Der Gawker/Gizmodo/Denton-Hack

Gnosis, ein kleines Hackergrüppchen, hatte nach eigener Aussage einfach die Nase voll von Gawkers purer Arroganz.

Also nahm man sich ein paar Stunden Zeit um den Server zu hacken, den kompetten Quellcode des genutzten Content-Management-Systems herunterzuladen, und mehr als 80% der angeschlossenen Datenbank abzusaugen.

In diesem Dump enthalten: 273.789 Passwörter und Email-Adressen von Kommentatoren, aber natürlich auch die der Autoren. Da sich die Aktion gegen Gawker richtet, und insbesondere Nick Denton, wurden aber zunächst die Daten aller Autoren angeschaut. Im Fall von Nick Denton stellte sich schnell heraus, dass er überall das gleiche Passwort verwendet…

Damit kam man in seinen Campfire-Account, auf dem 4GB Chat logs lagen. Er sitzt also echt viel vorm Computer… Darunter fanden sich noch ein paar interessante FTP- und Dropbox-Zugänge, die er unverschlüsselt an andere versandt hatte.

Mit Gawker verbunden sind nicht nur lifehacker.com und kotaku.com, sondern auch gizmodo.com. Also machte man noch ein bisschen weiter mit dem munteren Stöbern. Als kleine Lehre wurden dann noch die Emailadressen aller registrierten Kommentatoren, deren passwort ‚password‘ oder ‚querty’/’querty1’/’querty12‘ war, mit in die Sammlung gegeben, und das ganze Paket als Torrent veröffentlicht.

One can only pray that they do not use the same password everywhere.

Aber selbst diejenigen, die nicht das gleiche Passwort für ihre Emails verwenden, werden sich dann wohl in Zukunft über die eine oder andere ungewünschte Email freuen…

Im vor ein paar Stunden veröffentlichten 500MB-Torrent befinden sich noch viele weitere Diagnose-informationen über das Server-Setup. Zusammen mit den PHP-Quelltexten sind damit viele Informationen an die Hand geliefert, die für den geneigten Leser interessant sind – ich hab mir die Fülle noch gar nicht im Detail angeschaut. Die beigelegte Readme-Datei liest sich aber schon sehr amüsant.

Wer sich nicht auf das dünne Eis begeben will, den Torrent herunter zu laden, bekommt auch hier einiges zu lachen. Und wer den Torrent laden möchte, findet ihn sicher auch schnell, ohne dass ich ihn hier verlinke.

Gawkmedia has possibly the worst security I have ever seen. It is scary how poor it is. Their servers run horribly outdated kernel versions, their site is filled with numerous exploitable code and their database is publicly accessible.

Gnosis betont, dass man nicht dem 4chan entstamme (Denton hatte über 4chan gelästert), und keine tiefergreifende Mission hatte, außer Denton eins auszuwischen.

We considered what action we would take, and decided that the Gawkmedia “empire” needs to be brought down a peg or two. Our groups mission? We don’t have one.

Ein wirklich erfolgreicher, bitterer Hack. Normalerweise macht man so etwas gerne mal als „Bewerbungsschreiben“, aber mit der Veröffentlichung eines Teils der Daten zeigen Gnosis klar, dass sie kein Interesse an einem Job als Security-Advisors haben. Den wird wohl jemand anderes abgreifen.

Und was auf diese Person wartet, sieht nach einer Menge Arbeit aus.

30 Ergänzungen

  1. Ich kann den wenig distanzierten, fröhlichen Ton des Postings nicht ganz nachvollziehen. War die Aktion von Gnosis auch nur ansatzweise gerechtfertigt? — „Arroganz“ ist beileibe etwas dünn…

  2. „Arroganz“ mit einer gehörigen Prise „verkackt“ würd ich sagen. Irgendwie sollte man als Webmaster auch ne gewisse Kompetenz haben, den Usern nicht so schlechte Passwörter zu erlauben und sie im Zweifel sogar zu zwingen, vernünftige zu nutzen.

    http://twitpic.com/3fg582

  3. Der fröhliche Unterton des Artikels hier kotzt mich echt an. 1. wurden Nutzerdaten veröffentlicht, was können die Kommentatoren denn dafür, dass der/die Hacker ein Problem mit Gawker haben? 2. Hatte der Hack keinen wirklichen Mehrwert.

