Anonymous
- Knowledge is Free.
- We are Anonymous.
- We are Legion.
- We do not forgive.
- We do not forget.
- Expect us.
- I2P IRC
- #AntiSec
- #anon-austria
- #anon-germany
- @AnonAustria
- @_die_Anderen_
- Wir sind weder rechts noch links.
Oops, we did it again.
Wir entschuldigen uns vorab dafür, dass wir eure Seite gleich noch einmal übernehmen, aber wir sehen (Er-)Klärungs- und Nachholbedarf in einigen Bereichen. Wir begrüßen die schnelle und ehrliche Reaktion von Seiten der Grünen, die mit Presseaussendung und Informationen für die Betroffenen vorbildlich war, ihr seid dem Abschluss unserer Aktion damit nur um Stunden zuvorgekommen. Da es aber nicht unsere Art ist, Nachrichten versteckt am Server zu hinterlassen, wollen wir den Abschluss hiermit "offiziell" nachholen.
@AnonAustria und wir
Das Twitter-Konto @AnonAustria wird von einem Anon betreut, auf den wir keinen Einfluss haben und mit dem wir auch nicht verbunden sind. Wir sind die Anderen. Anonymous ist keine homogene Gruppe, sondern ein heterogenes Kollektiv ohne zentrale Strukturen. Gemein ist AnonAustria und uns aber die Vorliebe für My Little Pony: Friendship is Magic. Ihr Maskottchen ist Rainbow Dash, unseres Pinky Pie.
Gründe
Als Geste des guten Willens an die Grünen und diejenigen Anons, die diese Aktion nicht gutgeheißen haben, wollen wir euch helfen, eure Daten in Zukunft besser zu schützen. Denn auch das ist mit ein Teil der Motivation hinter #AntiSec: Das der Datenschutz und vor allem die Datensparsamkeit als Thema von der Politik und der Gesellschaft viel ernster genommen wird und sich ein Bewusstsein dafür entwickelt. Wenn z.B. der Grenzschutz bzw. die Bundespolizei in Deutschland nicht einmal ihre Daten von Abhöraktionen schützen können, wie wird es dann erst mit den Vorratsdaten aussehen? Ganz abgesehen davon, dass wir die totale Überwachung der europäischen Bürger in Form der VDS natürlich sowieso ablehnen.
Öffentliche Daten nützen, private Daten schützen
Dann wäre da noch die Geschichte mit den drei Gibibyte an Daten. Wenn wir von hunderten Telefonnummern und tausenden E-Mail-Adressen schreiben, sind damit nicht irgendwelche Quizteilnehmer oder die Anmeldedaten für Typo3 gemeint, sondern euer Heiligtum. Wir halten jedoch nichts von Aktionen wie dem Veröffentlichen der privaten Telefonnummern der Parteifunktionäre. Das sind persönliche Daten, die geschützt werden müssen. Im Übrigen waren die Facebook-IDs aller Quiz-Teilnehmer sowieso in der frei zugänglichen Datei users.xml gespeichert. #fail
-
Klarstellungen
- Alle Daten wurden nur zum Beweis des Hacks und aus der in Anonymous weit verbreiteten Datensammelleidenschaft heraus als eine Art Trophäe kopiert. Es besteht keine Bereicherungsabsicht.
- Das Typo3-Backend wurde beim ursprünglichen Eindringen nicht angerührt.
- SQL-Injection wurde nicht verwendet.
-
Über das Eindringen
- Zu Aufklärungszwecken wurde ein alter, aber stark modifizierter Exploit (CVE-2010-3714) genutzt. Die Logs sollten dies klar zeigen.
- Einstiegsvektor war eine sowohl gutgläubig (vertraute auf Daten Dritter) als auch schlampig (SQLi-Möglichkeiten) und extra für euch entwickelte Typo3-Erweiterug - besagtes Quiz.
- Mutmaßlich dank einer veralteten PHP-Version konnte
move_uploaded_fileerfolgreich mittels Nullbyte überlistet werden.
-
Ausblick
- Es gibt für eure PHP-Version einen Exploit (CVE-2009-3558) zur Aushebelung der
open_basedir-Einschränkung. - Ein Cronjob des (normalen) Benutzers
cronmit der Login-Shell/bin/bashführt via CLI ein Skript im Typo3-Verzeichnis aus. - Der Kernel eures Servers ist mit hoher Wahrscheinlichkeit für den alten mmap-Exploit (CVE-2009-0024) anfällig.
- Uns sind noch weitere als verwundbar geführte Erweiterungen untergekommen; wir haben aber einen leichter und besser ausnutzbaren Vektor gefunden, bevor wir uns bei diesen tiefer eingelesen haben. Am besten lest ihr einfach mal die Changelogs/Security Reports von Typo3 der letzten drei Jahre.
- Der LDAP lässt anonymes Binden zu.
- Es gibt für eure PHP-Version einen Exploit (CVE-2009-3558) zur Aushebelung der
Was wäre wenn ... ?
Zwei Dinge haben euch davor bewahrt, dass wir tiefer eindringen: Eure volle Festplatte (wegen der der Admin den Server mal wieder besucht hat) und unsere Faulheit. Wir hatten eine Menge Spaß dabei, in euren Webserver einzudringen und brauchten zuerst einmal Erholung von umfassender Kode-Lektüre. Bei andern Absichten/Motiven und vorsichtigerem Vorgehen hätte man z.B. versuchen können, den Webserver zu übernehmen und eins eurer SSL-Zertifikate zu kopieren oder die Passwörter für den LDAP abzuschnorcheln und dann zum Anmelden am Internen Forum oder beim jeweiligen Zimbra-Konto zu verwenden und dann diese Systeme zu knacken um sich langsam zu einem direkten SSH-Zugriff auf einem der anderen Systeme voran zu hangeln. Mit ein wenig Glück könnte man vielleicht sogar das Passwort der Fortigate-Firewall/IDS herausfinden ...
Fazit
Ein halbwegs aktuelles Typo3 hätte das Ausnutzen des genutzten Vektors faktisch unmöglich gemacht, ein aktuelles PHP hätte es zumindest um einiges erschwert und ab und zu ein Blick auf Munin wäre für euch auch von Vorteil gewesen. Alle Kosten und Mühen, die euch deswegen jetzt entstehen, habt ihr wohl in den letzten Jahren bei der Aktualisierung eurer IT eingespart.
Also nichts für ungut und immer schön sauber bleiben! :)
PS: Da eure Admins offensichtlich unfähig sind, greifen wir euch beim Finden der Ostereier ein wenig unter die Arme:
find /home/www/htdocs/ -mtime -14 | xargs grep "<?"