Bearbeiten von „STiNE-Pressemitteilung-061026“
Zur Navigation springen
Zur Suche springen
Warnung: Du bist nicht angemeldet. Deine IP-Adresse wird bei Bearbeitungen öffentlich sichtbar. Melde dich an oder erstelle ein Benutzerkonto, damit Bearbeitungen deinem Benutzernamen zugeordnet werden.
Die Bearbeitung kann rückgängig gemacht werden. Bitte prüfe den Vergleich unten, um sicherzustellen, dass du dies tun möchtest, und veröffentliche dann unten deine Änderungen, um die Bearbeitung rückgängig zu machen.
Aktuelle Version | Dein Text | ||
Zeile 4: | Zeile 4: | ||
geäußerten Behauptungen Stellung nehmen: | geäußerten Behauptungen Stellung nehmen: | ||
"STiNE ist sicher" (Pressemitteilung der Universität Hamburg, 17.10.06) | "[[STiNE]] ist sicher" (Pressemitteilung der Universität Hamburg, 17.10.06) | ||
Den Datenlotsen waren seit dem 10.10.06 mehrere Sicherheitslücken in | Den Datenlotsen waren seit dem 10.10.06 mehrere Sicherheitslücken in | ||
STiNE bekannt. Diese wurden jedoch erst am 17.10.06 behoben; gerade noch | [[STiNE]] bekannt. Diese wurden jedoch erst am 17.10.06 behoben; gerade noch | ||
rechtzeitig, um dem Bekanntwerden durch die Medien zuvorzukommen. Wir | rechtzeitig, um dem Bekanntwerden durch die Medien zuvorzukommen. Wir | ||
glauben, dass bei einem geringeren Druck auf die Datenlotsen die | glauben, dass bei einem geringeren Druck auf die Datenlotsen die | ||
Zeile 14: | Zeile 14: | ||
Möglich waren folgende Dinge: | Möglich waren folgende Dinge: | ||
1. Lesen _aller_ Nachrichten, die jemals über STiNE verschickt wurden | 1. Lesen _aller_ Nachrichten, die jemals über [[STiNE]] verschickt wurden | ||
(inklusive "gelöschter" Nachrichten) | (inklusive "gelöschter" Nachrichten) | ||
2. Einsicht in die privaten Daten anderer Studenten. | 2. Einsicht in die privaten Daten anderer Studenten. | ||
3. Entwenden von Zugangskennung und -passwort, wodurch eine Übernahme | 3. Entwenden von Zugangskennung und -passwort, wodurch eine Übernahme | ||
des Zugangs möglich gewesen wäre. | des Zugangs möglich gewesen wäre. | ||
4. Entwenden der gleichzeitig mit STiNE eingeführten studentischen | 4. Entwenden der gleichzeitig mit [[STiNE]] eingeführten studentischen | ||
Email-Konten (vorname.nachname@studium.uni-hamburg.de) | Email-Konten (vorname.nachname@studium.uni-hamburg.de) | ||
Jeder Besitzer eines STiNE-Zugangs konnte diese Angriffe ausführen. Zum | Jeder Besitzer eines [[STiNE]]-Zugangs konnte diese Angriffe ausführen. Zum | ||
Teil war nur eine simple Änderung der URL nötig. | Teil war nur eine simple Änderung der URL nötig. | ||
"In diesem Zusammenhang stellt die Universität Hamburg folgendes klar: | "In diesem Zusammenhang stellt die Universität Hamburg folgendes klar: | ||
das System STiNE ist von Anfang an in enger Abstimmung mit dem | das System [[STiNE]] ist von Anfang an in enger Abstimmung mit dem | ||
Hamburgischen Datenschutzbeauftragten entwickelt worden." (ebd.) | Hamburgischen Datenschutzbeauftragten entwickelt worden." (ebd.) | ||
Zeile 35: | Zeile 35: | ||
Implementationsfehlern völlig wertlos. | Implementationsfehlern völlig wertlos. | ||
"Angriffe auf Systeme wie STiNE, die das Ziel haben, mögliche | "Angriffe auf Systeme wie [[STiNE]], die das Ziel haben, mögliche | ||
Sicherheitslücken aufzuspüren, werden nur unter kontrollierten | Sicherheitslücken aufzuspüren, werden nur unter kontrollierten | ||