    Fail! Aber oh und ach Hacker sind toll… Vlt sollten sich die Leute ja mal mit dieser Seite beschäftigen. Hier ist sicher auch nicht alles sauber konfiguriert und top aktuell Linus… think about it!

  4. Also die Nutzerdaten sind „nur“ die E-Mail Adressen. von wenigen Accounts sind wirklich die Passwörter dabei und dann wohl auch nur von denen, die durch eine Passwortliste (password, qwerty, o. ä.) aufgefallen sind.

    Welchen Mehrwert das Ganze hat? Naja, was für einen Mehrwert hat es Mastercard oder Paypal lahm zu legen? Und welchen Mehrwert hat es, sich vor ein Mikrofon zu stellen und andere öffentlich zu beschimpfen? Vor allem unter dem Gesichtspunkt, dass man selbst so schlampig arbeitet und nicht nur einen, sondern eine ganze Reihe von Kardinalsfehlern gemacht hat? Ich kann da die Schadenfreude schon etwas nachvollziehen.

  5. Ich finde das mit dem Publizieren auch sehr grenzwertig. Eine Liste der häufigsten Passwörter hätte es auch getan.

    @Oliver: Ich bin ein Gegener davon Benutzer auf diese Weise zu gängeln, wer ein unsicheres PW will soll auch eins bekommen.
    Daher plädiere ich für die Praxis den Benutzer darauf hin zu weisen und wenn er „ist mir klar“ anklickt (oder „unsicheres Passwort dennoch verwenden“) dann muss auch gut sein.
    Ich verwende seit geraumer Zeit Zufallspasswörter und nen Manager, aber manche Leute wollen vielleicht für bestimmte Dienste mehr „Portabilität“ (nämlich: Sich ohne Gedächnisstütze einloggen können) und weniger Sicherheit. Das ist wie die Abwägung von Sicherheit mit anderen Dingen (z.B. Freiheit), da muss man eben auch individuell entscheiden was man wie gewichtet.

  6. Was heißt gängeln, man kann ihnen ja Hilfsmittel anbieten, um sichere Passwörter zu machen. Ohne geht es aber halt anscheinend nicht.

    Spätestens wenn irgendein saudummes Passwort gehackt wird, bist Du als Webmaster dann der Blöde, der gesagt bekommt, Deine Seite wäre unsicher.

  7. :) Gängeln heißt, dass man sie – in diesem Fall – zu einer bestimmten Passwortstärke zwingt.

    Daraus dass ein Benutzerkonto „gehackt“ sollten dem Webmaster keine Nachteile entstehen. D.h. für priviligierte Benutzer, die was kaputt machen können sehe ich das durchaus ein, also z.B. ein Modeatoren-Account in einem Forum… aber bei normalen Benutzern, bei denen eben nur ihr eigener ich nenne es mal „Wirkraum“ betroffen ist finde ich dürfen sie auch selber entscheiden, wie sicher sie fahren wollen.
    Ich habe sowas wie ich oben darstellte schonmal geschrieben, eine Registrierungs-Seite, die Client- wie Serverseitig die Stärke des PW prüft (über eine kleine Rechnung, die Länge und Mischung berücksichtigt). Mit JS gab es direkt Feedback als wie stark das PW eingeschätzt wird und wenn man ein zu schwaches (Grenzwert) abgesendet hat wurde das zunächst als Fehler wieder zurück gegeben (als hätte man ein Pflichfeld vergessen) und gleichzeitig ein hidden-input gesetzt, dass unsichere Passwörter akzeptiert werden. Beim nächsten Abschicken wurden dann auch mäßig sichere Passwörter akzeptiert (geringerer Grenzwert IIRC reichte es dann z.B. gemischt mit 3 Zeichen oder nur Buchstaben, nur Zahlen dann aber 5 Zeichen). Nun könnte man darüber nachdenken eine dritte oder vierte Stufe einzubauen… hab ich damals aber nicht.

    Und das empfinde ich einfach als vernünftiges Maß den Benutzer zu „gängeln“. Darüber hinaus empfinde ich halt eher als bevormunden.

    Wenn man möchte kann man ja – um als Webmaster ungerechtfertigter Kritik zu entgehen – in die Datenbank ein flag schreiben, dass der Benutzer gewarnt wurde und als wie stark das Script das PW eingeschätzt hat… oder so. Denn aus dem verschlüsselten PW lässt sich das ja nicht so gut sehen ^^.
    Dann kann man im Falle des Falles durchaus sagen „pfff ich habs dir doch gesagt“.

    Im Vorliegenden Fall sieht das natürlich anders aus, wenn die ganze Seite um nicht zu sagen der Server aufgemacht wurde, dann hilft auch das härteste PW nichts. Warum die allerdings unverschlüsselt auf dem Server rumliegen… naja scheint ja nicht der einzige Fehler gewesen zu sein.

    Also liebe Leute: Speichert ein HASH eines Passworts in der Datenbank und vergleicht den HASH eines übergebenen PW mit eben diesem!
    Wer will kann auch noch einen festen String an beides (vor dem Hashen) dran hängen, das hilft dann noch gegen Regenbogentabellen falls die Datenbank „verloren“ geht, aber der Code nicht! (Hätte im vorliegenden Fall also keinen Sicherheitszuwachs ergeben… das hashen selber aber durchaus).

    Also Oliver, ich stimme dir zu, wenn es um kritische Account mit irgendwelchen relevanten Rechten geht. Aber wenn ein Benutzer halt von jedem Computer aus an seinen identi.ca-Account will und daher als PW „identi.ca“ wählt ist das imho sein Bier. Wird der geknackt ist es sein Problem und nicht der des Webmasters.

  8. Auch wenn ich mich als Netzpolitisch unwissend oute, was für eine Bedeutung hat Gawker? Wer oder was ist das?

  9. hmm…
    Also ich kenne da ein institut, da ist jeder, der vor einem rechner sitzt sein eigener admin. da sind plain passwörter mit weniger als 6 zeichen normal. auch für root-passwörter.
    ärger gabs, als das institut dann einen traffic hatte, den die verwaltung nicht mehr zahlen wollte.
    Lösung: den stecker zum netz ziehen.

    Alternativ hätte man die rechnerverwaltung zentralisieren können, einen admin, der vollzeit beschäftigt die mitarbeiter nötigt sich halbwegs sichere passwörter zuzulegen. aber das hätte ja geld gekostet.

  10. OK. Ich habe recherchiert.

    Es ist also ein Medienunternehmen das mehrere Blogs betreibt – die in den USA eine Bedeutung haben?
    Was haben die gemacht, das sie gehackt wurden?
    War das auf Netzpolitik schon einmal Thema?

    Irgendwie kann ich mit diesem Artikel nichts anfangen. Mir fehlt Hintergrundwissen, das ich zumindest auf Netzpolitik.org nicht finde. Auch in den anderen von mir gelesenen Blogs und Twittermeldungen war das nie Thema. Ich finde weder hier noch z.b. auf Golem etwas zu Gawker…

    Bitte gebt mir Infos!

  11. Bei Linus kommt der Eindruck auf, er fände DDoS ganz böse, aber Hacks in Webseiten und Datenbanken wären okay.

  12. So wie ich das verstanden habe, sind auch Listen von Nutzern aufgetaucht, die offensichtlich Passwörter wie „password“ und „querty“ verwendet haben.

    Mal ne Frage – wenn ein neuer Nutzer angelegt wird, wird sein Passwort ja verschlüsselt. Warum zur Hölle hängt man an den Passwortstring nicht noch eine (Nutzerbezogene?) Konstante wie zum Beispiel den Anmeldetimestamp oder die id der Zeile? Das würde einmalige Hashes ergeben und Passwortlisten wären nutzlos.
    Oder habe ich da etwas verpasst?

    Noch ne Frage – wenn Gawker tatsächlich so löchrig ist, wie das hier scheint – wieso ist ein solcher Hack nicht schon viel früher passiert?

  13. @rootkit: Den Kommentar hättest du nicht schreiben sollen, jetzt wird netzpolitik.org gehackt. Toll gemacht.

  14. Ich weiß auch nicht, wie ich zu diesem Hack stehen soll, finde ihn aber zumindest interessant.

    Wenn man sich aber mal die Beweggründe anschaut, die z.B. in der Readme des Torrents etwas ausführlicher dargestellt werden, dann wird der Hack zumindest teilweise nachvollziehbar.

    Ansonsten ist hier die Motivation zusammengefasst:

    http://www.mediaite.com/online/exclusive-gawker-hacker-gnosis-explains-method-and-reasoning-behind-his-actions/

    Der Hacker distanziert sich im Übrigen auch von 4chan bzw. Anonymous. Er würde sich wohl sonst auch nicht Gnosis nennen und Hack-Details unter diesem Namen posten…

  15. @rootkit: „Anonymous“ kann schlecht Sympathien aufbauen oder verlieren, wenn man sich einmal bewusst macht, dass sich jeder so nennen kann.

    Du kommst daher eh nicht drumherum, jede Aktion einzeln zu beurteilen: Und bei der Gawker-Nummer verstehe ich nicht, wie das objektiv oder subjektiv gerechtfertigt sein kann.

    Wenn die subjektive Rechtfertigung alleine Arroganz sein soll — mehr gibt leider auch der Artikel bei mediaite nicht her — sollte sich Gnosis mal selbst scharf im Spiegel betrachten.

  16. Hm.

    Auch wenn ich es nicht explizit hingeschrieben habe, gibt dieser Hack doch eine Menge Anregungen, über bestimmte Dinge nachzudenken:

    1. Die „Begründung“: Sie äußerst dünn und willkürlich, absolut subjektiv. Die ganze Aktion ist auf maximalen Schaden ausgerichtet. Es gibt einen tiefgründigeren Hintergrund, nach dem ja auch in den Kommentaren gefragt wurde.

    2. Die Passwörter-Veröffntlichung: Übel – auch wenn die Passwörter ohnehin trivial waren. Doch die Lehre ist eindeutig:

    2.1 komplexere Passwörter nutzen
    2.2 nicht überall das gleiche Passwort nutzen
    2.3 auch im vermeintlich nicht sicherheitsrelevanten Bereich wie Blog-Kommentaren zählt security
    2.4 Wofür zum Teufel gab es überhaupt Gawker- Accounts?
    2.5 Es wird zum Beispiel hier argumentiert, dass ‚gute‘ Hacker mit der Veröffentlichung etwas gutes getan hätten, indem sie ‚bösen‘ zuvorgekommen sind. Grenzwertige Argumentation. Das einzige, was ich als positiv bewerten würde, ist der Warneffekt. Ob das aber die Veröffentlichung rechtfertigt?

    Insofern finde ich er ist ein herrliches Diskussionsthema und Lehrbeispiel..

    1. Ein Lehrbeispiel, das wieder einmal zeigt, dass „das Netz“ immer mehr die gesamte Gesellschaft abbildet. Früher war es eine eng verbundende Gemeinde von einander wohlmeinenden und verantwortungsvollen Individuen, heute haben wir die Vandalen, die Wände vollschmieren (Spammer) und Mülleimer umkippen (Skriptkiddies) auch „im Netz“.

      Und, ja, mein Schuppen im Garten hat kein Schloss, trotzdem will ich nicht, dass jemand den rostigen Spaten oder die Mülltonne da rauszerrt und auf die Strasse wirft.

  17. Unglaublich, daß es immer noch Anwendungen gibt, die Passwörter im Klartext speichern, Datenbankserver, die von Außen erreichbar sind, Admins und Entwickler die überhaupt erst solche Passwörter zulassen und daß man generell die eigene IT-Infrastruktur so nachlässig behandelt.

    Einen ehemaligen Arbeitgeber wies ich mal darauf hin, daß – wenn wir schon eine Firewall nutzen, nicht alle Rechner (inkl. Developerkisten) von außen erreichbar sein müssen. Ein Jahr nach Beschäftigungsende schickte ich ihm einen Portscan von außen – nicht nur, daß alle Rechner von außen erreichbar waren – bei ~30 Rechnern war auch Rootlogin möglich! Gott sei Dank wurden dann zugemacht.

