DigiTask: Staatstrojaner-Bastler unsicher im Web

Sicherheit, schloss, Abus Bildquelle: Robert Wallace / Flickr
Im Zuge der Diskussion um die am Wochenende durch den Chaos Computer Club (CCC) präsentierten Staatstrojaner hat der IT-Security-Berater David Vieira-Kurz die Webseite von DigiTask, dem Unternehmen, dass die Malware im Auftrag der Landesbehörden herstellte, unter die Lupe genommen.
Bereits bei einem recht oberflächlichen Blick offenbarten sich dabei gravierende Sicherheitsschwächen. "Ich denke es ist wichtig, die Öffentlichkeit darüber aufzuklären, dass hier ein Unternehmen, welches nicht in der Lage ist seine eigene Webpräsenz zu schützen, Software schreibt, mit denen die Bürger ausspioniert werden können", so Vieira-Kurz gegenüber WinFuture.de.

Die Webseite der Firma basiert dabei auf verschiedenen Standard-Technologien, die in der Regel aber in stark veralteten Versionen vorliegen. So kommt als Content Management System (CMS) beispielsweise Joomla in der Version 1.5 zum Einsatz. Diese wurde erstmals Anfang 2008 bereitgestellt. Aktuell ist die Fassung 1.7, bis zu der verschiedene Sicherheitslücken geschlossen wurden.

Probleme auf DigiTask-WebseiteProbleme auf DigiTask-WebseiteProbleme auf DigiTask-Webseite

Auf die Login-Seite zum Admininstrationsbereich des CMS kann ohne weitere Beschränkung aus dem ganzen Netz zugegriffen werden. Was bei privaten Blogs üblich ist, sollte beim Betrieb einer Unternehmens-Webseite allerdings nicht der Fall sein. Eine Einschränkung auf das Firmennetz wäre hier beispielsweise geboten. Das System gibt außerdem Fehlermeldungen aus, aus denen sich die Pfad-Struktur auf dem Server ableiten lässt.

Auch die auf dem Webserver eingesetzte Version 4.4.9 der Skriptsprache PHP ist auf dem Stand des Jahres 2008. In ihr sind eine ganze Reihe von Sicherheitslücken vorhanden, die schon lange öffentlich gut dokumentiert sind. Will man über die Webseite Kontakt zu DigiTask aufnehmen, werden die Daten aus dem entsprechenden Formular außerdem unverschlüsselt an den Webserver übertragen, obwohl hier aus Datenschutzgründen inzwischen eine SSL-Verbindung üblich ist.

Die Konfiguration der DigiTask-Webseite sei laut Vieira-Kurz "einfach peinlich". Selbst bei preiswerten Webhostern bekomme man für einen geringen Betrag heute bereits deutlich besser geschützte Systeme, die auf dem neuesten Stand sind. Insbesondere für eine Firma, die im Security-Bereich tätig ist und hochsensible Anwendungen bereitstellen will, ist die DigiTask-Webseite eine äußerst misslungene Visitenkarte. Sicherheit, schloss, Abus Sicherheit, schloss, Abus Robert Wallace / Flickr
Diese Nachricht empfehlen
Kommentieren70
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 19:30 UhrVeevan Unisex 1680D Loptop Handtasche Rucksäck
Veevan Unisex 1680D Loptop Handtasche Rucksäck
Original Amazon-Preis
41,99
Im Preisvergleich ab
?
Blitzangebot-Preis
35,27
Ersparnis zu Amazon 0% oder 6,72
Nur bei Amazon erhältlich

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles

Tipp einsenden