Polnische Regierung mit Sicherheitsproblemen
sToRm 
Die Regierung in Polen scheint es offenbar nicht ganz so genau zu nehmen, wenn es um die Sicherheit der eigenen Systeme geht. Vor einer Woche habe ich versucht, Kontakt mit der polnischen Regierung bzw. den Verantwortlichen für die Internetpräsenzen aufzunehmen. Der Grund dafür, war eine höchst kritische Sicherheitslücke, welche den Zugriff auf sensible Daten, diverser Behörden und Regierungswebseiten, sowie großen, polnischen Unternehmen ermöglicht. Reagiert hat man bisher leider nicht. ...
"Spricht hier jemand polnisch?" Das war meine erste Frage in die Runde, als ich mit dem Kinn auf der Tischplatte, vor der Mattscheibe saß und nicht glauben konnte, was ich da zu sehen bekam. Vorbeugend - wegen aktueller Vorkommnisse - wollte ich mich auf diversen Internetpräsenzen der polnischen Regierung, sowie kritischen Systemen des Landes umsehen, um ggf. vorhandene Sicherheitslücken aufzudecken und diese zu melden. Da Polen derzeit aufgrund des umstrittenen Themas "ACTA" unter starkem, digitalen Beschuss steht und - leider - auch unschuldige Personen zu Zielscheiben werden könnten, habe ich mir vorgenommen, schneller zu sein, als die Chaoten da draußen, die auf alles schießen, was ein ".pl" in der URL hat.
Nach etwa 5 Minuten und einer Flut kleinerer Bugs, bin ich auf eine höchst kritische Sicherheitslücke aufmerksam geworden. Über ungefilterte Parameter konnte die Datenbankabfrage der Webanwendung manipuliert werden (SQL Injection). Ein Angreifer könnte dieses Sicherheitsproblem ausnutzen und sich Zugriff auf die Datenbank verschaffen, möglicherweise sehr sensible Informationen ausspähen oder gar die Kontrolle über das System erreichen. Natürlich habe ich die Betreiber umgehend um Kontaktaufnahme gebeten und darauf hingewiesen, dass sich kritische Sicherheitslücken im Portal befinden.
Zunächst ging ich davon aus, dass die Schwachstelle lediglich Zugriff auf die Datenbank(en) des zugehörigen Internetportals ermöglichen könnte (so ist es in den meisten Fällen). Nachdem ich aber bis jetzt keinerlei Rückmeldung auf meine Kontaktanfrage erhalten habe, wollte ich mir die Sache zur Sicherheit noch einmal genauer ansehen, um einen Fehlalarm ausschließen oder ggf. das Potential der Sicherheitslücke einschätzen zu können. Zudem wollte ich - um noch einen Kontaktversuch zu starten - einen Auszug der technischen Informationen speichern. Oft werden Kontaktanfragen - gerade bei Ansprechpartnern aus der Regierung - einfach ignoriert und die Sicherheitswarnungen als Spam behandelt. Darum eignet sich so ein "Info-Auszug" sehr gut, um die Betreiber von der Glaubwürdigkeit des Hinweises zu überzeugen.
Als ich den "Info-Auszug" zu sehen bekam, wollte ich zunächst meinen eigenen Augen nicht trauen. Das Ausmaß der Sicherheitslücke war weitaus größer, als ich mir anfangs vorstellen konnte. Der Datenbankbenutzer für das betroffene Portal war tatsächlich "root @ localhost". Das kommt zwar öfter mal vor und sollte eigentlich nicht unbedingt so sein, allerdings musste ich feststellen, dass dies nicht das einzige Problemchen war. Durch die aufgelisteten Informationen kamen neben der Regierungswebsite, noch weitere Nutzer der Datenbank zum Vorschein. Nach ein wenig Recherche wurde mir bewusst, dass die Betreiber des Servers wohl einen gravierenden Fehler gemacht haben. Die Datenbanken sämtlicher Kunden des IT-Unternehmens bzw. Webhosters sind über die von mir aufgedeckte Schwachstelle erreichbar. Dazu gehören viele Behörden, große Firmen und Teile der Regierung, sowie das IT-Unternehmen selbst. Ein böswilliger Angriff hätte fatale Folgen.
Mit den neuen Informationen habe ich nun auch weitere, betroffene Stellen kontaktiert und warte bislang auf eine Rückmeldung. Bisher aber konnte ich keine Antwort feststellen. Mich persönlich wundert dies sehr, da ja im Moment - gerade auf dem digitalen Schlachtfeld - besonders große Vorsicht angesagt wäre und man auf Hinweise zu Sicherheitslücken umgehend reagieren sollte. Von einem Webhoster, der Server für die Regierung, diverse Behörden und große Unternehmen bereitstellt, sollte man dies doch eigentlich erwarten können.
Ich hoffe, dass die Verantwortlichen möglichst schnell auf meinen Kontaktversuch reagieren und die Sicherheitslücken beseitigen können. Natürlich stehe ich den Verantwortlichen gerne zur Verfügung und helfe - wenn es sein muss - direkt bei der Beseitigung vorhandener Schwachstellen mit.
Polskie: http://pastehtml.com/view/bm9iy1o75.html
