Unternehmer, IT-Sicherheitsexperte & Entwickler
  • Head of CYBERWAR.ARMY™ - We ❤ Cybersecurity

Hacked: Kompetenzzentrum für Cybersicherheit der Europäischen Union (ENISA)

Agentur der Europäischen Union für Cybersicherheit Sicherheitslücken
Technik & IT-Sec

Hacked: Kompetenzzentrum für Cybersicherheit der Europäischen Union (ENISA)

Die Agentur der Europäischen Union für Cybersicherheit (ENISA) lieferte ausgerechnet im eigens hochgelobten und beworbenen “Cybersecurity Month”, ein absolutes Paradebeispiel dafür, wie man es in Sachen Cybersecurity definitiv nicht machen sollte. Zumindest nicht dann, wenn man Wert auf die Sicherheit seiner Daten legt und nicht gerade darauf abzielt, aus den eigenen Webangeboten, ein töfte “Open Source Projekt” zu machen. Denn auch im Europäischen Kompetenzzentrum für Cybersicherheit scheint es bereits bei den absoluten Basics zu hapern. Und in Anbetracht der europaweiten Träumereien der Politik, wenn es um das Thema Digitalisierung geht, wird langsam deutlich, womit wir dann später wohl alle rechnen dürfen.

Eigentlich ist die im Jahr 2005 gegründete “European Network and Information Security Agency” der Europäischen Union ja das unionsweite Kompetenzzentrum in Fragen der Cybersicherheit. Liest man sich bei Wikipedia ein wenig in die Aufgaben und Ziele der ENISA ein, sollte man meinen, dass insbesondere dort, das Thema IT-Sicherheit an oberster Stelle stehen sollte. Besonders die beiden Sätze “Die ENISA soll ein hohes gemeinsames Maß an Cybersicherheit in der gesamten Union erreichen.” und “Sie dient den Organen, Einrichtungen und sonstigen Stellen der Union sowie anderen maßgeblichen Interessenträgern der Union als Bezugspunkt für Beratung und Sachkenntnis im Bereich Cybersicherheit.” lassen den Leser sehr wahrscheinlich darauf schließen, dass man es hier mit kompetenten Menschen zu tun hat, die definitiv Ahnung von der Materie haben. Wie so oft, muss ich den Leser an der Stelle aber enttäuschen. Denn von einem Kompetenzzentrum, welches die gesamte Europäische Union in Sachen IT-Sicherheit beraten soll, erwarte ich mir ehrlich gesagt mehr. Denn nimmt man sich ein paar Minuten Zeit und sieht sich dort ein wenig um, dann stellt man relativ schnell fest, dass das wenig mit Kompetenz zu tun hat, was man dort findet.

Lesbare Konfigurationsdateien aus der Entwicklungsumgebung – der Klassiker!

Stellen Sie sich vor, Sie gehen zu einem Berater für Gebäudesicherheit und lassen sich dort über die Möglichkeiten aufklären, wie Sie das Eigenheim vor bösen Einbrechern schützen können. Sie gehen davon aus, dass der Berater ganz genau weiß wovon er spricht, denn immerhin ist es ein Berater eines Kompetenzzentrums für Gebäudesicherheit, bezahlt mit viel Geld der Steuerzahler und zudem der unionsweite Ansprechpartner zum Thema. Nun nehmen Sie einen Batzen Geld in die Hand und lassen dieses Kompetenzzentrum Ihr Gebäude checken und anschließend absichern. Als der Nachbar wenige Tage später seinen Rasen mäht, fällt ihm beim Blick in die Richtung Ihres Hauses sodann auf, dass mitten in Ihrem Garten ein gelb leuchtender Ordner liegt, direkt auf einem Silbertablett. Er geht neugierig hin, klappt den Ordner auf und findet darin den Bauplan für Ihr Haus, ein Register all Ihrer Wertsachen und den Schlüssel zu einem Nebeneingang, über den man sich quasi alles mitnehmen kann, was Ihr Haus so zu bieten hat. Wie wäre das für Sie? Ich nehme an, nicht sonderlich töfte, oder?

Nehmen wir diese kleine Geschichte und stellen uns vor, der Berater für Gebäudesicherheit ist das Kompetenzzentrum für Cybersicherheit der Europäischen Union, das Haus ist in Wirklichkeit eine Webpräsenz der ENISA und das Silbertablett mit dem leuchtenden Ordner, ist ein öffentlich zugänglicher Unterordner im Webverzeichnis, welcher sensible Konfigurationsdateien der Entwicklungsumgebung des Programmierers beinhaltet. Klingt das nach einem Kompetenzzentrum für Cybersicherheit, wenn die Entwickler dort, schon fast eine Anleitung mit Inhaltsverzeichnis für potentielle Hacker hinterlegen? Ich denke nicht. Was?! Sie sind schockiert? Aber das “Schmankerl” kommt doch erst noch.

