News Bukkit.org und McBans wurden gehackt

Dieses Thema im Forum "Neuigkeiten" wurde erstellt von Malte, 13. November 2016.

  1. Malte
    Offline

    Malte Moderator Redakteur

    Registriert seit:
    17. März 2012
    Beiträge:
    474
    Ort:
    Schwammbaumwald
    Minecraft:
    Malte662
    [​IMG]
    Gestern wurde Bukkit.org von der Hacker Gruppe OurMine gehackt. Dementsprechend empfiehlt es sich, falls man noch einen Account auf Bukkit.org hat, das Passwort des Accounts zu ändern. In Folge dessen hat Curse jetzt die Seite offline genommen und auch die JavaDocs von Bukkit sind dadurch aktuell nicht erreichbar.

    Außerdem hatte McBans.com in der letzten Woche eine Sicherheitslücke in Folge derer sie eine Möglichkeit einbauen den Api-Key zurückzusetzen. Desweiteren empfehlen Sie jedem Server der ihren Service nutzt, diese Funktion zu nutzen sobald diese zur Verfügung steht. Bis diese Funktion hinzugefügt wird wurde deren Service für jeden Server auf die aktuelle Server Ip beschränkt.


    Quellen:
    https://web.archive.org/web/20161113150927/https://bukkit.org/
    https://en.wikipedia.org/wiki/OurMine
    http://forums.mcbans.com/threads/security-measures-and-api-reset.44/
     
    #1
    iTz_Proph3t gefällt das.
  2. MappleTV
    Offline

    MappleTV

    Registriert seit:
    24. November 2015
    Beiträge:
    577
    Ort:
    NRW
    Minecraft:
    Clymb3r
    In letzter Zeit hört man wieder vermehrt von Hacker angriffen .. Hobbylosen ..
     
    #2
  3. 可愛い
    Offline

    可愛い

    Registriert seit:
    19. Mai 2014
    Beiträge:
    657
    In den meisten Fällen ist der Betreiber selbst schuld, da er grob fahrlässig gehandelt hat (wie z.B. die Telekom kürzlich). Wer Informationssystem betreibt, insbesondere solche, die fremde Daten verarbeiten hat in erster Linie erstmal selbst seine Systeme auf aktuellen Stand zu bringen. Wenn durch diese fahrlässige handeln dann etwas passiert, ist der Betreiber mindestens genau so schuld, wenn nicht sogar mehr, da von ihm im Gegensatz zum Angreifer ein Erfolg (=Geheimhaltung der Daten) erwartet wird. Hat der Hacker keinen Erfolg, so ist das in der Regel nicht so schlimm.

    Es scheint aber aktuell einen Trend in der Politik zu geben, dass man die Schuld nicht zuerst dort sucht, wo gepfuscht wurde, sondern beim Boten, der den Pfusch aufgedeckt hat. IT-Systeme sind niemans 100% sicher, das gilt ebenfalls für so ziemlich jedes System, dass eine gewisse Komplexität übersteigt. Dennoch gibt es Mindestesstandards, an die man sich halten muss. Wir sehen das auch in der Gerichtsverhandlung, in der der Zusammenstoß zweier Züge verhandelt wird. Auch hier wurde auf ein triviales Sicherheitssystem verzichtet, welches Gleisabschnitte vollautomatisch für jeweils nur einen Zug gesperrt hätte um Geld zu sparen.

    Es deutet alles darauf hin, dass z.B. die Telekom wohl wissend, dass das TR-069 Protokoll eine Sicherheitslücke aufweißt NICHT gehandelt hat. Der Bug ist seit 2 Jahren bekannt. Das Protokoll selbst ist ebenfalls von Beginn an kritisiert worden, da es keine wirkliche Sicherheit bieten. Ebenfalls hat die Telekom darauf verzichtet diesen Wartungsport nicht ausreichend gegen Zugriffe durch Dritte zu schützen. Dennoch wird es aktuell so hingestellt, dass Hacker das Problem sind. Das sind sie aber mit Nichten. Das Problem sind in den aller meisten Fällen geldgeile Manager. Das ganze als Hobbylose zu bezeichnen hilft insofern natürlich der Politik und auch den betroffenen Unternehmen ihre Story vom pösen Hacker zu vermarkten um von dem eigenen Fehler abzulenken.

    In diesem Fall werden wir vermutlich niemals genau erfahren, wie die Systeme hackt wurden. Du kannst dir aber sicher sein, dass es ebenfalls Pfusch war. Es gibt nämlich keinen Grund zu verheimlichen, wie der Angriff funktioniert hat, denn normalerweise flickt man die Sicherheitslücke anschließend und wenn man zuvor die Systeme korrekte abgesichert hat, dann braucht man sich auch nicht dafür schämen wie man gehackt wurde. Denn wenn der Angrifer tatsächlich mehrere Sicherheitssysteme umgangen hat, erreicht man irgendwann den Punkt, an dem die absolute Sicherheit nicht mehr möglich ist. Nur wie gesagt, das ist meistens nicht der Fall.

    Im übrigen ist der Hack der Telekomrouter nur aufgefallen, weil die eigentliche Payload (im Volksmund auch Virus genannt) einen Fehler hatte und die Geräte zum Absturz brachte. Nun stell dir mal vor es hätte diesen Fehler gar nicht gegeben... Und das alles nur, weil die Telekom (und andere ISPs) eine einfache Backdoor wollten, mit der sie die Router ihrer Kunden konfigurieren können und heimlich im Webinterface rumspielen. Wenn doch nur jemand vorher gewusst hätte, dass auch andere Backdoors benutzen können.
     
    #3
  4. MappleTV
    Offline

    MappleTV

    Registriert seit:
    24. November 2015
    Beiträge:
    577
    Ort:
    NRW
    Minecraft:
    Clymb3r
    Ich bin mit dir einer Meinung. Hacker nutzen meistens Sicherheitslücken aus (meistens nicht immer) .. die Betreiber sollten die ganze Schult abbekommen wenn man sich nicht gut genug schützt.

    Trotzdem sollten Hacker die nur böse Absichten haben (sprich Kreditkartenbetrüger etc.) deutlich krasser bestraft werden. (aber diskutieren wir nicht über das Strafenregister in Deutschland..) ich find es trotzdem krass das in letzter Zeit ziemlich viele Hacker unterwegs sind und zeitgleich quasi mehrere bekannten Seiten hacken.
     
    #4
  5. Baba43
    Offline

    Baba43 Ehem. Teammitglied

    Registriert seit:
    5. November 2012
    Beiträge:
    590
    Und wo zieht der Endverbraucher, der niemals in der Verantwortung war, die er anderen vorschreiben möchte, hier die Grenze? Was ist "ausreichend"? Und ist euch klar, dass Sicherheit sowohl Zeit, als auch Geld kostet? Nutzer sind wirklich nervig, denn sie wollen einerseits, dass alles günstiger wird, aber andererseits, dass alles besser und sicherer wird. Irgendwie ist das aber nicht immer miteinander vereinbar und es hat einen Grund, warum fast jedes Unternehmen und Projekt (auch minecraft-server.eu) schon mehrfach gehackt wurde. Sicherheit kann eine Sisyphusarbeit sein. Klar kann man den Betreibern dafür die Schuld geben, aber muss man ihnen das wirklich ankreiden, wenn "Sicherheit" gar nicht ihre Hauptaufgabe ist?

    Mir geht es auf die Nerven, dass Menschen ständig irgendwelche Erwartungshaltungen an andere Menschen haben, die völlig ungerechtfertigt sind. Wahrscheinlich würdet ihr in deren Situation genau dasselbe tun und lieber das Kernprodukt verbessern, als tausende von Euros in irgendwelche Sicherheitschecks zu investieren, nach denen immer noch keiner versprechen kann, dass das System sicher ist. Interessanterweise beschwert sich niemand, bis es mal zu einem Problem kommt. Dann wird viel über "Hätte hätte Fahrradkette" gebrabbelt, obwohl es überall dasselbe ist.

    Ja, jeder sollte mehr für seine Sicherheit tun. Insbesondere auch der Nutzer. Aber Schuld an einem Angriff ist wohl niemand, als derjenige, der den Angriff durchgeführt hat. In der Richtung sollte man (meiner Meinung nach) mal locker auf dem Teppich bleiben und sich lieber an die eigene Nase fassen, was den Datenschutz und die Verwendung des Internets angeht.
     
    #5
  6. 可愛い
    Offline

    可愛い

    Registriert seit:
    19. Mai 2014
    Beiträge:
    657
    Verzeih mir bitte @Baba43, dass ich unter anderem von Versicherungen, Ärzten, Banken und nicht zuletzt dem Staat erwarte, dass er meine Daten zu schützen hat. Niemand wird gezwungen die Daten anderer Menschen zu speichern, aber wenn er es tut ist es seine scheiß verdammte Verantwortung dafür zu sorgen, dass die Daten sicher sind. Im übrigen sieht der Gesetzgeber das grundsätzlich auch so, daher trägst du z.B. eine Mitschuld, wenn du dein Auto nicht abgeschlossen hast und jemand damit einen Unfall baut. Genau so bist du mitschuldig, wenn du deine Schusswaffen nicht ausreichend sicherst (was übrigens ebenfalls Geld kostet). Auch wer seine Haustür nicht abschließt oder z.B. ein einfaches Buntbartschluss benutzt ist mitschuldig. Jeder ist für sein Handeln selbst verantwortlich, aber jeder hat dafür zu Sorgen, dass er nicht unnötig Gefahren in die Welt setzt.

    Würde ich deiner Argumentation folgen, bräuchte ich keine Türschlösser, Passwörter, PINs, Zugangskontrollen und Weiteres. Denn, so deine Argumentation, schuld ist stets der, der die Tat begeht. Sicherheit kostet Geld und wer nicht bereit ist dieses Geld zu zahlen, der handelt in der Regel fahrlässig. Schaffen wir doch TÜV, Arbeitsschutz und Lebensmittelkontrollen ab. 100% Schutz bieten sie ja eh nicht, sie reduzieren zwar nachweislich die Gefahr, dass es zu einem Unglück kommt DEUTLICH, aber kostet doch nur alles Geld. Was ist denn das bitte für eine Einstellung?

    "ausreichend" ist daher alles, was zumutbar ist. Und ja, "zumutbar" ist ebenfalls wieder so ein schwammiges Wort, ein bisschen gesunder Menschenverstand hilft da ganz gut, ansonsten haben Gerichte in der Vergangenheit schon mehrfach bezüglich aller Möglicher Themen entschieden, was "zumutbar" ist. Erklär mir bitte bei der Gelegenheit auch bitte, was ich als Nutzer denn gegen das Geschlampe der Telekom tun soll? Was soll vor allem Oma Erner tun, die davon gar keine Ahnung hat und einfach auf die Telekom vertraut? Ist die jetzt etwa auch schuld, weil sie sich ja nicht über TCP/IP informiert hat? Was genau hätte ich denn deiner Meinung nach tun sollen, damit mein Account auf bukkit.org nicht geklaut worden wäre? Ich hatte den Admins übrigens vor Jahren gesagt, dass sie bitte meinen Account löschen sollen, haben sie aber nur zum Teil getan, also wo ist das bitte nun mein Fehler? Wo hätte ich mehr tun sollen?

    Nein, ganz sicher nicht, wer einen Dienst anbietet ist auch für dessen Sicherheit verantwortlich. Insbesondere dann, wenn der Nutzer des Dienstes quasie zur Nutzung gezwungen ist. (Beispiele habe ich eingangs erwähnt).
     
    #6
    MappleTV und DJKhaled gefällt das.
  7. MappleTV
    Offline

    MappleTV

    Registriert seit:
    24. November 2015
    Beiträge:
    577
    Ort:
    NRW
    Minecraft:
    Clymb3r
    Ich sehe das genau so, jeder der Daten verlangt für irgend etwas sollte auch Vorsichtig damit umgehen und diese Daten sichern koste es was es wolle, ich als Endverbraucher bin nämlich das Opfer wenn etwas damit passiert nicht der Betreiber der die Daten sammelt. Deshalb verlange ich von dem Betreiber wenn er schon meine Daten brauch, damit auch so umzugehen als wären es seine.
     
    #7