssel?
      Vorwand Kinderpornographie und erschreckende
      Ignoranz gegenüber Sachargumenten (29.03.10)

      Internet-Sperren-Gesetz von der Leyens
      soll gestoppt werden (27.12.09)

      Demo "Freiheit statt Angst" in Berlin
      20.000 gegen Überwachungswahn (13.09.09)

      'aspekte'-Sendung mit Kritik an Internet-Sperren-Gesetz
      Ex-Bundesverfassungsrichter Hoffmann-Riem
      äußert schwerwiegende Bedenken (1.08.09)

      Internet - Kinderpornographie
      - Vorwand für politische Zensur
      Anhörung im Bundestag (4.06.09)

      Internet - Kinderpornographie
      - Vorwand für politische Zensur
      Regierung spricht von Gremium zur Kontrolle des BKA
      (26.05.09)

      Gegen politische Zensur des Internets
      Online-Petition gegen Internetsperre
      am ersten Tag mehr als 16.000 UnterzeichnerInnen
      (5.05.09)

      Mit Stop-Schild gegen Kinderpornos?
      Arbeitskreis gegen Internetsperren und Zensur gegründet
      (17.04.09)

      Aufstehn für ein freies Internet
      CCC will "Zensursula" besuchen (16.04.09)

      wikileaks.de gesperrt
      Beginn der Internet-Zensur in Deutschland? (11.04.09)

      Hausdurchsuchung bei Inhaber der Domain wikileaks.de
      Aktionismus gegen Kinderpornographie
      als Vorwand für politische Zensur (25.03.09)

      Bundesverfassungsgericht stoppt Wahl-Computer
      Die Manipulierbarkeit
      von elektronischen Speichersystemen,
      'Wikipedia' und Internet-Umfragen (3.03.2009)

      Aktionismus gegen Kinderpornographie
      zielt auf Zensur des Internets
      Im Visier ist das letzte Kommunikationsfeld
      für freie linke Nachrichten (1.02.09)