Harvard Universität - Keine Reaktion auf Hinweise

Harvard Universität - Keine Reaktion auf Hinweise

Per Zufall ist man über sehr kritische Schwachstellen auf Internetportalen der Harvard Universität gestoßen. Eine fehlerhafte Benutzereingabe erweckte die Aufmerksamkeit und veranlasste, dass man sich den Quellcode einmal genauer ansah. Nur wenige Sekunden und Zeilen später stieß man bereits auf gravierende Probleme, welche die Sicherheit der Nutzer und Besucher, sowie der Betreiber stark gefährden könnten. Als die ersten "Bugs" entdeckt wurden, hat man sich weiter auf die Suche gemacht, um für einen Bericht an die Harvard Universität bzw. die Zuständigen, möglichst viele Informationen zu sammeln, die man bereits vorab zur Verfügung stellen kann.

Eine ausführliche Sicherheitsüberprüfung war zwar aus rechtlicher Sicht bisher nicht möglich, da hierfür vorab die Genehmigung der Betreiber vorliegen müsste - die in legalem Rahmen möglichen Tests aber, brachten bereits ein sehr schlechtes Ergebnis. So konnten diverse Angriffsmethoden in über 150 verschiedenen Arten simuliert werden. Der Server selbst birgt durch veraltete Software diverse Angriffsmöglichkeiten und ist nur unzureichend vor möglichen Übergriffen geschützt. Diverse Benutzereingaben bzw. Parameter innerhalb der Internetportale werden ungefiltert verarbeitet und stellen daher ein Risiko für die Besucher dar. Ähnlich wie in anderen Fällen, wäre auch hier die Integration fremder/schädlicher Inhalte von einem entfernten Server möglich, so könnte auch hier eine XSS Shell zum Einsatz kommen. Demnach wäre gezieltes Phishing oder gar die Kontrollübernahme des Computers eines Besuchers möglich. Auch "Nyan Cat" war zu Demonstrationszwecken bereits zu bei der Universität zu Besuch.

Leider hat man bisher auf mehrfache Hinweise nicht reagiert. Eine Antwort auf unsere Nachrichten blieb aus und auch die Schwachstellen wurden bisher nicht beseitigt. Scheinbar nimmt man dort die Warnungen aus dem "fernen Deutschland" nicht wahr. Wir werden aber weiterhin versuchen, die Betreiber mit unseren Hinweisen zu erreichen, so dass die Probleme möglichst umgehend beseitigt werden können. Sollten die zuständigen Betreiber in den kommenden Tagen nicht reagieren, wäre auch die Information der dortigen Behörden ein Gedanke. Im Moment kann man aber leider nur warten...

Update I 15.08.2011 - 22:45:
Leider konnten wir bis jetzt keinerlei Reaktion von Seiten der Harvard Universität feststellen. Eine Antwort auf unsere Hinweise erhielt man bisher nicht. Trotz mehrmaligen Hinweisen scheint man dort den Ernst der Lage nicht erkannt zu haben. Selbst eine Email an die dort sitzenden Behörden brachte keinerlei Erfolg. Man ignoriert die Situation bzw. die Problematik einfach (da wundert es nicht, wenn Hacker "dort drüben" leichtes Spiel haben).

Video:

Hier kann man sich ein Beispiel ansehen...
Rick Astley @ Harvard University: http://tinyurl.com/SOharvard1