Hintergründe zum Einbruch bei US-Sicherheitsfirma

Ars Technica hat die Hintergründe zu dem Einbruch bei der US-Sicherheitsfirma dokumentiert, die eigentlich Anonymous an den Kragen wollte und stattdessen dann selbst auseinander genommen wurde. Demnach war der Einstiegspunkt ein proprietäres CMS, das speziell für HBGary entworfen wurde. Dieses CMS überprüfte zentrale Eingabeparameter nicht ausreichend, sodass es möglich war, über passende URLs SQL-Kommandos an die Datenbank zu senden. Auf diesem Weg gelang es den Angreifern, an die Hashes der Passwörter der CMS-Nutzer zu gelangen. Die stellten sich als einfache MD5-Hashes heraus, die nicht gesalzen und somit ein leichtes Opfer für eine Angriff mit Rainbow-Tabellen waren.

Im Anschluss stellte sich heraus, dass zumindest CEO Aaron Barr und COO Ted Vera von HBGary Federal dieses CMS-Passwort für verschiedene weitere Dienste nutzten, darunter für den E-Mail-Zugang und Twitter. Vera hatte darüber hinaus noch einen Account auf dem System support.hbgary.com, wo sich Anonymous dann via SSH ebenfalls mit dem gleichen Passwort anmelden konnte. Dort lief ein Linux-System, das noch anfällig für eine im Oktober veröffentlichte Sicherheitslücke im GNU-C-Loader war. Die bescherte den ungebetenen Gästen Root-Rechte auf dem System, was ihnen Zugang zu mehreren GByte an Backup- und Forschungsdaten verschaffte, die sie laut Ars Technica löschten.

Auch Barrs Passwort ließ sich weiter nutzen. Er war als Administrator des HBGary-Zugangs zu Google Apps in der Lage, die Mail-Passwörter der anderen Angestellten neu zu setzen. Das gab Anonymous dann Zugriff auf Greg Hoglunds Mailbox. In der fanden sich unter anderem zwei mögliche Root-Passwörter für die Security-Site Rootkit.com, die Hoglund nebenbei noch betrieb. Mit deren Hilfe gelang es dann, einen anderen Administrator zu überzeugen, ein Loch durch die Firewall zu bohren und das Benutzerpasswort umzusetzen. Mit dem SSH-Zugang und Root-Passwort kam Anonymous dann unter anderem an die komplette Benutzerdatenbank, in der die Passwörter wiederum einfache, ungesalzene MD5-Hashes waren.

Insgesamt lässt sich feststellen, dass das Sicherheitsniveau bei HBGary nicht sonderlich hoch war. Der Einbruch entpuppt sich als Folge vieler einfach zu vermeidender Fehler: SQL-Injection auf der Web-Site, ungesalzene Passwörter, die dann für viele Dienste parallel genutzt wurden und ungepatchte Server. Das wirft kein gutes Licht auf eine Firma, die ihr Geld mit Sicherheits-Software und -Beratung verdient. Mittlerweile ist HBGary weitgehend untergetaucht; der Stand und Auftritte auf der derzeit stattfindenden RSA-Konferenz wurden abgesagt.

Die Security-Community diskutiert derweil aufgeregt über ein Patent das 2007 unter anderem HBGary-Gründer Greg Hoglund zugesprochen wurde und das gezielte Einschleusen fehlerhafter Parameter zur Fehlersuche betrifft. Dies ist eine sehr grundlegende Technik zum Aufspüren von Sicherheitslücken, die unter anderem als Fuzzing seit langem Anwendung findet. (ju)