DigiTask: Staatstrojaner-Bastler unsicher im Web

Im Zuge der Diskussion um die am Wochenende durch den Chaos Computer Club (CCC) präsentierten Staatstrojaner hat der IT-Security-Berater David Vieira-Kurz die Webseite von DigiTask, dem Unternehmen, dass die Malware im Auftrag der Landesbehörden ... mehr... Sicherheit, schloss, Abus Bildquelle: Robert Wallace / Flickr Sicherheit, schloss, Abus Sicherheit, schloss, Abus Robert Wallace / Flickr

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Ohne Worte ... echt ohne Worte. Wie ... sry aber da fällt einem doch nichts mehr ein. Und so eine Drecksunternehmen kassiert auch noch Millionen.
 
@funny1988: unsere politiker sind halt die besten ;)
 
@funny1988: Ob die Webseite gut oder schlecht ist hat aber nichts mit der Programmierung der Spionage Software zu tun. Laut Bericht auf heise versagt sämtliche AV-Software bei den Trojanern und das ist für einen Auftraggeber wichtig. Irgendwie kommt mir da David Vieira-Kurz eher als Neider rüber der den Auftrag nicht bekommen hat und jetzt dafür auf die Webseite abzieht. [Edit:] Falschen Namen ausgebessert
 
@nowin: für mich klingt das auch nur nach denuzierung...
 
@nowin: naja das raffen halt viele leider nicht das ne website nix über die firma aussagt. die website wurde halt irgendwann mal von denen online gestellt und seit dem verweilt sie halt im netz... das argument "Auf die Login-Seite zum Admininstrationsbereich des CMS kann ohne weitere Beschränkung aus dem ganzen Netz zugegriffen werden." ist übrigens der größte blödsinn überhaupt. als ob auf der homepage irgendwas super geheimes rumliegt. zudem nimmt es die möglichkeit von unterwegs mal kurz änderungen an der homepage zu machen. Das ganze "hacken" irgendwelcher firmenwebsites wird viel zu stark gehypt.
 
@nowin: 1. DigiTask hat doch den Auftrag bekommen, wieso sollten die siech selber etwas neiden. 2. Wurde hier laut CCC "Dilettantisch und stümperhaft Programmiert" http://tinyurl.com/gfgghg
 
@nowin: Seh ich genauso. Die eigene Webseite ist bei vielen Firmen einfach eine Präsentationsplattform mit ein paar Infos drauf, die nicht wichtig /sicherheitskritisch sind. Da setzt man zunm Entwicklen halt nen Praktikanten hin. Die Zeit der richtig guten Leute verschwendet man für sowas nicht. Das unverschlüsselte Versenden eines einfachen Kontakformulars anzumeckern ist z.B. total lächerlich.
 
@nowin: So gerade mal den Artikel auf heise verschlungen. Ja mag stimmen, dass die Website unrelevant für den Sachverhalt ist. Mal abgesehen davon, dass es ungeheuerlich ist, zu welchen Mitteln unser Staat greift, wurde ja bereits im Vorfeld deutlich, dass der Trojaner selbst sicherheitstechnisch eine Katastrophe ist. Ich finde die Tatsache, dass Dritte in der Lage sein könnten, den Trojaner zu Missbrauchen fast noch schlimmer, als die Tatsache, dass er überhaupt existiert. Gerade jetzt wo bekannt geworden ist, dass einfache Abänderung ihn unentdeckbar machen. Man überlege sich nur mal was passiert, wenn das Teil in "fähigen" Händen landen würde. Die Tatsache das die Website sche**** ist verdeutlicht nur nochmal, was für ein Unternehmen dahinter steht.
 
@funny1988: und allen anderen die geantwortet haben: Fakt ist, es werden nicht nur Behörden in der BRD spionieren, sondern viele andere dazu auch noch, egal auf welche Weise. Momentan regt sich zwar jeder auf, aber seinen Computer wird er weiterhin benutzen und wenn er nur damit den Viren verseuchten Kampfthronen der Amerikaner zusieht. [Update] "Bundestrojaner" auch nach Österreich verkauft" jetzt haben wir Ihn auch http://tinyurl.com/3jnc5ru
 
@nowin: Nun , dem kann ich dir nicht zustimmen! RSA ist aufgrund einer Sicherheitlücke im Firmennetzwerk kompromittiert worden! Wenn man über den Webauftritt ins Firmennetzwerk gelangen kann ist das allemal schlecht. Es zeigt eindeutig das sie nicht auf hohe Qualität wert legen.( Wo auch immer)
 
@nowin: Der Trojaner an sich ist überhaupt nicht korrekt Programmiert. Ihm fehlt zum Beispiel eine Verschlüsselung! Das heißt jeder kann diesen Trojaner debuggen und für seine Zwecke weiterentwickeln. So ist übrigens der CCC auf den "Quellcode" gekommen, und konnte den Staatstrojaner analysieren! Wenn der CCC das kann, können das auch die Japaner oder andere Hacker...
 
