Weshalb Security wichtig ist - #PanamaPapers

Jedes Mal, wenn ein neues Security Update erscheint, stellt sich die unvermeidliche Frage: Muss ich nun wirklich die Zeit investieren, um das Update einzuspielen oder kann ich einfach darauf hoffen, dass ich ungeschoren davonkomme?

Bei Amazee Labs ist die Antwort absolut klar und es gibt keine Ausreden: Security Patches werden so schnell wie möglich eingespielt!

Was passieren kann, wenn jemand seinen Security-Job nicht macht sieht man sehr schön (...) am Beispiel der #PanamaPapers.

Die Wahrscheinlichkeit, dass der Leak auch technische Gründe hat, ist gross; es gibt klare Zeichen dafür, dass sich niemand um Security Patches und ähnliches gekümmert hat und dass die Site deswegen angreifbar wurde.

Bis jetzt sind keine Details bekannt, wie genau die 2.4 TB Daten geleaked sind, aber es sieht sehr danach aus, als ob eine der Websites von Mossack Fonseca, nämlich https://portal.mossfon.com, gehacked wurde.

Ein Blick auf den Source Code dieser Website zeigt, dass sie mit Drupal 7 erstellt wurde.

pp

Wir sehen auch, dass die CSS und JavaScript Files nicht aggregiert wurden; das ist übrigens nicht die beste Idee in Bezug auf die Performance, aber das ist eine andere Geschichte.

Wenn wir uns noch etwas weiter umsehen entdecken wir noch einige Unschönheiten.

pp2

Der Change Log zeigt auf, dass die Site immer noch auf der Drupal-Version 7.23 läuft. Das heisst, dass die Website seit mehr als 2 Jahren nicht mehr aktualisiert wurde; damit hat sie eine massive Sicherheitslücke – „Drupalgeddon“. Das bedeutet, dass man irgendwelchen PHP Code problemlos in die Site einspeisen kann.

Theoretisch wäre es möglich, dass die Site für Drupalgeddon gepatched wurde und dass nur die Versionsnummer im Changelog nicht geändert wurde. Aufgrund des generell schlechten Zustands der Site gehen wir aber nicht davon aus, dass dies der Fall ist.

Eine weitere Möglichkeit für Hacker wäre, sich Login-Daten der Site mit einer DROWN Attacke zu beschaffen. Eine DROWN Testsite zeigt, dass die Website dafür nicht geschützt war, als DROWN im Februar 2016 released wurde.

Vielleicht werden wir nie wissen, wie die Site genau angegriffen wurde, aber eines steht fest; nämlich, dass es passiert ist. Deswegen ist die wichtigste technische Erkenntnis für uns die Bestätigung, dass die Sicherheit einer Website essentiell und nicht zu vernachlässigen ist.

Genau deswegen brauchen wir bei Amazee Labs automatisierte Update Tools wie Drop Guard for Drupal und machen wöchentliche Sicherheits- und Wartungsarbeiten.

Die Englische Version dieses Posts findet man hier.

Tags:

Stay in the Loop

We will use the personal data you are sharing with us solely for the purpose of sending you our newsletter. See more here: Data Privacy.

GET IN TOUCH

Let us know how we can help you.

1