Eva WolfangelJan 18, 2023

Ihr erinnert euch, dass ich kürzlich zwischen Lachen und Weinen schwankte, weil ich versuchte, Sicherheitslücken zu melden. Hier ist jetzt der Artikel (€), der mich in den vergangenen Wochen Nerven und Schlaf gekostet hat: @renereh1 und ich haben den Unis und Hochschulen auf den Zahn gefühlt. Das Ergebnis ist erschreckend: Wir haben viele sehr kritische Sicherheitslücken gefunden,. Und privatetste Daten, die wirklich niemand zu Gesicht bekommen sollte.

https://www.zeit.de/2023/04/it-sicherheit-hochschule-sicherheitsluecken-hacker

#cybersecurity

IT-Sicherheit an Hochschulen: Hacker dringt in Server mehrerer deutscher Hochschulen ein

René Rehme konnte sensible Daten deutscher Hochschulen einfach einsehen – und hätte sogar Noten ändern können. Das zeigt, wie angreifbar Universitäten sind.

ZEIT ONLINE
Show threadEva WolfangelJan 18, 2023
Kurzer Thread für euch: Wir haben insgesamt 73 Hochschulen getestet - die Wikipedia-Liste aller deutschen Hochschulen von oben, sortiert nach Größe. Eine erste kühne Idee war, alle 421 zu testen. Aber die Recherche lief völlig aus dem Ruder, weil 15 der ersten 73 (jede fünfte Uni also!) schon teils massive Sicherheitslücken aufwiesen. Bei mindestens dreien fanden wir potentielle Einfallstore für Ransomware-Banden mit teils unverschlüsselt abgelegten Passwörtern etc.
Show threadEva WolfangelJan 18, 2023
Viele Unis hatten massive Datenlecks. Die Daten zu sichten und vor allem die Lücken zu melden, war extrem zeitaufwendig. Und schockierend. Nicht nur wegen der vielen sensiblen Dokumente - vom Psychotherapie-Attest über geheime Forschungsdokumente bis hin zu Noten etc. Sondern auch, weil es teils kaum möglich war, Ansprechpartner:innen zu erreichen. An der Uni Düsseldorf zb war die E-Mail-Adresse, an die man IT-Sicherheitsprobleme melden kann, zwischen den Jahren nicht erreichbar. #cybersecurity
Show threadEva WolfangelJan 18, 2023
Wichtig für die Recherche waren auch die Gespräche mit @kantorkel, der die Funde unabhängig bewertete. Er hat selbst zu Daten- und #IT-Sicherheit an Unis geforscht und Lücken gemeldet. Er widerspricht der Uni Düsseldorf, die versuchte, unseren Fund zu relativieren ("nur ein begrenztes IT-Subsystem..."): Es sei "ein großer Teil der Server-Infrastruktur der zweitgrößten Fakultät dokumentiert, was es Angreifern ermöglicht, weitere Schwachstellen zu finden." Diese Fakultät hat 10.000 Studierende.
Show threadEva WolfangelJan 18, 2023
Auch bei der Uni Tübingen fanden wir eine massive Lücke, durch die es möglich war, ein eigenes Programm auf dem Server laufen zu lassen (Remote Code Execution) und weitere Zugänge auszuspionieren. Diese Lücke bestand seit 8 (!) Jahren, weil ein Installationstool auf einer Webseite vergessen worden war - die dann ihrerseits "völlig vergessen" wurde, wie mir der CIO sagte. Er könne nicht ausschließen, dass wir durch diese Lücke Zugang zu zentralen Systemen hätten bekommen können.
#cybersecurity
Show threadEva WolfangelJan 18, 2023
Das Thema der "dezentralen Server" zog sich durch diese Recherche. Viele Unis fanden es weniger problematisch, weil: sind ja keine zentralen Server. Allerdings starten #Ransomware-Banden meis genau dort - bei der HAW Hamburg bot auch ein dezentraler Server den Einstieg. Es gibt natürlich Verbindungen zu zentralen Servern - und seien es nur User, die das gleiche Passwort für mehrere Dienste verwenden. Dank unverschüsselt abgelegter Passwörter wären wir da vermutlich fündig geworden.
Show threadTeri Yaki 🖌️🎹🚲💻
@evawolfangel Ich lache und es gruselt mich.
Jan 18, 2023 at 1:41pmWeb
Show threadEva WolfangelJan 18, 2023
@Ihazchaos Genau zwischen diesen beiden Gefühlszuständen schwankte ich die vergangenen Wochen angesichts dieser Recherche.
Show threadMarkus Feilner (has moved)Jan 31, 2023
@evawolfangel @Ihazchaos Welcome to the club.