Skip to main content

LulzSec, anonyme Hacks waren vermeidbar, Bericht sagt

Die Hackergruppe LulzSec machte vor kurzem Schlagzeilen mit seinen Zertrümmern und ergreifen Datenverstößen gegen Sony, der US-Senat, Arizonas Abteilung von öffentlichem Sicherheit und PBS. Es stellt sich jedoch heraus, dass solche Angriffe oft vermeidbar sind, heißt es in einem neuen Bericht des Department of Homeland Security.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows PC]

Die jährliche CWE (Common Weakness) Evaluierung) / SANS Die 25 gefährlichsten Softwarefehler behandeln die größten Bedrohungen, denen Softwareentwickler und große IT-Organisationen ausgesetzt sind und wie sie vermieden werden können. Jede Bedrohung wird anhand ihrer Prävalenz, Wichtigkeit und der Wahrscheinlichkeit bewertet, dass Angreifer versuchen werden, den Exploit zu nutzen. [

] An der Spitze der diesjährigen Liste stehen Bedrohungen wie SQL Injection, klassischer Pufferüberlauf und Cross-Site-Scripting , standortübergreifende Anfragefälschung und Fehler beim Verschlüsseln sensibler Daten. Wenn diese Bedrohungen bekannt werden, liegt das daran, dass mehrere dieser Exploits dazu verwendet wurden, Daten zu stehlen, die dieses Jahr auf Unternehmensservern gespeichert waren. Wenn Sie daran interessiert sind, es zu lesen, finden Sie hier den 2011 CWE-Bericht, aber hier ist ein Blick auf einige der Highlights der diesjährigen 25 Software-Bedrohungen.

SQL Injection

SQL Injection ist ein beliebter Trick unter Hackern und übertraf den CWE-Bericht 2011 als größte Bedrohung für Online-Netzwerke. "Für datenintensive Softwareanwendungen ist SQL-Injection das Mittel, um die Schlüssel zum Königreich zu stehlen", heißt es in dem Bericht. Die Grundidee ist, dass ein Hacker Code in ein Online-Formular einfügt, wie zum Beispiel einen, der nach Ihrem Namen, Ihrer Adresse usw. fragt. Wenn keine geeigneten Vorkehrungen getroffen werden, um diesen Exploit zu verhindern, können Hacker eine ganze Datenbank herunterladen, verfälschen oder verändern. Hacker werden sogar "Daten stehlen, wenn sie müssen", laut dem Bericht.

SQL-Injection war verantwortlich für viele hochkarätige Angriffe einschließlich LulzSecs Hacks in Sony Pictures und PBS, sowie Anonymous 'Eindringen in das Netzwerk der Sicherheitsfirma HBGary Federal. Dieser Hack wurde sogar verwendet, um in MYSQL.com von Oracle einzubrechen.

Nachdem er sich in Sony Pictures eingeloggt hatte, nannte LulzSec SQL Injection, "eine der primitivsten und häufigsten Schwachstellen."

Fehlende Autorisierung

Fehlende Autorisierung erlaubt Hackern Software so manipulieren, dass sie auf Daten zugreifen können, die sie nie hätten sehen dürfen. Dieser Exploit wurde Anfang Mai gegen Citigroup verwendet, als Hacker Details auf mehr als 200.000 Bankkonten von Nutzern stahlen, so der Bericht. Wie haben die bösen Genies es getan? Durch Ändern der persönlichen Kontoinformationen, "die in Feldern in der URL vorhanden waren", heißt es in dem Bericht. Im Prinzip bedeutet das, dass der Hacker auf www.randombank.com/user/account/ 123456 gelandet ist und lediglich die URL zu www.randombank.com/user/account/789012 geändert haben muss, um Zugriff auf ein anderes Konto zu erhalten.

Fehlende Verschlüsselung sensibler Daten

Es ist schon schlimm genug, wenn ein Unternehmen oder eine Organisation es den bösen Jungs leicht macht, einzubrechen, aber es wird schlimmer, wenn kritische Daten wie Kontokennwörter unverschlüsselt dort sitzen. LulzSec erhielt Zugriff und veröffentlichte später mehr als 62.000 Klartext-Passwörter, die aus verschiedenen Datenbanken gestohlen wurden.

Bedrohungen in Hülle und Fülle

Für Sicherheitsfans, die mehr über die größten Bedrohungen in Software für 2011 erfahren möchten, gibt es weitere Details. Zum Beispiel wird in dem Bericht auch diskutiert, wie der Stuxnet-Wurm, der iranische Atomanlagen deaktivierte, hartes Kodieren verwendete, um Chaos auf Computersystemen zu verursachen. Wenn Sie Interesse an Computersicherheit haben, lohnt sich der CWE-Bericht.

Verbinden Sie sich mit Ian Paul ( @ianpaul ) und Today @ PCWorld auf Twitter Tech News und Analysen .