Ein Redakteur der Computer-Zeitschrift c't des Heise-Verlags testete in Vorbereitung eines Artikels den Paßwort-Dienst 'Lastpass' auf Sicherheitslücken. Kurze Zeit darauf war die gesamte Redaktion ausgesperrt. Beim Aufruf der 'Lastpass'-Web-Site erschien nur noch der Hinweis, daß die IP-Adresse wegen verdächtiger Aktivitäten gesperrt sei.
Eigentlich nicht mal ein wirklicher Hacker-Angriff: Der c't-Redakteur hatte lediglich routinemäßig ein paar Eingabefelder auf der Seite des Paßwort-Dienstes 'Lastpass' mit Zeichenketten gefüttert, die Hinweise auf XSS- beziehungsweise SQL-Injection-Probleme auf der Seite geben würden. Derartige Sicherheitslücken sind leider nach wie vor weit verbreitet und wären für einen zentralen Paßwort-Speicher, wie ihn 'Lastpass' anbietet, unverzeihlich. 'Lastpass' reagierte mit dem "Holzhammer" und setze die IP-Adresse des vermeintlichen Hackers auf eine schwarze Liste.
Da aber sämtliche MitarbeiterInnen bei Heise über einen gemeinsamen Proxy ins Internet gelangen, war nun die IP-Adresse des gesamten Verlags auf der schwarzen Liste gelandet. Das ganze Haus war somit ausgesperrt. Zwar wurde die Sperrung laut Heise-Medieninfo "nach einem kurzen eMail-Austausch" aufgehoben, die Betroffenen stellen nun jedoch öffentlich die rhetorische Frage, ob eine derartige schwarze Liste tatsächlich geeignet ist, die Sicherheit eines Dienstes zu erhöhen. 'Lastpass' hatte offenbar erst zum "Holzhammer" gegriffen, nachdem im Internet eine XSS-Lücke auf seinen Web-Seiten veröffentlicht wurde, die der Anbieter am darauffolgenden Tag geschlossen hat. In Hacker-Kreisen wird das Verhalten von 'Lastpass' amüsiert kommentiert, da es ohne allzu großen technischen Aufwand möglich ist, auf den "Holzhammer" von 'Lastpass' einen groben Keil zu setzen: Ein Angreifer könnte mit Hilfe von IP-Spoofing IP-Adressen fälschen und so ganze Adressbereiche sperren.
Hinzu kommt, daß es bei einer derart hypersensiblen Abwehr wie bei 'Lastpass' dazu führen kann, daß nicht nur Einzelne, sondern auch unbeteiligte Dritte, die über die gleiche NAT-Firewall oder einen gemeinsamen Proxy ins Internet gehen, ausgeperrt werden. Das trifft nicht nur Firmennetze. Auch NutzerInnen von Mobilfunk-Providern werden fast immer über solche Vermittlungsstellen geleitet, wenn sie ins Internet gehen. Wenige schwarze Schafe könnten damit ganze Providernetze aussperren.
Joe Siegrist, CEO bei 'Lastpass', zeigte sich gegenüber den Heise-Journalisten wenig einsichtig: "Im Wesentlichen wollen wir Hackern damit klarmachen, daß wir für sie kein Ziel abgeben." Ob diese Äußerung wohl als Aufforderung zum sportlichen Wettkampf verstanden wird?
Anmerkungen
Siehe auch unsere Artikel:
Die virtuelle Diskussions-Armee
ist im Anmarsch (22.02.11)
EU-Kommissarin Malmström
kämpft weiter für Internet-Zensur (17.02.11)
EU mit Appetit auf Passagier-Daten
Speicherung angeblich zum Zweck der Terrorabwehr (3.02.11)
Luxenburger Piratenpartei
gegen Volkszählung (28.01.11)
Neo-Nazis wollen bundesweit schnüffeln
"Zensus 2011" bietet Einfallstor (23.01.11)
Datenspeicher Küchentisch
"Zensus 2011" wenig durchdacht (21.01.11)
Internationale Liga für Menschenrechte
unterstützt Volkszählungs-Boykott (8.01.11)
Volkszählung "Zensus 2011"
Die NPD will helfen (6.01.11)
Volkszählungs-GegnerInnen
legen Verfassungsbeschwerde ein (16.07.10)
Daten-Krake ELENA eingefroren
Moratorium für elektronischen Einkommensnachweis (6.07.10)
google und Zensur
Deutschland weit vorne (21.04.10)
Unfähig zur Diskussion
Internet-Sperren und Cecilia Malmström (15.04.10)
Internet-Zensur nun aus Brüssel?
Vorwand Kinderpornographie und erschreckende
Ignoranz gegenüber Sachargumenten (29.03.10)
Internet-Sperren-Gesetz von der Leyens
soll gestoppt werden (27.12.09)
Demo "Freiheit statt Angst" in Berlin
20.000 gegen Überwachungswahn (13.09.09)
'aspekte'-Sendung mit Kritik an Internet-Sperren-Gesetz
Ex-Bundesverfassungsrichter Hoffmann-Riem
äußert schwerwiegende Bedenken (1.08.09)
Internet - Kinderpornographie - Vorwand für politische Zensur
Anhörung im Bundestag (4.06.09)
Internet - Kinderpornographie - Vorwand für politische Zensur
Regierung spricht von Gremium zur Kontrolle des BKA (26.05.09)
Gegen politische Zensur des Internets
Online-Petition gegen Internetsperre
am ersten Tag mehr als 16.000 UnterzeichnerInnen (5.05.09)
Mit Stop-Schild gegen Kinderpornos?
Arbeitskreis gegen Internetsperren und Zensur gegründet (17.04.09)
Aufstehn für ein freies Internet
CCC will "Zensursula" besuchen (16.04.09)
wikileaks.de gesperrt
Beginn der Internet-Zensur in Deutschland? (11.04.09)
Hausdurchsuchung bei Inhaber der Domain wikileaks.de
Aktionismus gegen Kinderpornographie
als Vorwand für politische Zensur (25.03.09)
Bundesverfassungsgericht stoppt Wahl-Computer
Die Manipulierbarkeit von elektronischen Speichersystemen,
'Wikipedia' und Internet-Umfragen (3.03.2009)
Aktionismus gegen Kinderpornographie
zielt auf Zensur des Internets
Im Visier ist das letzte Kommunikationsfeld
für freie linke Nachrichten (1.02.09)