@nowin: Davon abgesehen, dass die "Software" ebenfalls nicht ordentlich programmiert ist (laut CCC), halte ich eine Webpräsenz sehr wohl für relevant. Vor allem bei einer DigiTask GmbH mit "speziellen Telekommunikationssystemen". Das Gesamtbild welches dieses Unternehmen von sich gibt (einschl. dieser News) ist nicht gerade eine Empfehlung. Mir kommt's so vor als ob man sich dort auf fragwürdige Geschäftsgebaren spezialisiert hätte um schnell ans große Geld zu kommen. Ein ehemaliger Geschäftsführer soll schon wegen Beamtenbestechung verurteilt sein (Quelle: SPON).
 
@funny1988: Wundert es? Schaut mal nach von wem DigiTask die Tocher (Deloitte) und dann schaut mal nach wer da im Beirat sitzt... das sind so Namen wie Schily... ;)
 
@funny1988: genau das... ich bin Sprachlos. Und jetzt schätzen wir mal wieviel Steuermillionen in anderen Branchen für ähnlichen Müll in den Gulli geht. Boah wird mir grad schlecht.
 
@funny1988: und dann auch noch joomla 1.5! sind die nicht in der lage ein eigenes system zu schreiben?
 
Zuerst habe ich bei IT-Security Experte an komplizierte Sicherheitslücken gedacht.... Aber das sind ja wirklich peinliche 0815-Fehler. Junge Junge
 
@T!tr0: Unprofessionelle Stümper die von unprofessionellen Stümpern beauftragt wurden, was soll man da auch noch erwarten?
 
@jigsaw: nene, das sind beides professionelle stümper
 
@DataLohr: jep, so gesehen sind die auf dem Gebiet der Inkompetenz und des Stümpertums absolute Profis ;-)
 
Und solch unprofessionelle Stümper bekommen auch noch Geld in Millionen höhe :D FAIL!
 
@CosaNostra: So wie es jetzt aussieht bekommen sie wohl demnächst verdientermaßen ein Antragsformular für die Insolvenz
 
@jigsaw: Wen kümmert's? GmbH und so. -.-
 
@jigsaw: wenn die Kohle vom Staat schon kassiert wurde, kann es dem Chef doch egal sein. Bude zu und ab ins Ausland. Das Geld wartet dort bestimmt schon...
 
das kommt davon wenn ein Politiker den Auftrag bekommt einen Trojaner zu beschaffen aber selbst keine Ahnung von dem Hintergrund hat :) ... nicht alles was glänzt ist auch Gold ;)
 
@Sello2001: das glänzen in den augen kann auch die sonne sein die durch den hohlen schädel scheint :D
 
@Sello2001: Bei der ganzen Sache überhaupt noch von etwas glänzendem zu reden halte ich schon für zu gewagt....
 
War bei HBGary doch nicht anders, also warum sollte es in Deutschland besser sein?
 
@ouzo: Hehe xD HBGary war sowieso der Knüller! Der CEO wurde schön vorgeführt. ^^
 
@Peacekeeper7891: Bei HBGary hat der Chef vor dem "Einbruch" damit geprahlt, angeblich Mitglieder von Anonymous enttarnt zu haben. Die haben dann seinen Laden so richtig aufgemischt und dann wurde über irgendwelche Enttarnungen nichts mehr mitgeteilt.
 
Wenn Leute ohne Ahnung andere Leute ohne Ahnung beauftragen, Sachen zu machen, von denen unbeteiligte Dritte im Schnitt mehr Ahnung haben als die Auftraggeber und AUftragsentgegennehmer, so spricht man von Politik.
 
Was ich ja auch nicht verstehe... Irgendwie ist der Trojaner dem CCC zugespielt worden, also hat der unter Beobachtung stehende den Trojaner entdeckt... Fail... oder wird der Bundestrojaner schon von Norton / Kasperski / Avira und den ganzen Scannern gefunden?
 
