Eva WolfangelJan 18, 2023

Ihr erinnert euch, dass ich kürzlich zwischen Lachen und Weinen schwankte, weil ich versuchte, Sicherheitslücken zu melden. Hier ist jetzt der Artikel (€), der mich in den vergangenen Wochen Nerven und Schlaf gekostet hat: @renereh1 und ich haben den Unis und Hochschulen auf den Zahn gefühlt. Das Ergebnis ist erschreckend: Wir haben viele sehr kritische Sicherheitslücken gefunden,. Und privatetste Daten, die wirklich niemand zu Gesicht bekommen sollte.

https://www.zeit.de/2023/04/it-sicherheit-hochschule-sicherheitsluecken-hacker

#cybersecurity

IT-Sicherheit an Hochschulen: Hacker dringt in Server mehrerer deutscher Hochschulen ein

René Rehme konnte sensible Daten deutscher Hochschulen einfach einsehen – und hätte sogar Noten ändern können. Das zeigt, wie angreifbar Universitäten sind.

ZEIT ONLINE
Show threadEva WolfangelJan 18, 2023
Kurzer Thread für euch: Wir haben insgesamt 73 Hochschulen getestet - die Wikipedia-Liste aller deutschen Hochschulen von oben, sortiert nach Größe. Eine erste kühne Idee war, alle 421 zu testen. Aber die Recherche lief völlig aus dem Ruder, weil 15 der ersten 73 (jede fünfte Uni also!) schon teils massive Sicherheitslücken aufwiesen. Bei mindestens dreien fanden wir potentielle Einfallstore für Ransomware-Banden mit teils unverschlüsselt abgelegten Passwörtern etc.
Show threadEva WolfangelJan 18, 2023
Viele Unis hatten massive Datenlecks. Die Daten zu sichten und vor allem die Lücken zu melden, war extrem zeitaufwendig. Und schockierend. Nicht nur wegen der vielen sensiblen Dokumente - vom Psychotherapie-Attest über geheime Forschungsdokumente bis hin zu Noten etc. Sondern auch, weil es teils kaum möglich war, Ansprechpartner:innen zu erreichen. An der Uni Düsseldorf zb war die E-Mail-Adresse, an die man IT-Sicherheitsprobleme melden kann, zwischen den Jahren nicht erreichbar. #cybersecurity
Show threadEva WolfangelJan 18, 2023
Wichtig für die Recherche waren auch die Gespräche mit @kantorkel, der die Funde unabhängig bewertete. Er hat selbst zu Daten- und #IT-Sicherheit an Unis geforscht und Lücken gemeldet. Er widerspricht der Uni Düsseldorf, die versuchte, unseren Fund zu relativieren ("nur ein begrenztes IT-Subsystem..."): Es sei "ein großer Teil der Server-Infrastruktur der zweitgrößten Fakultät dokumentiert, was es Angreifern ermöglicht, weitere Schwachstellen zu finden." Diese Fakultät hat 10.000 Studierende.
Show threadEva WolfangelJan 18, 2023
Auch bei der Uni Tübingen fanden wir eine massive Lücke, durch die es möglich war, ein eigenes Programm auf dem Server laufen zu lassen (Remote Code Execution) und weitere Zugänge auszuspionieren. Diese Lücke bestand seit 8 (!) Jahren, weil ein Installationstool auf einer Webseite vergessen worden war - die dann ihrerseits "völlig vergessen" wurde, wie mir der CIO sagte. Er könne nicht ausschließen, dass wir durch diese Lücke Zugang zu zentralen Systemen hätten bekommen können.
#cybersecurity
Show threadEva WolfangelJan 18, 2023
Das Thema der "dezentralen Server" zog sich durch diese Recherche. Viele Unis fanden es weniger problematisch, weil: sind ja keine zentralen Server. Allerdings starten #Ransomware-Banden meis genau dort - bei der HAW Hamburg bot auch ein dezentraler Server den Einstieg. Es gibt natürlich Verbindungen zu zentralen Servern - und seien es nur User, die das gleiche Passwort für mehrere Dienste verwenden. Dank unverschüsselt abgelegter Passwörter wären wir da vermutlich fündig geworden.
Show threadEva WolfangelJan 18, 2023

Finally - das geht jetzt schon in Richtung Hintergrund, dazu werde ich die Tage noch mehr schreiben: Die Reaktionen der Unis waren...interessant. Eine drohte uns mit dem Hackerparagrafen, eine andere mit dem Presserecht.

Manche schlossen die Sicherheitslücken nur langsam, andere nahmen sofort die betroffenen Server vom Netz. Besonders beeindruckt hat mich die HS Trier, die Sonntags innerhalb von 2 Stunden reagierte und den Vorfall sofort veröffentlichte: https://www.hochschule-trier.de/rzht/it-dienste-infos/informationssicherheit-und-datenschutz/roundcube-vorfall
#cybersecurity

Roundcube-Vorfall

Show threadEva WolfangelJan 18, 2023

Weil sich viele wegen der Paywall aufregen: Das liegt nicht in meiner Verantwortung. Ich bin freie Journalistin, die von der ZEIT für einen solchen Artikel ein Pauschal-Honorar erhält. Dafür muss der Verlag natürlich irgendwoher das Geld nehmen. Ich finde es allerdings auch misslich, dass man den Text nicht einzeln kaufen kann.

Wer das anders löst, sind wir @riffreporter - und dort werde ich die Tage einen längeren Hintergrundbericht zur Recherche veröffentlichen. Ich poste das dann hier.

Show threadEva WolfangelJan 23, 2023

Dieser Thread endet eventuell nie. Denn heute ist wieder etwas erstaunliches passiert: Ich habe durch eine geschlossene Lücke auf persönliche Daten zugreifen können.

Ja verrückt, oder? Klingt paradox, aber so offen können offiziell geschlossene Lücken sein. 😅

Ich hatte eigentlich nur pro-forma nochmal was angeklickt im Zuge einer Vortragsvorbereitung. Und zack, konnte ich schon wieder sehen, wer wann an wen eine E-Mail geschrieben hat. Ganz aktuell, E-Mails von heute.
#cybersecurity

Show threadEva WolfangelJan 23, 2023
Und @renereh1 hat bei einer großen Uni nochmal genau hingeschaut und - tja - eine weitere kritische Sicherheitslücke gefunden. https://neos.social/@renereh1/109730498097070971
👾 Rene Rehme (@[email protected])

Attached: 1 video Wieder eine kritische Schwachstelle bei einer Hochschule gefunden. CVSS 9.8

Neos Community
Show threadEva WolfangelJan 25, 2023

Nachdem mindestens zwei Unis in Interviews mit Lokalzeitungen Dinge anders dargestellt haben, als wir sie in Erinnerung hatten, haben wir nochmal nachvollzogen, wie wir vorgegangen waren. Beim Nachschauen haben wir bei der einen eine weitere kritische Lücke gefunden. Und bei der anderen bemerkt, dass die erste Lücke noch immer offen ist.

Melde jetzt die neue Lücke. "...haben wir versehentlich eine weitere Lücke bei Ihnen entdeckt..." Ansprechpartner:innen kenne ich ja zum Glück jetzt schon.

Show threadEva Wolfangel
Wow Rekord, die Reaktion kam prompt - Bereich ist offline. Es hilft wirklich zu wissen, an wen man sich wenden muss.
Jan 25, 2023 at 3:10pmWeb
Show threadsadarexJan 25, 2023
@evawolfangel Wird Zeit das security.txt sich durchsetzt:
https://securitytxt.org/
security.txt

A proposed standard that allows websites to define security policies.

security.txt