Rabbitz.org warnt vor kritischen Sicherheitslücken

Article by · 25. Juli 2015 ·
whitehat rabbitz.org

Foto heartbeaz, thx! (CC BY 2.0)

Die anonymen Datenschützer des neuen Online-Projekts Rabbitz.org haben die IT-Sicherheit diverser populärer Webseiten im Fokus. Werden die Sicherheitslücken nach vorheriger Kontaktaufnahme trotz einer gewissen Wartezeit nicht geschlossen, sollen diese unzensiert veröffentlicht werden. Betreiber ist die in Deutschland beheimatete Gruppierung “White Rabbitz“.

Die Problematik kennt jeder White-Hat, der schon einmal versucht hat, Firmen über vorhandene Sicherheitslücken aufzuklären. Rein rechtlich befindet man sich seit dem Jahr 2007 auf der Verliererseite, weil schon der Versuch nach einer Lücke zu suchen, laut dem in Deutschland gültigen Hackerparagrafen verboten ist. Das gilt bekanntlich auch für Admins, die ihren eigenen Webserver absichern wollen. Nur zu gerne werden solche Nachrichten ignoriert oder die Hinweisgeber mit strafrechtlichen Konsequenzen bedroht, sollten sie mit der Lücke an die Öffentlichkeit gehen wollen.

Die deutschsprachigen Betreiber von Rabbitz.org waren früher in entsprechenden Communites unterwegs. snop und igdrazil haben bereits mehrere Unternehmen beziehungsweise Behörden angeschrieben, die Ziel eines erfolgreichen Hackerangriffs werden könnten. Bei einer Subdomain von Bundestag.de wurde man gleich mehrfach fündig. Der Proof of Concept wurde aber erst veröffentlicht, nachdem die Bugs geschlossen waren. Dicht ist nun auch eine simple XSS-Lücke bei heise online.

Rabbitz.org will Druck ausüben

Dem hingegen warten die Aktivisten beispielsweise noch auf eine Antwort der Berliner Watchever GmbH. Der deutschsprachige Online-Streaming-Dienst soll nach Vernehmen von Rabbitz.org über eine kritische Lücke verfügen, über die Cyberkriminelle die Kreditkartendetails und weitere Angaben (Namen, E-Mail-Adressen, Anschriften etc.) der Watchever-Kunden abgreifen können. Die bislang publizierten Informationen wurden so gehalten, dass man die Sicherheitslücke nicht ohne weiteres komplett nachvollziehen kann. Rabbitz.org will sich selbst nicht zum Helfershelfer von Verbrechern machen. Allerdings wurde auch angekündigt, dass auch dieser Bug nach Ablauf der Frist in vollem Umfang veröffentlicht werden soll. Die Tochtergesellschaft der französischen Vivendi SA dürfte darüber weniger glücklich sein. Infolgedessen ist es wenig verwunderlich, dass die Mitglieder der Gruppierung “White Rabbitz” (kurz: WRZ) keine Realdaten und auch keine ladungsfähige Adresse auf ihrer Webseite angegeben haben. Ein Impressum sucht man dort vergebens.

Mehr zu diesem Thema:

Flattr this!

6 Comments

  • comment-avatar

    Bulder

    Weiß jemand,was mit Rabbitz los ist? Deren Seite ist seit Monaten offline.

    Danke.

  • comment-avatar

    phewrie

    Warum publiziert ihr die Sachen nicht auf den einschlägigen Seiten? Das Bürgercert beteiligt sich z.B. auch an Bounty-Programmen. Ich finde das nicht sonderlich optimal den “druck” über irgendwelche Individuelle Sites (druck = reichweite?!) aufzubauen – zumal es so aussieht, als würdet ihr nur fame einsammeln wollen. Die Bekannten sicherheitsforscher beteiligen sich bei den certs ja auch. Attention whoring?

    • comment-avatar

      snop.

      Das Bürger-CERT haben bereits kontaktiert. Beantwortet wurde die Anfrage mit “liegt nicht in unserem Zuständigkeitsbereich”. Ist auch wenig verwunderlich da sich die Plattform nicht auf individuelle Sicherheitslücken von Seiteninhabern bezieht sondern auf Sicherheitslücken in verbreiteten Anwendungen.

      Keine Ahnung was gegen ein eigenes Projekt spricht. So müssen wir uns nicht immer auf die teils mangelhafte Kompetenz von Behörden verlassen.

      Keiner möchte hier irgendwelchen Fame einsammeln. Dieser Beitrag z.B. stellt lediglich das Projekt vor.
      Wir haben auch schon positives Feedback von “bekannten Sicherheitsforschern” erhalten. Auch ist der Begriff “Attention Whoring” bei den zwei Blogeinträgen die unser Projekt vorstellen (Vorstellung == Reichweite) völlig unangemessen.

  • comment-avatar

    Die Informationen werden den Seitenbetreibern ja von Anfang an ungekürzt zur Verfügung gestellt. Gegenfrage: Welches Druckmittel hat man denn sonst, wenn man weiteren Schaden von den Kunden abwenden will!? Gar keins. Klar wirkt diese Drohung etwas kindisch. Aber was könnte man sonst tun? Einfach zuschauen? Oder sogar Schadenfreude empfinden? Das ist alles recht schwierig…

  • comment-avatar

    IKnowWhatYouDid

    Au man, Skriptkiddiez.
    Jungs, mal ehrlich, macht es richtig, oder macht es gar nicht. Gebt die Infos an die Betreiber raus, um Schaden zu verhindern oder verkauft die Infos um Kohle zu machen. Aber was soll dieses “wir geben euch 3 Wochen dann publizieren wir alles!” Gehabe?
    Gut, ich spiele mal mit. Igdrazil, alias Christoph H., schalte rabbitz.org ab oder ich publiziere dich an die Seitenbetreiber ;)

    • comment-avatar

      snop.

      Wie auch schon Lars geschrieben hat, stellen wir dem Seitenbetreiber von Anfang an alle Details zur Verfügung. Dieser darf sich dann im Rahmen der “Responsible disclosure” Regeln (Wikipedia hilft dir weiter) um den entsprechenden Fix kümmern (das Model funktioniert einwandfrei, bis jetzt wurden alle Meldungen äußerst kompetent behandelt;mit Ausnahme von watchever.de). Muss nicht jedem gefallen, wer sich aber schonmal mit dem Thema beschäftigt hat (dich zähle ich mal nicht dazu) weiß wie ignorant diverse Anbieter sein können und wie hilfreich dementsprechend ein Druckmittel.

      Gerne darfst du sämtliche Details über Herrn Christoph H. publizieren, ich freue mich drauf ;-)


Leave a comment