Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Certificate Transparency…

Joomla Lösung nicht sicher?

  1. Thema

Neues Thema Ansicht wechseln


  1. Joomla Lösung nicht sicher?

    Autor: JustSnipy 29.07.17 - 08:48

    Das vom Autor beschriebene Szenario dürfte in der Praxis so unpraktikabel sein, das es sich hierbei um ein theoretisches Szenario handelt. Selbst mittelgroße Hoster betreiben hunderte Server, weshalb die Chance für einen Angreifer, hier zufällig auf der gleichen Maschine ein Paket zu bekommen, ziemlich klein sein dürfte. Und selbst wenn: ein Fake-Paket zu buchen dürfte schwer automatisierbar sein, denn es ist das täglich Brot der Hoster sowas zu erkennen. Ein bezahltes Paket wiederum wird sich dafür keiner buchen - denn das wird 1. teuer, lässt sich 2. leichter zurück verfolgen und 3. hat man ja dann schon einen nutzbaren Webspace.

    Die Einschätzung des Autors teile ich deswegen nicht, das Szenario ist rein hypothetisch.

    Cheers David,
    Joomla Security Team

    P.S.: fun-fact ist übrigens, dass der Autor die Lösung so vorgeschlagen hat...



    1 mal bearbeitet, zuletzt am 29.07.17 08:54 durch JustSnipy.

  2. Re: Joomla Lösung nicht sicher?

    Autor: xUser 29.07.17 - 18:41

    JustSnipy schrieb:
    --------------------------------------------------------------------------------
    > Das vom Autor beschriebene Szenario dürfte in der Praxis so unpraktikabel
    > sein, das es sich hierbei um ein theoretisches Szenario handelt. Selbst
    > mittelgroße Hoster betreiben hunderte Server, weshalb die Chance für einen
    > Angreifer, hier zufällig auf der gleichen Maschine ein Paket zu bekommen,
    > ziemlich klein sein dürfte.

    Kannst du ausführen, auf was genau im Artikel du antwortest? Meinem Verständnis nach geht es darum, dass durch den Cert Log die eine Liste neuer Domainnamen ermittelbar ist. Dies Domainnamen kann man dann per Script für die nächsten paar Tage regelmäßig per Script auf aktive ungesperrte Installer prüfen. Dann kann man die Installation automatisiert durchführen und mittels Plugin weiteren Code nachladen. Wenn man dann den Installer wieder freigibt (aka die Installationsschritte rückgängig macht), dann fällt dies unter Umständen gar nicht auf. Das Ganze dauert keine fünf Minuten und schon ist die neue Webseite schon vor der Inbetriebnahme gehackt.

  3. Re: Joomla Lösung nicht sicher?

    Autor: JustSnipy 29.07.17 - 19:54

    xUser schrieb:
    --------------------------------------------------------------------------------
    > Kannst du ausführen, auf was genau im Artikel du antwortest?

    Ich beziehe mich darauf, dass der Autor schreibt dass Joomla einen entsprechenden Fix im Installer integriert hat, dieser Fix aber ebenfalls unsicher sei. Diese "Unsicherheit" ist in meinen Augen nur theoretischer Natur, weshalb ich daran zweifle dass diese Formulierung so gerechtfertigt ist.

  4. Re: Joomla Lösung nicht sicher?

    Autor: bjs 29.07.17 - 23:55

    unsicherheiten sind immer solange theoretischer natur, bis sie praktisch ausgenützt werden.

  5. Re: Joomla Lösung nicht sicher?

    Autor: dura 30.07.17 - 13:37

    JustSnipy schrieb:
    --------------------------------------------------------------------------------
    > Ein bezahltes Paket wiederum wird sich dafür keiner
    > buchen - denn das wird 1. teuer, lässt sich 2. leichter zurück verfolgen
    > und 3. hat man ja dann schon einen nutzbaren Webspace.

    Das sehe ich anders. Erstmal kommt es darauf an, was ich genau mit dem Angriff bezwecke, einfach nur Masse für Spam-Versand/DDoS, etc.? Dann sind diese Ziele vermutlich wirklich erstmal nicht interessant.
    Wenn ich aber gezielter angreifen will und halt gerne im Blog großer Unternehmen Zugriff haben will, um z.B. so Informationen rauszutragen, ein CEO-Fraud von einer wirklich internen Adresse durchzuführen, etc. Dann kann sich das schon lohnen. Und wenn diese Unternehmen dann bei keinem riesigen Hoster sind, dann geht das vielleicht sogar relativ einfach mit der Datenbank.
    Und bezahlen, nunja, wenn man SEPA auswählt und irgendwelche Quatschdaten einträgt, dann wird das auch 1-2 Tage funktionieren.

    Und wenn das Botnetz irgendwann groß genug ist, hat man alleine dadurch ja schon Zugriff auf extrem viele Datenbanken.

