Die aktuellen Hacker-Attacken, Webseiten-Security und OpenSource

Be Safe

Die aktuellen Hacker-Attacken (oder auch Cracker-Attacken) auf die Webseiten von SPÖ und FPÖ in der Nacht auf Freitag sind Anlaß zu ein paar Gedanken zum Thema Security und Webseiten-Sicherheit.

Am schlimmsten hat es die Seite spoe.at erwischt, hier wurden anscheinend Passwörter unverschlüsselt gespeichert und von den Angreifern ins Netz gestellt. Die Webseite, die mit einer proprietären Software namens IREDS umgesetzt wurde, einem "selber gestrickten" Redaktionssystem aus Österreich, war mindestens einen Tag nicht erreichbar und lt. Pressemeldungen wurde beträchtlicher Schaden angerichtet.

Hypothese Nr. 1: OpenSource ist sicherer

Oft wird bei OpenSource Software die tlw. hohe Anzahl an veröffentlichten Sicherheitsupdates kritisiert und die entdeckten Sicherheitslücken als Indiz für eine unsichere Software verstanden. Das Gegenteil ist der Fall! Nur wenn möglichst viele Personen eine Software einsetzen und man vor allem auch Einsicht in den Quelltext hat bzw. die Möglichkeit hat Bugfixes zu erstellen und der Community bereitzustellen, nur dann kann man sicher sein, dass zumindest annähernd alle Sicherheitslücken entdeckt und behoben werden können. Denn eines ist auch klar: Keine Software der Welt ist fehlerlos.

Hat man nun ein System im Einsatz, das vielleicht nur von 20 Seiten eingesetzt wird, das vielleicht nur 5 ProgrammiererInnen wirklich kennen, wo externe ExpertInnen nur begrenzt Einblick in den Quellcode haben und das vielleicht vor 2 Jahren das letzte Mal verbessert wurde, dann muss man schon sehr sehr großes Vertrauen in seinen Anbieter haben.

Setzt man jedoch eine OpenSource Software ein, die wie zB Wordpress oder Drupal, die bei tausenden der größten Webseiten der Welt im Einsatz ist und so natürlich diversen Attacken ausgesetzt ist, dann kann man sicher sein dem aktuellen Stand bzgl. Webseiten-Sicherheit zu entsprechen. Natürlich ist es dafür notwendig veröffentlichte Sicherheits-Updates auch einzuspielen bzw. die komplette Server-Umgebung entsprechend einzurichten.

Hypothese Nr. 2: whitehouse.gov hat als Referenz für Drupal unschätzbar hohen Wert

Vor dem Hintergrund der vielen Attacken vor allem auf Regierungswebseiten und politischen Organisationen ist die Entscheidung der US Regierung u.a. für whitehouse.gov die OpenSource Software Drupal einzusetzen besonders hervorzuheben. Bei einer Seite wie whitehouse.gov, sicher eine der am meisten attackierten Seiten der Welt, wird man sich die Entscheidung der richtigen Software sicher nicht einfach gemacht haben bzw. leistet Drupal hier einen bis jetzt sehr guten Job.

Für EntscheidungsträgerInnen hat diese Entscheidung natürlich immense Vorbild-Wirkung und ist deshalb von unschätzbarem Wert für OpenSource Software im allgemeinen und Drupal im speziellen.

Fazit

100% sicher vor böswilligen Attacken ist man nie, aber mit einer verbreiteten OpenSource Software mit einer aktiven Community ist man, zumindest was die Software angeht, auf der sicheren Seite. Vorausgesetzt die Server-Umgebung ist entsprechend konfiguriert und die Software wird entsprechend gewartet, also vor allem die Sicherheits-Updates auch wirklich eingespielt. Denn wenn man so wie wien.spoe.at auf OpenSource Software setzt und dann seit mehr als einem Jahr keine Sicherheitsupdates einspielt darf man sich auch nicht wundern wenn man eines Tages Opfer einer Hacker-Attacke wird. Da kann die Software noch so gut sein...

Links

http://derstandard.at/1308680131769/Naechtlicher-Ueberfall-Anonymous-att...
http://futurezone.at/netzpolitik/3849-anonymous-kapert-homepages-von-spo...
http://www.spoe.at
http://wien.spoe.at
http://drupal.org/security-team
http://www.whitehouse.gov
http://www.volacci.com/blog/ben-finklea/2010/march/10/drupal-website-sec...





Powered by Drupal7