Git-Verzeichnis lesbar und Directory Listing aktiv – Nimm dir was du brauchst!

Vielleicht haben Sie ja bemerkt, dass ich bei dem Beispiel oben, einen Teil nicht aufgeklärt hatte. Da war ja noch der Nebeneingang, nicht wahr? Nun… Als Nebeneingang kann man es im Fall der ENISA nicht wirklch bezeichnen. Eher würde der Begriff “Portal” vielleicht noch passen. Denn die verantwortlichen Entwickler des unionsweiten Kompetenzzentrums waren so freundlich, es nicht nur bei sensiblen Konfigurationsdaten zu belassen. Um es einem potentiellen Angreifer möglichst einfach zu machen, hat man dort – neben dem bereits bekannten “leuchtenden Ordner auf dem Silbertablett” – sogar direkt ein öffentlich lesbares Git-Verzeichnis hinterlassen. Und ja, Sie ahnen es vielleicht schon: Es war keinesfalls in irgendeiner Weise abgesichert. Tatsächlich war man sogar so freundlich, das “Directory Listing” nicht zu unterbinden. So entgeht einem Angreifer absolut nichts, was sich in den Ordnern befindet. Man kann es eigentlich schon fast als “Data to Go” bezeichnen.

Für die Leser, die mit den Begriffen nun nicht wirklich etwas anfangen können, eine kurze Erklärung: Über das öffentlich zugängliche und komplett lesbare Git-Verzeichnis, besteht für einen Angreifer die Möglichkeit, den kompletten Inhalt zu kopieren. In der Regel befindet sich darin eine Art Spiegelung aller Daten, die sich im jeweiligen Projekt beziehungsweise in der Webanwendung oder gar dem gesamten Webverzeichnis des Servers befinden. Man erhält also eine Kopie der gesamten Website, inklusive sämtlicher Konfigurationsdateien, Programmcode und ggf. auch Zugangsdaten. Für einen Hacker ist das praktisch der “Jackpot”, weil man anhand solcher “Dumps” meist alles erreicht, was man erreichen möchte.

Und was passierte danach? Kontakt? Report? Disclosure? – Mmmmh jain.

Für die Leser, die mich noch nicht allzu lange kennen und das damalige Trauerspiel nicht verfolgen konnten, möchte ich an der Stelle kurz erwähnen, dass es bereits in der Vergangenheit einen Fall bei der Europäischen Union gab, der für mich nicht wirklich als Anreiz diente, Reports in der Zukunft, auf dem üblichem Weg zu bringen. Denn damals hatte die Europäische Union über Wochen hinweg, ganze 40 kritische Sicherheitslücken ignoriert, die ich an mehrere Stellen meldete. Erst nachdem ich damit an die Öffentlichkeit ging und sich die Medien dazu gesellten, hielt man es für nötig, auf die Thematik einzugehen. Es hätte also vermutlich wenig Sinn gemacht, den Herrschaften eine E-Mail zu schicken oder sich durch die Warteschleifen verbinden zu lassen.

Stattdessen habe ich den einfachsten und direktesten Weg genutzt, um sehr effizient mit den Betroffenen zu kommunizieren. Twitter war in dem Fall das Sprachrohr und ein passender Screenshot vom Sourcecode, inklusive der Erwähnung (Verlinkung) der Zuständigen, war die nächstgelegene Wahl der Kommunikation. Das hat in der Vergangenheit auch bei der Charité, dem Ethikrat und anderen Betreibern hervorragend funktioniert (dazu mehr in einem späteren Artikel) und dafür gesorgt, dass die Sicherheitsprobleme praktisch instant beseitigt wurden. Und ich muss sagen, dass das auch in dem Fall ein absoluter Erfolg war. Man hat zwar nicht darauf geantwortet (vermutlich war es peinlich), aber meine Botschaft kam definitiv an und hat zum Handeln bewegt. Wenige Stunden später nahm man nämlich pauschal den betroffenen Server vom Netz. Und DAS meine lieben Freunde, ist zumindest eine kompetente Handlung des Kompetenzzentrums für Cybersicherheit, über die ich an der Stelle berichten kann. Daumen hoch! Weitermachen!

Kommentar (1)

  1. Avatar
    Henning

    Das Kompetenzzentrum für Cybersicherheit scheint mir ja in Sachen Cybersicherheit mindestens so kompetent zu sein, wie Drosten, Lauterbach und Wieler zusammen in Sachen Epidemiologie und Infektionsschutz. Ich behalte das mal im Hinterkopf, weil mir öfter vorgehalten wird, ich solle als Laie medizinische Themen lieber den Experten überlassen.

    6. November 2021 um 00:45
    |Antworten

Was denken Sie darüber?

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Copy link