Der unabhängige IT- und Tech-Kanal!
internet.board.entertainment.games.hardware
DigiTask Logo
Hinweis: Die nun folgenden Ausführungen entsprechen als Kommentar lediglich der privaten Meinung des Chefredakteurs, Lars Sobiraj. Sie sind nicht repräsentativ für das Meinungsbild innerhalb der Redaktion oder des Betreibers des IT- und Tech-Kanals Gulli.com.
In Anbetracht der Affäre um die vom CCC analysierten Staatstrojaner versucht sich der Hersteller DigiTask momentan gegen Unfähigkeits-Vorwürfe aus vielerlei Richtungen zu verteidigen (gulli:News berichtete). Von der Berichterstattung diverser Medien angelockt nahmen offenbar zunehmend IT-Fachleute die Webpräsenz des Unternehmens unter die Lupe. Als Erster stolperte der Berliner Senior IT Security Consultant David Vieira-Kurz über die schlecht verborgenen Bugs der Firmenwebseite. Dort wurde eine offiziell nicht mehr unterstützte Version von PHP mit zahlreichen öffentlich bekannten Schwachstellen eingesetzt. Die bis heute Morgen benutzte Version 4.4.9 stammt noch aus dem Jahr 2008. Dazu kommt der Umstand, dass allen Besuchern die Versionsnummer öffentlich im Header angezeigt wurde. Auch kam eine uralte Version des Content Management Systems Joomla zum Einsatz. Zufall oder nicht, den Betreibern kam zugute, dass keinerlei für Fehler anfällige Plug-ins eingesetzt wurden. Ansonsten hätte die Angelegenheit noch richtig übel für den hessischen Anbieter ausgehen können. David Vieira-Kurz dazu: „Heutzutage bekommt man selbst bei kleineren Webspace-Anbietern für weniger als 5 Euro im Monat bereits Systeme mit deutlich sicherer Webserverkonfiguration sowie aktuellen Content Management Systemen“.
Nachdem der IT-Experte das Unternehmen auf die Bugs hinwies, wurde eine etwas neuere PHP-Version installiert. Dabei griff man aber auf die noch immer veraltete und vom Entwicklerteam offiziell nicht mehr unterstütze Version 5.2.17 zurück. Vieira-Kurz weiter: „Hier hat DigiTask nun also wieder ins Leere gegriffen und sich für eine Version entschieden, die ihrerseits ebenfalls öffentlich bekannte Schwachstellen aufweist. Ein erster Schritt wurde getan, aber (sie sind) leider direkt wieder gestolpert.“
Screenshot von digitask.de
Wartungsarbeiten liefen im Hintergrund. Im Laufe des heutigen Tages war die Webseite zwischenzeitlich nicht erreichbar. Allen Surfern wurde kurzfristig ein 500er HTTP Error angezeigt. Zuvor erhielt man den MySQL-Fehler, zur Datenbank könne nicht verbunden werden (siehe Screenshot rechts). Am Nachmittag erschien für kurze Zeit der Hinweis, die Seite befände sich im Wartemodus (siehe Screenshot unten). Doch seit ein paar Stunden ist die Webpräsenz tatsächlich wieder in vollem Umfang einsatzbereit.
Vieira-Kurz zieht ein Resümee: „Die DigiTask GmbH sollte ihre Webpräsenz als digitale Visitenkarten ansehen und sich dessen bewusst werden, dass Websicherheit in der heutigen Zeit ein ernst zu nehmendes Thema ist. Dabei gilt es auch, eine Unternehmenswebseite klar von einer privaten Webseite abzugrenzen. Dies bedeutet auch, dass man administrative Interfaces durch zusätzliche Schutzmaßnahmen, wie beispielsweise Basic Auth / HTTP Digest absichern sollte. Schliesslich kann ein Defacement der Unternehmens-Webseite das Image beeinträchtigen - auch wenn sonst keinerlei sensitive Unternehmensdaten oder Kundendaten auf dem Server gespeichert und somit auslesbar sind. Beim Security-Marketing haben sie meiner Ansicht nach mit dieser Standkonfiguration des Webservers sowie veralteter Webserver- und CMS-Version einfach alles falsch gemacht. Ich kann DigiTask nur empfehlen, einen professionellen Penetrationstest durchführen zu lassen.“ Vieira-Kurz weist aber in seinem Eintrag ausdrücklich darauf hin, dass er diesen Test mit Sicherheit nicht durchführen wird. „Und nein, ich stehe DigiTask hierfür KEINESFALLS zur Verfügung, da ich nach dem Staatstrojaner es weder moralisch vertreten noch mit meinem Gewissen in Einklang bringen kann, einem Unternehmen zu helfen, dass Millionen Euro Umsatz macht, indem Programme erstellt werden, die lediglich das Ziel haben, Bürger ohne deren Wissen und vor allem ohne deren Erlaubnis auszuspionieren..“ (Ende Zitat SecAlert.net)
gulli.com Chefredakteur Lars Sobiraj abschließend dazu: „Betrachtet man die Handhabung der Webseite, so bekommt der Slogan des Unternehmens 'Innovation durch Kompetenz' (O.-Ton www.digitask.de) eine völlig neue Bedeutung.
