Der unabhängige IT- und Tech-Kanal!
internet.board.entertainment.games.hardware
CERT-EU (Logo)
Die Umstellung des CERT-EU von einem einjährigen Pilotprojekt zu einer dauerhaften Einrichtung ging offenbar mit viel Aufwand einher. Anders ist es nicht zu erklären, dass unsere erste Anfrage von Oktober 2012 nicht beantwortet wurde. Manche der für Presseangelegenheiten eingerichteten E-Mail-Konten waren in der Übergangsphase noch nicht einmal gültig.
Doch womit beschäftigt sich diese Organisation überhaupt? Die Abkürzung CERT steht für Computer Emergency Response Team. Dies ist eine Gruppe von IT-Fachleuten, die in diesem konkreten Fall die Bürgerinnen und Bürger nebst den Unternehmen im EU-Raum zum Thema Computersicherheit beraten und sie über Risiken aufklären sollen.
Zwar gelten XSS-Fehler in einschlägigen Kreisen als weniger relevant, weil damit kein direkter Zugriff auf die Server des Unternehmens möglich ist. Dennoch kann man via Cross-Site-Scripting zum Beispiel Schadsoftware über die von der Lücke betroffenen Webseiten verbreiten. Zudem kann man eigene Inhalte anzeigen lassen, die unbemerkt von den Servern der Cyberkriminellen nachgeladen werden.
Die Verbreitung von Trojanern und Viren über Internet-Portale ist für Cyberkriminelle nur dann sinnvoll, wenn diese gut besucht werden und bei den Besuchern einen seriösen Eindruck hinterlassen. Je seriöser die von der Schwachstelle betroffene Webseite erscheint, desto weniger ahnen die Besucher des Portals, dass von dort möglicherweise eine Gefährdung ausgehen könnte. Wenn man sich im Web irgendwo sicher fühlt, dann doch bestimmt dort, wo die IT-Experten der EU ihre Dienste anbieten. Die beiden Sicherheitslücken waren aber auch deswegen relevant, weil sie selbst von modernen Browsern wie Google Chrome nicht unterdrückt wurden.
Die beiden Cross-Site-Scripting Bugs entdeckte der Penetrationstester Matthias „Unnex“ Ungethüm aus Geringswalde. Weil auf unseren Hinweis keine Antwort kam, verschickten wir am 21.11. zur Erinnerung eine E-Mail und teilten den Pressesprechern von CERT-EU mit, nach Ablauf einer Frist von 14 Tagen würden wir mit den Lücken notfalls auch ohne ihre Zustimmung an die Öffentlichkeit gehen. CERT-EU-Team-Leader Freddy D. antwortete kurze Zeit später und entschuldigte sich dafür, dass möglicherweise eine Nachricht verloren gegangen sein könnte. Auf Nachfrage schrieb er uns dann zwei Tage später, die XSS-Bugs habe man getestet und könne sie bestätigen. Am 4.12. erreichte uns schließlich die Mitteilung, das Update des Webportals sei nun nach einigen Tests online gegangen und die Fehler seien somit behoben.
XSS - not a bug, it's a feature?
Ob die Einsparung aber tatsächlich in einem Zusammenhang mit der Anfälligkeit der eigenen Webseite steht, bleibt dahingestellt.
Bild-Quellen: CERT-EU fireblog.com
Lars Sobiraj (g+) am Freitag, 14.12.2012 15:18 Uhr
Ich habe diesmal ganz bewusst den erhobenen Zeigefinger unterlassen, mit dem ich sonst schon mal ganz gerne geschrieben habe. Und ja, gerade die Webseite einer solchen Einrichtung mit Vorbildcharakter dürfte solche Fehler nicht aufweisen. Aber gut, sie sind ja jetzt weg. Ich sehe gerade, da gab es ...
Zu früh gefreut, ich bin noch immer da. :D Die Häufigkeit derartiger News ist aber stark zurück gegangen, sofern Du das überhaupt beobachtet hast. Macht ja nichts ;) Ja, ich habe gemerkt, dass die Anzahl solcher News zurückgegangen ist. Ich möchte hier auch weder Unn ...
Zu früh gefreut, ich bin noch immer da. :D Die Häufigkeit derartiger News ist aber stark zurück gegangen, sofern Du das überhaupt beobachtet hast. ...
Dabei hatte ich mich so gefreut, dass die schrottigen XSS-News und die Werbung für Unnex jetzt ausbleiben, wo Lars doch weg ist. Aaaaber das war wohl eindeutig ein Fall von zu früh gefreut. ...
Die Webseite der im September dieses Jahres von der Europäischen Union (EU) dauerhaft in Kraft gesetzten Institution wies nach unseren Informationen mehrere Cross-Site-Scripting Sicherheitslücken auf. CERT-EU ist beispielsweise für die IT-Sicherheit des Europäischen Gerichtshofes, der Zentralbank un ...
Heutzutage ist die Internettelefonie neben Fest- und Mobilnetztelefonie immer gefragter. Per Internet zu kommunizieren ist nicht nur komfortabler und billiger, man ist zudem unabhängig von Tarifen, welche nur eine bestimmte Gesprächszeit günstig ermöglichen. Also wieso nicht auch Internet-Telefonie nutzen?
Lars Sobiraj am 12.05.2013, 12:51 Uhr
Wie ein 73-jährige Japaner beweist, kann man das am häufigsten benutzte Tabellenkalkulationsprogramm Microsoft Excel nicht nur für reguläre Berechnungen einsetzen. Tatsuo Horiuchi erstellt ausnahmslos seine traditionellen Gemälde mit Hilfe dieses Programms. Er arbeitet bereits seit 10 Jahren mit der Software und stellt seine Bilder in diversen Ausstellungen vor.
mehr lesen...
