“Twitter-Hacker” festgenommen…

Diese Nachricht verbreitete sich heute durch das Web wie ein Lauffeuer:

http://winfuture.de/news,54410.html

Jener 25-jährige französische Arbeitslose, dem es im April 2009 gelang, in das Admin-Interface von Twitter einzudringen, indem er die sogenannte “geheime Frage” eines Twitter-Mitarbeiters erriet und sich dann Zugriff zu Twitter-Accounts diverser prominenter verschaffte, wurde nun also von der Polizei in Frankreich gefasst und wird auch die entsprechenden Folgen zu tragen haben. Bösartige Absichten, wie etwa Geld aus den Lücken zu machen, hatte der 25-Jährige laut Angaben der Behörden nicht.

Dass dieser Fall überhaupt bekannt geworden ist, ist allerdings garkeine Selbstverständlichkeit.

In Amerika ist es tatsächlich üblich, solche Dinge zu vertuschen, solange dies auch nur irgendwie möglich ist.

Dies war hier wohl kaum möglich.

(Unter anderem weil “HackerCroll” Tweets über gekaperte Accounts absetzte)

Ich persönlich bin der Meinung, dass dies eine große Chance darstellt.

Es wird aufgezeigt, dass Lücken, teilweise in sehr banaler Form, auch in den “höchsten Rängen” existieren.

Solche “prominenten Fälle” sorgen nicht selten dafür, dass Mitarbeiter in IT-Abteilungen rund um den Erdball plötzlich nervös werden, weil sie beim lesen solcher Nachrichten plötzlich bemerken, dass auch sie durch solche Angriffe angreifbar wären, und dann entsprechende Maßnamen ergreifen.

In den meisten Fällen, wie auch im “Fall Twitter” handelt es sich um banale Sachen, die massive Folgen haben.

Sowas rüttelt auf.

Seit dem Vorfall hat sich das Sicherheitsbewusstsein der Mitarbeiter von Twitter natürlich sehr stark verbessert und es gibt dort nun sehr gut ausgearbeitete Sicherheitsrichtlinien, die in großen Unternehmen das A und O sind.

Das ist das positive an solchen Fällen: Auch andere werden davon lernen.

Denn wer glaubt, dass Twitter die einzige (“große”) Firma ist, in der Mitarbeiter auf ihren Privatmailkonten Firmeninfos horten, Privat/Firmen-Passwörter mischen, Passwörter wie 7-Jährige verwenden und sich auch sonst noch allerhand “No-Go’s” leisten, der irrt.

Nicht selten ist “Unsicherheit per System” (sprich unternehmensweit) in vielen Unternehmen auch heutzutage noch ein großes Problem.

Um nur einige Beispiele zu nennen, werden ACL’s immer noch von vielen Firmen vernachlässigt, Master-Passwörter (teilweise sogar firmenweite Masterpasswörter sind immer noch Realität!) und zu unsichere Passwörter sind immer noch viel zu massiv vertreten.

Was kann/sollte also gemacht werden? Kann man ein globales Sicherheitsbewusstsein aller Mitarbeiter global schaffen ohne viel Aufwand?

Könnte man, warum also macht man das nicht?

Nun, ich denke dies hat kaum technische Gründe, vielmehr ist es wohl zum Großteil Einstellungssache (und Einstellung ist sowohl bei IT-Systemen als auch bei Menschen eine wichtige Sache):

Bevor nix dramatisches passiert, ändert sich auch nichts.

Warum auch auf das komfortable Master-Passwort in der Firma verzichten, wenn “eh nix passiert”?

Nach einem Hack-Angriff sieht es dann natürlich ganz anders aus.

Warum erst danach?

Nun, es tut mir leid, dieser Blog-Post wird grad sowieso schon zu lang, das kann ich hier nicht ausführen und erst recht nicht erklären weil ich es mir selbst nicht wirklich erklären kann.

Dabei ließe sich das alles vermeiden.

Es fehlt an unternehmensweiten Sicherheitsrichtlinien und Schulungen, besonders gerichtet an weniger große “PC-Talente” unter den Mitarbeitern, aber auch um mehr Sicherheitsbewusstsein unternehmenweit in vielen Firmen.

Das sind Ziele, aber es sind erreichbare.

Ich hoffe, dass ich einige zum nachdenken angeregt habe.

^krat

This entry was posted in Uncategorized. Bookmark the permalink.

2 thoughts on ““Twitter-Hacker” festgenommen…

  1. Nunja, so ist es nunmal. Hand auf Herz, jeder hat (zu Win-XP zeiten) den Leuten geraten nocht mitm admin acc zu arbeiten und n restricted user dafür zu nehmen, mitm admin nur dinge zu installieren und so, ja auch ich.
    Aber selber, nunja nach 1-2 Monaten hatte ich keine Lust mehr darauf, es war einfach nervig und machte keinen Sinn.
    Den Sinn hab ich auch erst verstanden nach ner Drive-by infection.
    Nunja, mittlerweile hab ich das Problem nicht mehr weil ohne root zu arbeiten, einfach normal ist 😉

  2. Muss allerdings zugeben das ich auch lieber mit Administrator Arbeite – was bei Aktivierter UAC aber zum glück mitlerweile nicht mehr SO dramatisch ist.

    Das Firmenweite Passwörter ein Risiko sind sollte einem schon der eigene Verstand sagen….

Comments are closed.