DigiTask Screenshot (Ausschnitt) - die Seite im Wartemodus
Man bezeichnet sich als 'kompetentes Systemhaus' und schafft es noch nicht einmal, eine aktuelle PHP-Version aufzuspielen. Wow, das ist beeindruckend! Mit der auf der Webseite in Aussicht gestellten 'Analyse von Kundensystemen' sollte man am besten bei sich selbst beginnen. Zu den eben genannten Lücken kam übrigens noch ein ungeschützter Admin-Login und ein Full Path Disclosure hinzu. Die allerdings waren beide weniger relevant in Bezug auf die IT-Sicherheit der Seite. Möglicherweise sollte das Support-Team lieber vor der eigenen Tür kehren, statt anderen Unternehmen oder gar Behörden mit seiner 'Kompetenz' unter die Arme zu greifen. Echt, so selten das passiert, aber mir fehlen die Worte.“
Bild-Quellen: http://www.digitask.de
Text-Quellen: SecAlert
Lars Sobiraj (g+) am Donnerstag, 13.10.2011 23:36 Uhr
schon jemandem aufgefallen das hier höch wahrscheinlich noch eine joomla variable auf der Karriere Seite von digitask angezeigt wird? Zwischen den Seitenzahlen und dem Footer steht JPAGE_CURRENT ...
Dies ist fast so als wen man (ja Autovergleiche sind gern verwendet auch wen sie meistens nichts taugen) eine Tuningfirma hat und selbst mit nem klapprigen, alten $Hassmarke $Hassmodell inklusive abgenutzter Bremsen und kaputtem Schloss mit Firmenlogo auf der Heckschei ...
Ich finde den Gedanken lustig, dass manche Hackerkiddies einen Trojaner besser programmieren können und mehr Ahnung haben, als Angestellte einer Sicherheitsfirma. Wie peinlich ist das denn? :D ...
Viertens fordern die staatlichen Ausschreibungen dass das Server-Backend bis zu 300 gleichzeitige "Nutzer" unterstützen soll und nach dem was man so über die Qualität der Software hört bricht der Server bei exakt 301 wahrscheinlich mit nem IndexOutOfBounds zusammen :D ...
Also "Tausende, wenn nicht Millionen Einsätze" halte ich für unwahrscheinlich. Erstens müssen die Ermittler dafür vermutlich physischen Zugriff haben, was ein großes logistisches Problem wäre. Zweitens würden dann momentan bei "Tausenden, wenn nicht Millionen" Menschen die Virenscanner losgehen, da ...
Heutzutage ist die Internettelefonie neben Fest- und Mobilnetztelefonie immer gefragter. Per Internet zu kommunizieren ist nicht nur komfortabler und billiger, man ist zudem unabhängig von Tarifen, welche nur eine bestimmte Gesprächszeit günstig ermöglichen. Also wieso nicht auch Internet-Telefonie nutzen?
Lars Sobiraj am 12.05.2013, 12:51 Uhr
Wie ein 73-jährige Japaner beweist, kann man das am häufigsten benutzte Tabellenkalkulationsprogramm Microsoft Excel nicht nur für reguläre Berechnungen einsetzen. Tatsuo Horiuchi erstellt ausnahmslos seine traditionellen Gemälde mit Hilfe dieses Programms. Er arbeitet bereits seit 10 Jahren mit der Software und stellt seine Bilder in diversen Ausstellungen vor.
mehr lesen...
