CSU: Webseite der Landtagsfraktion voller kritischer Sicherheitslücken

Artikel ansehen

Was erwartest du denn? Dankeschön, dass ihr unsere Fehler aufgezeigt habt und uns der Lächerlichkeit preisgegeben habt?

So kann nur jemand denken, der a) als Journalist von den Fehlern anderer Leute lebt, und b) weder empathisch noch intelligent genug ist, sich in die Situation anderer Leute hinein zu versetzen.

Ein Dankeschön, ja. Öffentlich, nein. Das ist mir schon klar. Übrigens bin nicht ich derjenige, der die Bugs gemeldet hat, sondern Heiko Frenzel. Artikel überhaupt gelesen?

Ich frag mich, wie sowas überhaupt möglich ist. Also welche Admins halten so ein System für eine gute Idee. Wieso liegen die FTP Logindaten überhaupt auf einem Server der einfach so öffentlich unter der gleichen Domain läuft wie die Hauptseite? Wieso verwenden die kein SFTP? Man könnte so einfach mit SFTPGO oder vergleichbaren Tools einen SFTP Server mit einfacher Weboberfläche aufsetzen. Die Admins dort müssen doch locker Windows Web Server 2007 Handbuch zur Hilfe genommen haben um die Kiste aufzusetzen. Anders kann ich es mir nicht erklären. Ich verstehe es nicht.

Die Firma, die anscheinend diesen Internetauftritt der CSU so derbe vermasselt hatte, ist wohl die Firma:
„SharknessMedia“ aus Münster!

Mal von diesen genannten Fehlern aus dem Artikel bzw. auf dem Blog von Frenzel abgesehen, finde ich eine andere Tatsache noch viel bemerkenswerter, da diese gegen sämtliche Regeln der IT irgendwie verstößt! Und zwar eine direkte Verbindung vom eigentlichen Webserver (84.200.46.35) zum internen Server (84.200.46.39), der das komplette Intranet der CSU-Fraktion trägt - und zwar nicht nur einen direkten Zugang für die Politiker, sondern ebenfalls für die Admins !!

Intranet-Login:

0

Intranet-Login Administrator:

1

Das erklärt zwar, warum überhaupt so viele Zugangsdaten auf dem Webserver für den Internetauftritt hinterlegt wurden, aber bestimmt nicht, warum man so etwas gefährliches überhaupt macht!!!
Der Intranet-Zugang sollte doch wohl mindestens über einen eigenständigen Login einer SSO-Verbindung geschützt sein, welcher über eine eigenständige Appliance (z.B. Firewall) abgesichert wird!!

Wenn man sich schon dazu entschließt, sein Intranet in die Cloud zu verlagern, anstatt dies auf Bare-Metal Servern innerhalb der Organisation zu tun, sollte man wenigstens keine direkte Verbindung zwischen den einzelnen Cloud-Instanzen etablieren! :wink:

Der eigentliche "Intranet-Server hat nicht nur eine öffentliche IP in dem Fall, sondern auch noch eine eigenständige TLD, was in der Vergangenheit nicht wirklich zuträglich zur Sicherheit war (siehe z.B. Buchbinder-Datenleck).
https://csu-informationssystem.de

https://csu-informationssystem.de/test/fcgi/test.html
https://csu-informationssystem.de/test/ssi/test.html
https://csu-informationssystem.de/test/php/test.html

Schade, dass es immer wieder Gutmenschen und „Whitehats“ gibt, die noch kostenlos für solche Faschos wie Söder deren Arbeit machen.

Kompetente Leute, die ihnen eine Website bauen, hätte die CSU in München sicher genug gefunden. Das kostet halt Geld, aber die Parteien kriegen das Geld ja vom Papa Staat geschenkt.

Was hier passiert ist, ist symptomatisch für die deutsche „Digitalpolitik“. Wenn die Golfkumpels von SAP und Telekom keinen großen Reibach wittern und daher dankend abwinken, wird halt die billigste Ramschbude genommen, die der Praktikant bei Fyvver finden konnte und der Rest der Kohle versoffen.

Aber große Töne spucken, Deutschland müsse mehr für IT-Sicherheit tun, weil die Bedrohungslage durch Cybercybercybercrime, Cybercybercyberterroristen und Cybercybercyberrussen so schlimm sei… da sollten die Unternehmen im Zweifel dann halt fähige Experten ranlassen. Und wegen den bösen Cyberterroristen brauchen wir ja auch mehr Überwachung und eine Hackerbehörde und Zensur und Uploadfilter und und und…

Wenn es einer verdient hätte, so richtig gepwnt zu werden, dann „Ausgang-nur-mit-Passierschein, Passierschein-nur-für-kriegswichtige-Industrie“-Söder. Am besten kurz vor der Wahl, damit die Leute endlich checken was fürne Luftpumpe das ist. Der hat ja offensichtlich von nichts ne Ahnung außer, wie er sich wichtig machen kann. Und der will Kanzler werden? Lol.

Hat jemand schon die Meldung an netzpolitik.org und die BILD durchgesteckt?

Vermutlich haben ein paar Hackergroups vor > einem Jahr schon in ihrer Landessprache darüber gelacht.

Oder „SharknessMedia“ ist der Name der Group!? :rofl: :rofl: :rofl: