Alt 09.10.2011, 13:42   # 1
Redakteur
 
Benutzerbild von News Flash
 
Registriert seit: 08.09.2003
Beiträge: 28.626
Der Webhoster Hetzner kämpft derzeit mit einer riesigen Sicherheitslücke in seinen Systemen. Tobias Huch hat sie zusammen mit dem SPIEGEL aufgedeckt und klärt im netzwelt-Interview über die Hintergründe auf.


Diskussion zu: Interview: Tobias Huch über Sicherheitsprobleme beim Webhoster Hetzner
  Mit Zitat antworten
Alt 09.10.2011, 13:42 # --
netzwelt.de
 
Benutzerbild von netzwelt.de
 
 
 
   
Alt 09.10.2011, 15:01   # 2
Martina Schuster
Gastposter
 
Coole Aktion!
  Mit Zitat antworten
Alt 09.10.2011, 15:38   # 3
Schockiert
Gastposter
 
Das ist ja wohl der hammer, diesen Bug, also dass man in der Verzeichnisebene im FTP problemlos höher kam habe ich anfang des Jahres als Hetznerkunde als "normale" Email an den Support gesandt. Es kam nur eine Reaktion, dass ich diese Nachricht erneut über die Konsole verschicken solle...
  Mit Zitat antworten
Alt 09.10.2011, 18:28   # 4
Gasthöhrer
Gastposter
 
Ich möchte dazu nur mal anmerken, dass dieser Einbruch in ein Sicherheitsystem meiner Meinung nach kein Kabvaliersdelikt ist.

Darüber hinaus ist diese Art des Journalismus ist nur auf Sensation aus.

Im übrigen werden sämtliche Kritiken auf Tobias Huchs eigener "Fanpage" auf Facebook rigoros gelöscht und die Benutzer für ein weiteres Posting gesperrt. lediglich die Benutzer, die Ihm zusprechen dürfen dort gehört werden. Und dass von einem "Journalsiten" der sich über Zensur beschwert...
  Mit Zitat antworten
Alt 09.10.2011, 18:55   # 5
Herr Jeh
Gastposter
 
Ich weiß ja nicht, ich halte es in dieser Art für den falschen Weg verantwortungsbewusst mit gefundenen Sicherheitslücken umzugehen. Überflüssiger Skandal-Journalismus nur zum Selbstzweck. Das könnte man erheblich einfacher und professioneller kommunizieren, wenn man wollte... aber egal, was tut man heutzutage nicht alles für Geld?
  Mit Zitat antworten
Alt 09.10.2011, 19:28   # 6
Marcel Domke
Gastposter
 
Das problem mit dem FTP war mir teils auch bekannt und habe es auch gemeldet. Es kam nur die antwort, das es an dem CMS System läge was ich verwende, wobei ich anmerken muss das es eine Eigenentwicklung ist aber dennoch konnte ich via PHP Script durch die Verzeichnisstruckturen wandern als wärs mein eigener Server.

Nur komisch das auf meinem Lokalen (Mac OSX 10.x Server mit PHP 5.3.6 sowie Windows 7 mit PHP 5.3.6) nicht weiter kam als zum Root Verzeichnis unter der das PHP Script arbeitet (DOCUMENT_ROOT)...

Mir ist auch sehr häufig aufgefallen, das ständig die index.php durch diversen schadcode überschrieben würde.
  Mit Zitat antworten
Alt 09.10.2011, 21:37   # 7
Ein Betroffener
Gastposter
 
Lest mal folgendes:
ht tp ://sysout.twoday.net /stories/42996758/
(bitte Leerzeichen entfernen)

Meine - freundlich formulierten Fragen hat Herr Huch anscheinend als störend empfunden und auf seiner Facebookseite gelöscht.
Netzwelt habe ich bisher gerne gelesen.
Hier erfolgt eine einseitige Darstellung der Sache.
Soll sich jeder seine Meinung bilden. Für mich stellt sich Herr Huch nur als "Sensationsjournalist" dar -wenn er denn überhaupt den Berufstitel Journalist verdient.
  Mit Zitat antworten
Alt 09.10.2011, 21:42   # 8
Franz Klammer
Gastposter
 
Huch'S Verhalten selbst ist krimenell. Solche Leute sollte man meiden.
  Mit Zitat antworten
Alt 09.10.2011, 23:20   # 9
M....
Gastposter
 
Ich finde diese Aktion alles andere als "cool".
Dies aus mehreren Gesichtspunkten.

Hier gibt es aus meiner Sicht 3 unterschiedliche Interessenten:

Hetzner - als Webhoster und Serviceprovider - will Geld verdienen und seine Kunden nicht verlieren, auch seinen Ruf bewahren

Tobias Huch - als Journalist, Stellvertretend für die Presse - will Geld verdienen sich als braqver Bürger darstellen der "nur" üble misstände aufdecken wollte- gibt er zumindest vor, was die Wahrehit sit, kann was anderes sein, so von wegen Profilierung und die äusserst Sinnvolle Entscheidung sich an den Spiegel und nicht an die Datenschutzbehörden oder Landeskriminalämter zu wenden.

Kunden von Hetzner - betroffene die bei der Stange gehalten und beschwichtigt werden sollen um auch weiter die Interessen der beiden erstgenannten zu bedienen. Na danke auch.

Ein Serviceprovider der wider bestes Wissen handelt. Das er durchaus haben sollte, auch wenn man sich die vielen Anleitungen und Howtos durchliest die dieser auf seinen Hilfe-Seiten darlegt, sieht man dass dieses Wissen vorhanden ist.
Fehler Passieren, das spricht hier niemand ab, doch die Wahl der Mittel und des Vorgehens sprechen hier andere Worte.

Somit kann man hier entweder Faulheit oder Blödheit unterstellen. Weiter finde ich auch sehr interessant zu sehen wann, wer und wie benachrichtigt wurde. Als Serviceprovider der sich einer Sicherheitslücke gewahr wurde, die ja nach seinem Fachwissen nach nicht existieren sollte, sollte dieser dann auch fähig sein umgehend alle Passwörter per Script (Automatismus der einfach zu erstellen ist )
ändert und dann die Kunden anschreibt um die neuen Passwörter zu erlangen. Denn wenn die Passwörter ja mehrfach verwendet wurden ist es auch nicht sonderlich Sinnvoll einen Aufruf zum ändern der Passwörter zu starten. Denn es kann, durch die mehrfache Verwendung identischer Passwörter nicht sichergestellt werden, dass Angreifer/Mißbraucher, nicht auch Zugriff zu den entsprechenden Mailboxen haben in denen dieses Aufrufe zum ändern der Passwörter landen.

Weiter wirft der Bericht/das Interview mit Herrn Huch nun auch ein ganz anderes Bild auf die Umstande und die Zeitlichen Zusammenhänge darüber, wann die Datenschutzbehörde inbformiert wurde. Soweit ich ddas verfolgte wurde offenbar ( wir wissen es nicht genau) auch das LKA nicht informiert.

Herrn Huch eine Absolution zu erteilen weil er sich als Journalist zur Berichterstattung Zugriff zu Daten verschafft hat den er nicht haben sollte finde ich auch nicht in Ordnung. Fakt ist er hat sich bewusst ( also vorsätzlich) Zugriff zu Daten verschaffen die der Geheimhaltung unterliegen. Damit ist dies eine Straftat. Journalismus hin Journalismus her.

Der normale Weg ist hier: Den Serviceprovider unter Stellung eines Ultimatum zur Änderung über den Misstand zu informieren und nicht noch weitere Personen zu involvieren. Dies kann dann in einem weiteren Schritt getan werden und die Institutionen die dann zu involvieren sind, sind definitiv nicht andere Presseorgane sondern die Datenschutzbehörde bz.w eventuell auch das LKA mit einer Anzeige. Es ist ja löblich, dass Herr Huch der Firma Hetzner keine weiteren Repressalien verschaffen wollte und daher mit dem SPIEGEL zuerst sprach, doch dies kann man auch als Vereitelung einer Straftat sehen. Für mein Gefühl sollte dies auch genau so bewertet werden. Somit sieht diese Aktionb von Seitens Herrn Huch für mich mehr nach einer weiteren Profilierungsaktion aus. Es ist keine Hilfe noch größeren Schaden an zu richten oder Panik zu verbreiten. Ausser natürliche für die Interessen von Herrn Huch.

Als Kunde von Hetzner sehe ich das alles etwas anders als Hetzner und Herr Huch oder die Presse.
Auch ich habe bereits früher solche Erfahrungen lapidarer Antworten auf wichtige Details erhalten und fühle mich dann schon etwas hmm veralbert. Zum glück betreibe ich keine Managed Server bei Hetzner. Angesichts des Sachverhaltes und des Vorgehens das an den Tag gelegt wurde werde ich dies auch zukünftig nicht tun.
  Mit Zitat antworten
Alt 10.10.2011, 11:20   # 10
n.n.
Gastposter
 
Hallo zusammen,

meine Daten sind wohl ebenfalls in die Hände des Pornounternehmers Huch gelangt. Huch fällt seit gut gut 10 Jahren immer wieder negativ auf. Einige Fälle wurden ja schon geschildert. In den letzten Monaten hat eine seiner Firmen Inkasso für Abofallenbetreiber gemacht. Aktuell steht er wegen einer Steuerhinterziehung in Millionenhöhe mittels der Firma "Cupido Entertainment AG" in Koblenz vor Gericht.

Es ist definitiv kein guter Einfall von Hetzner Huch weiterhin auf deren Server zu lassen.
  Mit Zitat antworten
Alt 10.10.2011, 18:32   # 11
Unregistriert0815
Gastposter
 
Herr Huch ist KEIN Journalist, sondern ein Unternehmer! Er vertritt also keine Presse, auch nicht die Sensationspresse. T. Huch verfolgt andere Interessen als ein Journalist, unter dieser Voraussetzung muss man auch das Interview lesen und auch die ganze "Aktion", insbesondere auch sein anschließendes In-die-Öffentlichkeit-treten entsprechend bewerten.
  Mit Zitat antworten
Alt 11.10.2011, 11:50   # 12
heGM125asd
Gastposter
 
der huch will nur ins rampenlicht, diese lücke ist 4 jahre alt und die informationen hat er sich gekauft.

eine ganze reihe von hetzner servern wurden damals per ftpscan geknackt. die logindaten (die immer gleich waren) gaben zugriff auf die shell mit beschränkten rechten. auf den servern war ein veralteter kernel... mit einem exploit gelangte man auf root und damit in alle systeme.

die lücke war auch nur wenigen bekannt und wurde nie veröffentlicht.

das was huch hier macht ist einfach rufschädigung einer firma, er hätte die firma genauso einfach informieren können... aber er möchte halt profit rausschlagen mit seinen gekauften informationen.
  Mit Zitat antworten
Alt 07.05.2012, 20:02   # 13
Immorb
DeZwijger
 
Benutzerbild von Immorb
 
Registriert seit: 04.05.2011
Ort: Im Norden Eisscholle Nr.11
Beiträge: 1.901
Da der Herr auch eine Krankenakte hat (Mahnungen fúr das Gewinnspielportal Win-Total24) freut mich dieses urteil.

Wegen Steuerhinterziehung in vier Fällen ist der Mainzer Internet-Unternehmer Tobias H. (30) zu einer Freiheitsstrafe von einem Jahr und drei Monaten auf Bewährung verurteilt worden.
Quelle: rhein-zeitung.de

m.f.G.
__________________
Haltet eure Kinder in Ehren,denn sie suchen euer Altersheim aus.

Nur ein Neurotiker erkennt Neurotiker
  Mit Zitat antworten

Alt 30.07.2014, 07:18 # --
News Flash
 
Benutzerbild von News Flash
 
 
 
   
Alt 30.07.2014, 07:18 # --
netzwelt.de
 
Benutzerbild von netzwelt.de