@rallef: der wird sicher nie von nem virenscanner gefunden werden.obwohl so stümperhaft wie das teil programmiert ist schlägt wahrscheinlich eh die heuristik an.
 
@rallef: mittlerweile wird er entdeckt
 
@Sello2001: Wird nicht wirklich entdeckt. http://goo.gl/JxS5W
 
@rallef: Es gibt Leute die schauen mal nach ,welche Pakete an Daten rausgehen!
 
@rallef: Das beste ist, wo die Entwickler das Teil hochgeladen haben... bei virus-total. Und was macht die Website mit den hochgeladenen Samples? http://blog.fefe.de/?ts=b06a8ce2
 
@Schmengengerling: Argggghhhh!
 
das "lustige" ist, das dieser Trojaner vielleicht entdeckt werden sollte um den echten besser zu verheimlichen...warum einen kaufen wenn man für das doppelte gleich 2 bekommt (vielleicht einen besseren bei einer Firma ohne Webpräsenz)
 
@Sello2001: Nee, Öffentlicher Dienst... die können nicht besser, und als Dienstleister werdern nur die billigsten genommen.
 
Fail! Epic Fail!
 
Da hatten die bei DigiTask wohl kein Geld mehr. Man musste vorher ja Politiker und Beamte bestechen.
 
Die oben gezeigten Bilder sagen nichts über die Sicherheit der Internetseite der Firma aus. Das ist hier ein weitere verarsche und ihr springt darauf an. Die Login Seite muss ja erreichbar sein, wie sollen sich die Mitarbeiter sonst einloggen können? Genauso Blödsinn wäre es wenn Winfuture.de die Login Seite vor den Usern versteckt.
 
@starbase64:
es geht denk ich darum das man die Login Seiten zum Backend Bereich nochmal mit htaccess oder was auch immer zusätzlich schützen müsse
 
@alucart: Wenn einer rein will kommt er rein, egal welcher "Schutz" verwendet wird. Das hat auch der Hack auf die Linux Foundation gezeigt.
 
@starbase64:
natürlich aber man kann es gut rauszögern glaub mir :)
Man kann nichts wirkliches gegen BruteForce Attacken unternehmen um sie zu stoppen aber kann dem Angreifer den Spaßverderben zB in dem man einfach nr die Zeit verdoppelt zwischen den Logins :) und solcher Methoden gibt es einige, und mit gutem Passwort und mehrern Barrieren lässt sich schon gut zumindest die Sicherheit verbessern ;)
btw: nach deiner Argumentation müsste ja dann keiner mehr ein pw verwenden, wird ja eh geknackt, ich du weißt was ich damit meine :)
 
@starbase64: Hört sich so an: Wenn einer rein will, dann kommt er auch rein. Also wofür irgendwelche Sicherheitsmaßnahmen ?
Dein Argument ist zwar richtig, aber trotzdem daneben.
 
@starbase64: du musst die logins unterscheiden. das hier bei WF ist zum beispiel ein user login. das ist auch so gewollt, dass es erreichbar ist. das login da, ist ein login zum backend und zum CMS der firma. bei einer solchen firma sollte ein entsprechendes login aber nicht von außen erreichbar sein. dafür gibt es das sogenannte intranet. denn bei ungesichertem zugriff über das www wäre es auch für nicht authorisierte personen möglich, auf content der firma zuzugreifen, diesen zu entwenden oder zu manipulieren. das ist hochgradig gefährlich. grade da hier der trojaner offen wie ein scheuentor ist. wenn dann von der seite der firma kundendaten auf diesem wege entwednet werden, können die trojanerfreunde ziemlich schnell gehackt werden. du musst dir das so vorstellen: deinen router zu hause kannst du in der regel auch nicht von außen erreichen (und wenn doch denk mal drüber nach) sondern nur von "innen" über eigene netzwerk. sonst könnte ja jeder beliebige mensch, der deine IP abgreift versuchen, sich in deinen router einzuloggen!
 
@starbase64: Du hast das nicht verstanden! Der Server gibt bei einem Fehler den Pfad heraus. Das sollte bei Servern nicht der Fall sein ( SQL-Injection)
 
Hah :-) wie schön, von der Seite Selbst das "joomla Logo" entfernen aber im Quelltext stehts natürlich noch ^_^ wunderbar sowas.
 
die werden entdeckt werden, Der Chef von Norton hat schon als die Diskussion aufkam gemeint: unsere Aufgabe ist es den User vor jeglicher Malware zu schützen, egal von wem sie kommt!