Bedingungen und nur in Zusammenarbeit mit dem Hamburgischen | Bedingungen und nur in Zusammenarbeit mit dem Hamburgischen | ||
Zeile 42: | Zeile 42: | ||
Das Problem an Sicherheitslücken ist, dass sie auch von "den Bösen" | Das Problem an Sicherheitslücken ist, dass sie auch von "den Bösen" | ||
aufgespürt und ausgenutzt werden können. Gerade deshalb ist es wichtig, | aufgespürt und ausgenutzt werden können. Gerade deshalb ist es wichtig, | ||
dass Systeme wie STiNE ausgiebigst auf Fehler überprüft werden, | dass Systeme wie [[STiNE]] ausgiebigst auf Fehler überprüft werden, | ||
insbesondere wenn die Software einer großen Anzahl von Personen | insbesondere wenn die Software einer großen Anzahl von Personen | ||
zugänglich gemacht wird. Nach unserem Kenntnisstand wurde den | zugänglich gemacht wird. Nach unserem Kenntnisstand wurde den | ||
Zeile 74: | Zeile 74: | ||
abgestellt werden." (Berichterstattung Hamburger Abendblatt, 18.10.2006) | abgestellt werden." (Berichterstattung Hamburger Abendblatt, 18.10.2006) | ||
Zum Entdecken und Ausnutzen der Sicherheitslücken in STiNE waren weder | Zum Entdecken und Ausnutzen der Sicherheitslücken in [[STiNE]] waren weder | ||
Informatiker-Sonderrechte noch tiefergehende Informatik-Kenntnisse | Informatiker-Sonderrechte noch tiefergehende Informatik-Kenntnisse | ||
notwendig. Es wäre zudem skandalös, wenn einige Studierende mit Wissen | notwendig. Es wäre zudem skandalös, wenn einige Studierende mit Wissen | ||
des STiNE-Teams Zugang zu privaten Daten Anderer hätten. | des [[STiNE]]-Teams Zugang zu privaten Daten Anderer hätten. | ||
Der Fachschaftsrat Informatik fordert Offenheit und Transparenz aller | Der Fachschaftsrat Informatik fordert Offenheit und Transparenz aller | ||
universitärer Einrichtungen, Vorgängen und natürlich auch bei STiNE. | universitärer Einrichtungen, Vorgängen und natürlich auch bei [[STiNE]]. | ||
Wäre die Software quelloffen, hätten Sicherheitslücken von Beginn an und | Wäre die Software quelloffen, hätten Sicherheitslücken von Beginn an und | ||
noch vor der Einführung entdeckt und behoben werden können. Viele große | noch vor der Einführung entdeckt und behoben werden können. Viele große | ||
und erfolgreiche Softwareprojekte sind frei oder offen und zeichnen sich | und erfolgreiche Softwareprojekte sind frei oder offen und zeichnen sich | ||
besonders durch die zeitnahe Behebung von Sicherheitslücken aus. Die | besonders durch die zeitnahe Behebung von Sicherheitslücken aus. Die | ||
Bereitstellung der Quelltexte von STiNE wäre auch für den | Bereitstellung der Quelltexte von [[STiNE]] wäre auch für den | ||
Wissenschaftsstandort Deutschland lukrativ, da auch andere Universitäten | Wissenschaftsstandort Deutschland lukrativ, da auch andere Universitäten | ||
von STiNE profitieren und wertvolle Geldmittel einsparen könnten (Zur | von [[STiNE]] profitieren und wertvolle Geldmittel einsparen könnten (Zur | ||
Erinnerung: STiNE kostet einen siebenstelligen Betrag...). | Erinnerung: [[STiNE]] kostet einen siebenstelligen Betrag...). | ||
Die Vergangenheit hat gezeigt, dass die Tests bei den Datenlotsen nicht | Die Vergangenheit hat gezeigt, dass die Tests bei den Datenlotsen nicht | ||
Zeile 106: | Zeile 106: | ||
</pre> | </pre> | ||
[[STiNE-Pressemitteilung-061026.pdf|Pressemitteilung als PDF-Datei]] | |||