News 12.02.2009, 13:03 Uhr

Kaspersky bestätigt Hacker-Angriff

Fremde Hacker hatten tatsächlich Zugriff auf die Kaspersky-Support-Datenbank. Dies hat der russische Sicherheitsanbieter bestätigt.
Im hauseigenen Blog erläutert Kaspersky den Hergang des geglückten Hackerangriffs auf die Site usa.kaspersky.com/support. Zunächst bestätigt man die Sicherheitslücke und den Umstand, dass sich Hacker mit rumänischen IP-Adressen unerlaubten Zugriff auf die Datenbank verschafft haben. Nach Einsicht der Log-Dateien stellte man fest, dass es sich um eine SQL-Injection handelte. Laut Kaspersky verwendeten die Angreifer zuerst eine freie Version des Tools Acunetix. Dies enthüllte, dass die angegriffene Sektion verwundbar ist. Allerdings konnten die Angreifer lediglich die Datenbankstruktur auslesen. Dies steht im Gegensatz zur Aussage der Hacker. Diese behaupten, Vollzugriff erlangt zu haben. Kaspersky meint, dass dies nicht möglich gewesen sei, da die Angreifer die falsche Datenbank spezifiziert hatten.
Als ein tieferer Zugriff scheiterte, trachteten die Angreifer Kaspersky zufolge nach Ruhm. Der russische Security-Experte bekam eine Mail, die an verschiedene Adressen gesendet wurde. Man habe den Sicherheitsexperten nur eine Stunde Zeit gelassen, bevor die Hacker den Angriff publik machten. Kaspersky versichert, dass es keinerlei Datenmanipulation gab. Es seien keine Befehle wie UPDATE, INSERT, DELETE und so weiter in den Log-Dateien aufgetaucht. Man habe Glück gehabt, dass die Angreifer mehr an Ruhm als an Zerstörung interessiert waren. Sicheres Entwickeln im Web müsse allzeit Priorität Nummer eins sein. Dieser Angriff solle allen eine Lehre sein und zeige, wie wichtig es ist, geschriebenen Code immer wieder zu überprüfen. Die lediglich in einem Site-Bereich festgestellte Schwachstelle sei kurze Zeit nach ihrer Entdeckung behoben worden und betreffe ansonsten keine andere Internetressource von Kaspersky.
«Das hätte nicht passieren dürfen»
Nichtsdestotrotz schade ein derartiger Vorfall dem Ruf eines Unternehmens – speziell aber dem Image einer auf Sicherheit spezialisierten Firma, so Roel Schouwenberg, Senior Research Engineer bei Kaspersky, gegenüber US-Medien. «Das hätte nicht passieren dürfen», räumt er ein. Der russische Sicherheitsexperte tue alles in seiner Macht stehende, um dem Fall nachzugehen und zu verhindern, dass sich so etwas wiederhole. Schouwenberg zufolge ist die Schwachstelle auf einen Programmierfehler zurückzuführen, der sich im Zuge eines Redesigns der Site usa.kaspersky.com/support eingeschlichen hatte. «Offenbar ist da in unserem internen Code-Reviewing-Prozess etwas schiefgelaufen», so der Kaspersky-Sprecher. Die überarbeitete Seite sei am 29. Januar live gegangen und demnach für etwa zehn Tage anfällig gewesen.
Im Regelfall wird Code auf der Kaspersky-Site einer internen und externen Prüfung unterzogen. Der Security-Anbieter hat den auf Datenbanken spezialisierten Sicherheitsexperten David Litchfield mit der Aufklärung des Vorfalls beauftragt. Er habe bereits derartige Fälle untersucht, so Litchfield in einem E-Mail-Interview. «Meist gibt es dabei keine Probleme. Schwieriger – wenn auch keinesfalls unmöglich – wird es natürlich, wenn ein Angreifer seine Spuren zu verwischen versucht.»



Kommentare
Es sind keine Kommentare vorhanden.