Und würde man sie staatlich zwingen wollen, wäre es kein Problem den Firmensitz zu verlagern.

Ich denke nicht das sich das Anti Voren Hersteller leisten können sich mit sowas den Ruf zu versauen
 
Das Template der Seite kenn ich iwo her, hättn se ja wenigstes ändern können.. :D
 
Und was fangen wir mit dieser Info an? Es wird doch wohl keiner ernsthaft glauben, dass Firmen, die vom Staat mit irgendwas beauftragt werden, sich durch besonderes Wissen hervortun. Digitask waren bestimmt die billigsten und außerdem ist ja beim Auftraggeber (der Polizei Bayern) auch niemand, der irgendwie von was Ahnung hat. Warum sollten die also viel Geld in vernüftige Entwickler stecken, wenn es die Praktikanten aus dem 1. Semester BWL auch tun. Das nennt man Gewinnmaximierung. Es ist auch nicht davon auszugehen, das für dieses Gestümpere am Ende irgendjemand seinen Hut nehmen muss.
 
@Karmageddon: also zumindest bei uns an der uni lernen alle, die was mit informatik machen im ersten semester etwas über vertraulichkeit verbindlichkeit authentizität integrität und anonymität. daher gehe ich nicht davon aus, dass das BWL praktikanten waren sondern eher eine förderklasse der pierre littbarski berufsschule.
 
Sie sind ja auch kein Unternehmen zum Schutz vor digitalem Einbruch, sondern eines zur Bereitstellung von Werkzeugen dafür. Niemand erwartet, dass ein Hersteller von Brecheisen seinen Firmensitz mit einbruchsicheren Türen ausstattet ;) Ausserdem: Hier hat die öffentliche Hand beauftragt. Sicherlich den billigsten Anbieter...
 
@FenFire: Würdest du Türschlösser bei einem Händler kaufen der die ErsatzSchlüssel rumliegen lässt? Es zeigt eindeutig das der Laden schlampig arbeitet!
 
@Lordlinux: Die Türschlösser kaufe ich aber bei jemand, dessen Geschäft es ist Gebäude abzuschliessen und nicht verschlossene Gebäude zu öffnen (obwohl ein Schlüsseldienst natürlich beide Dienste anbietet :)). Der Trojaner wurde von den Behörden bei jemand gekauft, dessen Geschäft es ist etwas verschlossenes zu öffnen... und dass hier eine schlampige Firma beauftragt wurde ist natürlich obendrein der Fall. Wie gesagt, ich vermute sie waren schön billig...
 
Ist mal jemanden der Gedannke gekommen, dass das Theater eher der Verschleierung eines ganz anderen, dem "echten" Trojaner z.B. dient? Brot und Spiele fürs Volk ;) Und was das Lustigste ist, wie Ihr Euch alle aufregt über die Inkompetenz und dass es ja offenbar die billigste Firma war;) Vielleicht ist das hier sowas wie eine Tarnfirma, wer weiß;) Wäre Euch ansscheinend lieber, es wäre nicht so, der BT wäre sicher und nicht entdeckbar.
 
Jetzt versucht man vom eigentlichen Skandal abzulenken in dem man eine STASI Scheinfirma in den Dreck zieht ( Dreck ist schon Dreck man muss ihn da nicht rein ziehen! )
 
Ich schreibe selten hier, aber jetzt juckt es mich in den Fingern:-))
Leute, Glaubwürdigkeit ist eine der wichtigsten Eigenschaften, die heute leider immer mehr verloren geht. Wollt ihr etwa bei einem herunter gekommenen Menschen euer Geld anlegen?? Eine Firma wie diese hat aaus Glaubwürdigkeitsgründen ne perfekte, sichere Webpräsenz zu präsentieren... Im normalen Leben und im TV stören mich auch die unglaubwürdigen Figuren...z.B. dicke Köche, sie sagen, wir kochen gesund (warum ist er dann dick??) oder dicke Psychologen, die anderen sagen wollen was sie zu tun haben, aber nicht in der Lage sind für ihren eigenen Körper Verantwortung zu tragen. So, nun her mit den ganzen "Minus-Punkten" *grins
 