  6. Re: Joomla Lösung nicht sicher?

    Autor: JustSnipy 30.07.17 - 16:41

    dura schrieb:
    --------------------------------------------------------------------------------
    > Wenn ich aber gezielter angreifen will und halt gerne im Blog großer
    > Unternehmen Zugriff haben will, um z.B. so Informationen rauszutragen, ein
    > CEO-Fraud von einer wirklich internen Adresse durchzuführen, etc. Dann kann
    > sich das schon lohnen. Und wenn diese Unternehmen dann bei keinem riesigen
    > Hoster sind, dann geht das vielleicht sogar relativ einfach mit der
    > Datenbank.

    Ist das Unternehmen groß genug, dass sich ein CEO-Fraud lohnen würde, wird in der Regel entweder intern oder auf dedizierten System gehostet, sodass es keine Möglichkeit gibt, auf die selbe Maschine zu kommen - bei kleineren Unternehmen widerrum wird aus Kostengründen eher zum Massenhoster gegriffen, wo das Unterfangen ungleich schwieriger wird.

    Davon abgesehen: interessant für gezielte Angriffe dürften hier Unternehmen sein, die nicht unbedingt frisch gegründet sind - und die haben dann in der Regel auch schon seit einiger Zeit ihr Hosting-Paket und liegen somit nicht auf einem "frischen" Server, auf dem du bei einer neuen Buchung landen würdest.

    > Und bezahlen, nunja, wenn man SEPA auswählt und irgendwelche Quatschdaten
    > einträgt, dann wird das auch 1-2 Tage funktionieren.

    Da unterschätzt du die Hoster etwas denke ich. Die Betrugsversuche sind hier so massiv und alltäglich, das hier im Hintergrund einige Plausibilitätsprüfungen laufen, bevor dein Paket freigeschaltet wird.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. LexCom Informationssysteme GmbH, Chemnitz
  2. AVL List GmbH, Graz (Österreich)
  3. Schaeffler Technologies AG & Co. KG, Nürnberg
  4. Techniker Krankenkasse, Hamburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 599€ + 5,99€ Versand
  2. 239,90€ + 5,99€ Versand bei Alternate.de


Haben wir etwas übersehen?

E-Mail an news@golem.de


Entdeckertour angespielt: Assassin's Creed Origins und die Spur der Geschichte
Entdeckertour angespielt
Assassin's Creed Origins und die Spur der Geschichte
  1. Assassin's Creed Denuvo und VM Protect bei Origins ausgehebelt
  2. Sea of Thieves angespielt Zwischen bärbeißig und böse
  3. Rogue Remastered Assassin's Creed segelt noch mal zum Nordpol

Axel Voss: "Das Leistungsschutzrecht ist nicht die beste Idee"
Axel Voss
"Das Leistungsschutzrecht ist nicht die beste Idee"
  1. EU-Urheberrechtsreform Kompromissvorschlag hält an Uploadfiltern fest
  2. Leistungsschutzrecht EU-Ratspräsidentschaft schlägt deutsches Modell vor
  3. Fake News Murdoch fordert von Facebook Sendegebühr für Medien

Star Trek Discovery: Die verflixte 13. Folge
Star Trek Discovery
Die verflixte 13. Folge
  1. Star Trek Bridge Crew Sternenflotte verlässt Holodeck

  1. Nokia 1 im Hands On: Android-Go-Smartphone mit Xpress-On-Covern kostet 100 Euro
    Nokia 1 im Hands On
    Android-Go-Smartphone mit Xpress-On-Covern kostet 100 Euro

    MWC 2018 HMD Global bringt die beliebten Xpress-On-Cover zurück. Das Android-Go-Smartphone Nokia 1 hat auswechselbare Hüllen - der Käufer kann das 100-Euro-Gerät optisch anpassen.

  2. Nokia 8110 4G im Hands On: Das legendäre Matrix-Handy kehrt zurück
    Nokia 8110 4G im Hands On
    Das legendäre Matrix-Handy kehrt zurück

    MWC 2018 HMD Global lässt einen weiteren Klassiker aus dem Handy-Zeitalter wieder aufleben: Das Handy aus dem Film Matrix - das Nokia 8110. Das Handy in Bananenform mit Schiebemechanismus unterstützt aktuelle Mobilfunktechnik und wiederholt nicht die Fehler vom Nokia 3310.

  3. Galaxy S9 und S9+ im Hands On: Samsungs neue Smartphones kommen mit variabler Blende
    Galaxy S9 und S9+ im Hands On
    Samsungs neue Smartphones kommen mit variabler Blende

    MWC 2018 Samsung legt bei seinen neuen Galaxy-S9-Smartphones viel Wert auf die Kamera: Eine mechanische Blende soll das Gerät besser auf verfügbares Licht reagieren lassen. Wir haben uns die beiden Geräte vor der Vorstellung bereits angeschaut - und kräftig Fingerabdrücke weggewischt.


  1. 20:17

  2. 19:48

  3. 18:00

  4. 17:15

  5. 16:41

  6. 15:30

  7. 15:00

  8. 14:30