    Jeder Rechner/jede Infrastruktur, die ans Internet angeschlossen ist, muss wie eine offene Haustür angesehen werden, die sorgfältig verschlossen gehört.

    gruß, Frank

  18. Wer A sagt, der muss auch Magnet sagen können.

    magnet:?xt=urn:btih:d330627b4323d23441f41615d279bb0c1d498daf&dn=real%5Frelease&tr=http%3A%2F%2Ftracker.prq.to%2Fannounce

  19. Linus #19

    Re 2.5, die guten Hacker sind aber nicht Gnosis, sondern andere. Gnosis hat die Passworte veroeffentlicht, die Leute von Hacker News (nicht Gnosis) haben eine Warnung an die Nutzer geschickt, etwas dass Gawker wohl noch immer nicht getan hat. Zwei unterschiedliche Dinge.

  20. Also liebe Leute: Speichert ein HASH eines Passworts in der Datenbank und vergleicht den HASH eines übergebenen PW mit eben diesem!

    Die haben Linux encrypt genommen, aber die Accounts sind halt aufgefallen, wenn da 1000 Mal „password“ als Password genommen wurde, dann muss das halt auffallen. Ich löse das Problem seit Jahren so, dass ich die E-Mail Adresse und ein SALT zum hashen dazu nehme. Beim Rest kann man Dir Recht geben – tu ich aber nicht. Es kommt ja auch immer drauf an, was man schützt und welche Hilfsmittel man als Webmaster dazu gibt.

    Ich kann Dir das leider noch nicht zeigen, wie ich das gelöst habe, aber ich habe einen Assistent dazu geschrieben, der aus „Test123“ Mio. Passwörter erzeugen kann. Also für Netzpolitik mit „Test123“ wäre das mit meinen Einstellungen dann „R*5{vc8H.!x]h|]“. Mit wenigen Klicks und einem simplen Passwort. Meine Überprüfung testet auch nicht, ob ein Passwort Zahlen und Sonderzeichen enthält, sondern nur, wie lange es theoretisch dauert, es zu brute forcen. Schutzmechanismen gegen Brute Forcing sind natürlich auch drin.

  21. Der Hack war legitim. Wer sich derart aus dem Fenster lehnt, der kann halt auch schon das Gleichgewicht verlieren und fallen.

    Und zu den personenbezogenen Daten, die veröffentlich wurden: Lernen durch Schmerzen. Selbst Schuld!

  22. @ Marc: Na ja, so eine These vertritt man auch nur so lange, bis man selbst mal dran ist. Dann fällt nämlich auch das eigene weit-aus-dem-Fenster-lehnen unter Meinungsfreiheit, oder?

    ganz so einfach ist der Fall denke ich nicht. Egal, was irgendwer sagt, irgendjemand wird sich immer finden, dem das überhaupt nicht passt.

  23. Nun, was Gawker da gemacht hat ist das Internet-Äquivalent dazu, sich nachts in einer schlechten Gegend lautstark und auf politisch inkorrekte Weise über ausländische Mitbürger zu äußern. Klar ist es nicht legal, wenn man kurz darauf was in die Fresse bekommt – aber besonders überraschend ist es auch nicht.

  24. @Oliver, sich sein eigenes Süppchen in Sachen Sicherheit zu kochen, ist so mit das Unsicherste was man tun kann. Das wird leider immer wieder bewiesen.

    Übrigens ist es etwas Augenwischerei, hier einen auf https zu machen, die Formulare aber an http zu schicken und tonnenweise fremden Content zu laden. Wenn schon, dann richtig. Vor allem für netzpolitik.org.

    Gruß

  25. Richtig so, zuerst spielt er auf Member von 4chan an und preist seine eMail-Adresse
    in provozierendster und arrogantester Art an und nun stellt sich also heraus, dass er
    überall das gleiche Passwort genutzt hat, nachdem er unter die Lupe genommen
    wurde. Wie doof kann man eigentlich sein? Hoffentlich ist das genug Arroganz-Beweis,
    ich hab kein Mitleid mit dem Möchtegern-Seitenbetreiber und schon gar nicht, wenn
    man selbst zu blöd ist, NICHT immer das gleiche Passwort zu verwenden. =D

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.