Hier mal ein paar Fakten:
1. Der Trojaner wird im Monat pro Einsatz bezahlt wird und nicht im Komplettpaket!
2. Der Trojaner war zum Himmel schreinend schlecht Programiert.
3. Es waren mehrere Versionen dieses Trojaners die dem CCC zugespielt wurden. Der älterste war 3 Jahre alt. Einige Versionen greifen auf Proxys im Ausland (Amerika) zu um die Herkunft zu verschleiern.
4. Der Skandal an der Sache ist nicht der Staatstrojaner sondern die Möglichkeiten die er hat. (Upload von Dateien und somit die Möglichkeit Beweise zu fälschen, Wohnraumüberwachung über Mic oder Kamera)
5. Es ist Bewiesen dass es sich hier um einen Staatstrojaner handelt.
6. Sollte jeder anhören! http://alternativlos.org/19/
7. Eine Quelle für den CCC war ein Laptop eines CEOs eines Medikamentenherstellers, dieser wurde im am Flughafen beim Check kurz abgenommen und der Trojaner wurde aufgespielt. Grund war allerdings NICHT das er unter Terrorismusverdacht steht.
 
Schlampig, einfach nur schlampig. Und nach dem Defacement beschweren se sich - bei der Presse momentan ist das nur noch eine Frage der Zeit bis es passiert, da brauch man keine Kristallkugel.
 
Tja, da haben sich zwei Deppen gefunden, die Firma und die Politik.
 
Joomla 1.5 hat Long Term Support, und erhaelt wesentlich laenger Sicherheitsupdates als die 1.7
 
also insgesamt macht diese fa keinen guten eindruck... für einen laien schwer zu überprüfen... schön, dass sich experten mal genauer damit befassen... es ist immer seltsam, wenn auf seiten was von "führende anbieter von...." steht ... +1 und [gefällt mir]
 
Das hat man jetzt von den gezwungenen Auftragsausschreibungen, da zählt dann halt nicht mehr Qualität sondern der Günstigste der am besten blenden kann ^^
 
Wenigstens einer hat es bemerkt: Der angeblich IT-Security-Berater hat leider seine Hausaufgaben sehr schlecht gemacht. In Joomla 1.5.23 gibt es keine bekannten Sicherheitslücken. Wie schon bemerkt wurde, handelt es sich um eine Version, die noch bis 2012 Support erhält und erst dann durch 1.8 / 2.0 abgelöst wird.

Und die Fehler Meldungen sind standardmäßig bei 1&1 aktiviert, dort liegt die Internetseite von DigiTask. Ich nehme nicht an, dass dort Kundendaten liegen oder Geschäftsgeheimisse.

Und meiner Meinung nach sind derzeit keine Sicherheitslücken bekannt bei PHP 4.4.9, auch wenn es seit einiger Zeit keinen Support mehr gibt. Ist aber auch seit letzter Woche bei den meisten Systemen bei 1&1 Geschichte, die anderen werden in den nächsten Tagen aktualisiert.

Da wollte sich ein angeblicher Berater mal so richtig wichtig machen... was für ein Dummschwätzer... sorry!
 
@holly4fun: Interessant auch, dass sich auf der Webseite des Sicherheitsberater ein iFrame eingeschlichen hat. Was will uns der Autor damit wohl sagen...

s. Quelltext Zeile 153 auf secalert.net

<iframe src="http://flauschii-gb.com" width="1px" height="1px"></iframe>

Flauschii hat ne Menge mit Security zu tun ;)
 
die haben den job nicht nur schlecht gemacht, sondern auch noch zugeschanzt bekommen digitask -> 100% tochter von deloitte -> Beirat: Dr. h.c. Otto Schily, ehem. Bundesminister des Innern http://blog.fefe.de/
 
@navahoo: Was redest du für einen Unsinn. "...hat das Beratungsunternehmen Deloitte die Firma Digitask zwischen 2000 und 2006 treuhänderisch verwaltet." Wikipedia...
 
Wenn man nur für ein paar Trojanereinsätze bezahlt wird kann man sich offenbar kein anderen Hoster leisten . Deshalb musste Digitask doch Zollbeamte bestechen damit Sie mehr Trojanereinsätze kaufen ! Ich wette Digitask hatte schon eine Lobby gegründet die sich bei der CDU für mehr Trojanereinsätze stark macht.
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles