Gema-Hack: Standardpasswörter verschlimmerten offenbar die Situation
Der Gema-Hack dürfte ein Lehrstück für so manchen Systemadministrator sein, der meint, dass Standardpasswörter schon ausreichen. Ein selbstverschuldetes Problem hat dazu geführt, dass Teile des Gema-Netzes komplett offen waren. Nach dem eigentlichen Hack des Webservers hatte Anonymous leichtes Spiel mit der Verwertungsgesellschaft.
Die Anonypwnies Group hat ein Bild über den Hack im Internet verbreitet und außerdem diverse Redaktionen angeschrieben und das Vorgehen im Detail erläutert. Die Informationen sind mit Vorsicht zu genießen, da ihr Urheber prinzipbedingt nicht ermittelbar ist. Zudem hat Gulli.com zwei Anonypwnies-Hacker ausführlich befragen können(öffnet im neuen Fenster) . Die Details decken sich mit den Informationen und den Ausfällen bei der Gema.
Der erste Schritt war eine SQL-Injection
In dem Schreiben, das Golem.de vorliegt, heißt es, dass Anonypwnies für den Hack verantwortlich ist. Nachdem die Gruppe in den Webserver per SQL-Injection eingedrungen war - eine Sicherheitslücke soll dies möglich gemacht haben -, kam sie recht einfach in das Firmennetzwerk. Der Webserver steht laut Anonypwnies nämlich im Intranet. Allerdings war das Intranet selbst offenbar komplett geöffnet, nachdem ein Reverse Socks Server von den Hackern gestartet wurde.
Nach Darstellung der Hacker entdeckten sie dabei mehrere große Dell-Server, die über den Integrated Dell Remote Access Controller (iDRAC 6 über eine eigene Ethernet-Anbindung) steuerbar waren. Beispielsweise lassen sich Abstürze von Maschinen beheben oder das Power Management von VMwares ESXi-Server steuern. Die iDRAC-Anleitung bei Dell(öffnet im neuen Fenster) nennt weitere Details zu dem System.
Standardpasswort ermöglicht Kontrolle über mehrere virtuelle Maschinen
Ein derartiges System gehört zu den kritischen Bereichen eines Unternehmens. Dementsprechend muss es geschützt werden. Zugang sollten eigentlich nur wenige Mitarbeiter haben. Bei der Gema war das laut Anonymous offenbar anders. Die Verwertungsgesellschaft sicherte das System nicht ab, sondern beließ es beim Standardpasswort für das iDRAC-System. Der zuständige Gema-Mitarbeiter oder Dienstleister hat hier seine Pflichten verletzt, sollte die Darstellung von Anonymous stimmen.
In der iDRAC-Dokumentation heißt es dazu im Wortlaut(öffnet im neuen Fenster) : "You can log in as either an iDRAC6 user or as a Microsoft Active Directory user. The default user name and password for an iDRAC6 user are root and calvin, respectively." . Es ist also ein Leichtes, das iDRAC unter Kontrolle zu bringen. Es ist zudem zu vermuten, dass das System auch anderen Mitarbeitern der Gema offen zugänglich war.
Anonymous entschied sich während des Hacks, einer bekannten Anleitung folgend(öffnet im neuen Fenster) , den ESXi-Server neu zu starten und ein neues Root-Passwort im iDRAC zu setzen. Die Hacker hatten damit Zugriff auf ein Dual-Sockel-System (2 x Xeon E5520) mit insgesamt acht CPU-Kernen. 96 GByte RAM und rund 35 TByte Speicherplatz gehören zu dem System - eine Tatsache, die die Hacker zu der süffisanten Vermutung veranlasste, die Gema verbreite wohl Torrents mit dem System. Zudem ist den Hackern aufgefallen, dass die Lizenzen des vSphere Enterprise nicht ausreichen. Indirekt wirft Anonymous daher Verwertungsgesellschaft vor, Schwarzkopien einzusetzen. Die Gema bestreitet das aber. Sie hat eine Zwei-Sockel-Lizenz, wie an dem Screenshot auch zu erkennen ist. Anonymous sieht den Bedarf für eine 23-Sockel-Lizenz.
Auch Daten wurden entwendet
Im Rahmen der Aktion haben die Hacker auch Daten entwendet. Zudem entdeckten die Hacker die Drucker und schalteten sie an, um Papier zu verschwenden.
In einem im Internet veröffentlichten Bild(öffnet im neuen Fenster) rät Anonymous allen Unternehmen und anderen Institutionen, einen Systemadministrator anzustellen und ihn gut zu behandeln.
Im Interview mit Gulli gaben Aktivisten allerdings zu, dass die Infrastruktur an sich gut ist. Nur bei der Sicherheit hapert es. Der Einbruch wäre laut den Hackern nicht gelungen, wenn sie selbst die Sicherheitseinstellungen vorgenommen hätten.
Anonymous weiß noch nicht, ob die gestohlenen Daten veröffentlicht werden
Momentan ist unklar, ob Anonymous die gestohlenen Daten veröffentlichen wird. Derzeit wird die Reaktion der Gema abgewartet, zudem müssen die Daten zunächst noch gesichtet werden.
Die Gema hat es derweil noch nicht geschafft, ihre Webpräsenz wieder zu aktivieren(öffnet im neuen Fenster) . Der Server liefert Besuchern nur eine 403-Fehlermeldung aus. Der Schaden ist offenbar tiefgreifender. Damit hat Anonymous allerdings nicht nur der Gema geschadet, sondern stört damit auch Teile der Musikindustrie, die von der Gema abhängig sind, nicht nur große Verlage, sondern auch kleinere Firmen. Unklar ist, ob der Hack langfristige Auswirkungen haben wird.
Die Gema hat zu dem Vorgang eine aktualisierte Stellungnahme vom 23. August 2011 im Gema-Blog veröffentlicht(öffnet im neuen Fenster) . So stehen derzeit einige Onlineservices nicht zur Verfügung. Bei der Gema sind schriftliche Einreichungen aber in vielen Fällen möglich, da sie teils sogar noch handschriftliche Anmeldungen benötigt.
Aussage steht gegen Aussage
Die Gema spricht in der Stellungnahme von einem Angriff nur auf den Webserver, nicht aber auf weitere interne Infrastruktur, allerdings wird der Vorgang noch untersucht. Es seien ausschließlich frei verfügbare Daten entwendet worden; aktive Passwörter seien nicht darunter gewesen, sondern lediglich alte. Das ist allerdings ein Widerspruch, es sei denn, alte Passwörter sind bei der Gema öffentlich zugänglich.
Den Vorwurf, Schwarzkopien zu verwenden, weist die Gema zurück und bestätigt damit indirekt die Echtheit der Anonymous zugeordneten Screenshots.
Stimmen die Darstellungen von Anonymous, kann wohl das gesamte Netzwerk als kompromittiert angesehen werden. Stimmen die Darstellungen der Gema, dürfte der Schaden bald behoben sein.