Unser Bericht

Am 19.09.2019 veröffentlichten wir den Blog-Artikel Wie sicher sind Österreichs Parteien? über unsere Forschung und Erkenntnisse der IT-Sicherheit der diversen Parteien. Die futurezone und der Kurier nahmen das Thema auf und veröffentlichten sowohl im Print als auch online einen Artikel über die Erkentnisse. An dieser Stelle vielen Dank an Barbara Wimmer , den Kurier und die futurezone, die diesem Thema eine entsprechende Aufmerksamkeit zukommen ließen. Fast 2 Wochen nach der Wahl wollten wir nun wissen, wie es um die entdeckten Schwachstellen steht. Eine direkte Rückmeldung erhielten wir nur von den Neos, die die gefundenen Schwachstellen ausbesserten und sich für den Hinweis auf die Schwachstellen bedankten.

Rückmeldungen

Ausser von den Neos gab es keine direkte Rückmeldung an Sec-Research oder die beteiligten Personen. Die Neos bedankten sich für die Rückmeldung und besserten die gefundenen Schwachstellen relativ rasch aus. Das gefundene Jira wurde Offline genommen und weitere Verbesserungen durchgeführt. Auch im Gespräch sicherten die Neos weitere Verbesserungen zu - sehr vorbildlich.

Überprüfung der gefundenen Schwachstellen

Die im vorigen Bericht erwähnten Schwachstellen haben wir laufend überprüft - hier die Übersicht. Wie bereits erwähnt, handelt es sich hier nur um einen Auszug an Schwachstellen, keinen vollständigen Bericht.
Keinerlei erkennbare Änderungen gab es bei Grünen, FPÖ und Liste Jetzt. Neos, ÖVP und SPÖ haben begonnen die berichteten Schwachstellen zu beheben.

Ergebnisse im Detail

Folgend sind die Ergebnisse der erneuten Überprüfung im Detail beschrieben.

ÖVP

Bei der ÖVP waren im Rahmen des ersten Checks einige Systeme bereits Offline - hier gab es keine größeren Veränderungen. Das von uns gefundene TYPO3 Interface hielt jedoch eine Überraschung bereit. In dieser Meldung wurde das Update von TYPO3 angekündigt - offenbar nur für interne Mitglieder bestimmt. Das bedeutet einerseits, dass das von uns gefundene Interface noch aktiv war und benutzt wurde und andererseits, dass das Update geplant war oder durch den Bericht angestoßen wurde.

Re-Test: Schwachstellen / Konfiguration / Härtung

Während der Durchsicht der ÖVP Systeme fanden wir eine Menge an Schwachstellen, die Angriffe über das Internet oder im lokalen Netzwerk ermöglichen. Die Folgenden sollen hier nur auszugsweise genannt werden:

• Kein durchgängiges TLS (Klassifizierung: Hoch): Die ÖVP hat begonnen die einzelnen Seiten via TLS zu schützen. Insbesondere die von uns genannten sind nicht mehr über HTTP erreichbar, sondern leiten auf HTTPS um.
• Veraltete Systeme (Klassifizierung: Hoch): Hier beginnen augenscheinlich Update Prozesse. Ob die ÖVP die Kunst des Updates beherrscht, diese regelmäßig durchzuführen und dabei keine Systeme zu vergessen wird sich zeigen.
• Keine durchgängige Härtung (Klassifizierung: Mittel): Kann zum jetzigen Zeitpunkt nicht beurteilt werden - wir werden unter Umständen in einem dritten Update versuchen den Status quo zu erfassen, sobald keine größeren Veränderungen mehr durchgeführt werden und unsere OSINT Quellen aktualisiert wurden.

Fazit

Der ÖVP steht offenbar noch jede Menge Arbeit bevor, alle Systeme, Prozesse und Mitarbeiter sicher zu bekommen. Ob die Anstrengungen nun weiter geführt werden oder nachlassen werden wir in der Zukunft sehen.

SPÖ

Die SPÖ schnitt aufgrund der großen Angriffsfläche und vieler veralteter Systeme am schlechtesten ab. Im Re-Test zeigten sich erste Verbesserungen.

Re-Test: Schwachstellen / Konfiguration / Härtung

Während der Durchsicht der SPÖ Systeme fanden wir eine Menge Schwachstellen, die Angreifern über das Internet oder im lokalen Netzwerk Angriffe ermöglichen. Hier sollen diese nur auszugsweise genannt werden:

• Kein durchgängiges TLS (Klassifizierung: Hoch): Auch bei der SPÖ wurde begonnen, insbesondere die von uns genannten Seiten mit TLS zu schützen.
• Veraltete Systeme (Klassifizierung: Hoch): Der Shodan Report der SPÖ weist nun ein paar Systeme weniger auf, als noch zum Zeitpunkt des ursprünglichen Tests. Ebenfalls entfernt wurden die von uns gefundenen, sehr alten Plesk Systeme. Jedenfalls sind die Logins unter 8443 nicht mehr erreichbar.
• Unsichere Protokolle: Zur Zeit werten wir hierzu noch Daten aus - wir werden ein Update des Artikels durchführen, sobald diese Daten ausgewertet wurden.
• Keine durchgängige Härtung (Klassifizierung: Mittel): Erste Systeme wurden gehärtet oder ge-updated. Auch hier fehlt uns aufgrund der Masse noch die Gesamtauswertung.

Fazit

Auch der SPÖ steht noch eine Menge Arbeit hinsichtlich ihrer IT-Sicherheit bevor - die ersten Tasks wurden aber augenscheinlich bereits in Angriff (pun intended!) genommen.

FPÖ

Bei der FPÖ konnten wir keinerlei Änderungen am Status quo des letzten Berichts feststellen. Immer noch erreichbar sind die RDP Systeme ohne Netzwerklevelauthentifizierung, ebenso wurde kein TLS Schutz eingezogen.

Re-Test: Schwachstellen / Konfiguration / Härtung

• RDP Zugang ohne Netzwerk Authentifizierung (Klassifizierung: Hoch): Keine Änderung - Server und Service erreichbar.
• Kein durchgängiges TLS (Klassifizierung: Hoch): Keine Änderung - weiterhin viele Seiten ohne TLS Schutz.
• Veraltete Systeme (Klassifizierung: Hoch): Keine Änderungen gefunden.
• Verteiltes Domainkonzept (Klassifizierung: Mittel): Keine Änderungen gefunden.
• Allgemeine Härtung/Reduktion der Angriffsfläche (Klassifizierung: Mittel): Keine Änderungen gefunden.

Fazit

Bei der FPÖ gibt es keine Änderungen am Status quo, was die Sicherheit nun im Vergleich zu anderen Parteien und Organisationen, die hier deutlich schneller reagierten schlechter aussehen lässt.

Neos

Die Neos, die als einzige eine Rückmeldung und das persönliche Gespräch suchten um Ihre IT-Security zu verbessern, zogen schnell nach und gaben uns auch einen kleinen Einblick in geplante Sicherheitsverbesserungen. Diese offene Kommunikation schätzen wir und die meisten Sicherheitsforscher sehr und möchten uns an dieser Stelle auch bedanken.

Re-Test: Schwachstellen / Konfiguration / Härtung

• Kein durchgängiges TLS (Klassifizierung: Hoch): Auch bei den Neos wurde begonnen, insbesondere die von uns genannten Seiten mit TLS zu schützen. Weiterhin ohne TLS Schutz ist jedoch z.B. wahlauftakt.neos.eu. Die Verwendung von HSTS mit Subdomainschutz wurde empfohlen - Die Umsetzung wird laut Rückmeldung angestrebt.
• Veraltete Systeme (Klassifizierung: Hoch): Die getesteten bzw. gefundenen Systeme wurden offline genommen oder abgeschaltet.
• Allgemeine Härtung/Reduktion der Angriffsfläche (Klassifizierung: Mittel): Die Härtung wird laut Rückmeldung weiter ausgebaut.
• Test-Umgebungen im Internet (Klassifizierung: Mittel): Rückmeldung - dies ist beabsichtigt (Risk acceptance, intentional).
• RDP Zugang mit Netzwerk Authentifizierung (Klassifizierung: Mittel/Gering): RDP Server zeigen immer wieder Schwachstellen, wie beispielsweise BlueKeep. Mit einer Netzwerklevelauthentifzierung ist dies jedoch meistens weniger problematisch. Auch wird der Server in diesem Fall von Microsoft selbst gehostet bzw. betrieben, daher kann hier von einem aktuellen Patchstand ausgegangen werden.

Fazit

Die Neos sind auf einem sehr guten Weg - auch die aktive Rückmeldung fiel uns positiv auf. Weitere Härtungsmaßnahmen und -arbeiten sowie Tests werden den Neos jedoch auch nicht erspart bleiben.

Liste Jetzt

Die jüngste und kleinste Liste Jetzt hat keine ausgeprägten, umfassenden IT-Systeme. Dennoch konnten wir ein paar Schwachstellen finden. Änderungen konnten wir im Vergleich zum ersten Test keine finden.

Zu den gefundenen Systemen gehören (Errata!):

• innenhof.partei.jetzt: Eine durch Anmeldung geschützte Web-Applikation - Erratum: Ursprünglich gingen wir hier von einer Eigenentwicklung aus. Es handelt sich hier aber um eine aktuelle Version von Discourse (2.4.0.beta2). Vielen Dank an Peter Grassberger für den Hinweis!
• daten.partei.jetzt: Eine OwncloudX Instanz

Immer noch online OwncloudX:

>Re-Test: Schwachstellen / Konfiguration / Härtung

• Kein durchgängiges TLS (Klassifizierung: Hoch): Keine Änderung
• Test-Umgebungen im Internet (Klassifizierung: Mittel/Gering): Keine Änderung, jedoch nur noch informativer Hinweis, da es sich um eine aktuelle Version einer beaknnten Software handelt

Fazit

Die Liste Jetzt wurde aus dem NR gewählt - ob noch Änderungen an den IT Systemen durchgeführt werden oder diese bestehen bleiben ist fraglich. Wir empfehlen jedenfalls die Decomission der Systeme nicht zu vergessen, sollte die Organisation ihre Auflösung beschliessen.

Grüne

Keinerlei Veränderung gab es ebenfalls bei den Grünen. Hier ist vermutlich der erst im Aufbau befindliche Partei- und Organisationsbetrieb schuld. Ein freiwilliger Mitarbeiter der Grünen meldet sich jedoch über Dritte mit der Bitte um die Nennung einzelner zu deaktivierender Systeme. Die im Originalbericht genannten Systeme wurden nicht deaktiviert oder gesichert.

Re-Test: Schwachstellen / Konfiguration / Härtung

• Veraltete Systeme (Klassifizierung: Hoch): Keine Änderung
• Kein durchgängiges TLS (Klassifizierung: Hoch): Keine Änderung

Fazit

Unser dringender Appell lautet, die Schwachstellen zu beheben.