Teil II: Der Re-Test
Am 19.09.2019 veröffentlichten wir den Blog-Artikel Wie sicher sind Österreichs Parteien? über unsere Forschung und Erkenntnisse der IT-Sicherheit der diversen Parteien. Die futurezone und der Kurier nahmen das Thema auf und veröffentlichten sowohl im Print als auch online einen Artikel über die Erkentnisse. An dieser Stelle vielen Dank an Barbara Wimmer , den Kurier und die futurezone, die diesem Thema eine entsprechende Aufmerksamkeit zukommen ließen. Fast 2 Wochen nach der Wahl wollten wir nun wissen, wie es um die entdeckten Schwachstellen steht. Eine direkte Rückmeldung erhielten wir nur von den Neos, die die gefundenen Schwachstellen ausbesserten und sich für den Hinweis auf die Schwachstellen bedankten.
Ausser von den Neos gab es keine direkte Rückmeldung an Sec-Research oder die beteiligten Personen. Die Neos bedankten sich für die Rückmeldung und besserten die gefundenen Schwachstellen relativ rasch aus. Das gefundene Jira wurde Offline genommen und weitere Verbesserungen durchgeführt. Auch im Gespräch sicherten die Neos weitere Verbesserungen zu - sehr vorbildlich.
Die im vorigen Bericht erwähnten Schwachstellen haben wir laufend überprüft - hier die Übersicht. Wie bereits erwähnt, handelt es sich hier nur um einen Auszug an Schwachstellen, keinen vollständigen Bericht.
Keinerlei erkennbare Änderungen gab es bei Grünen, FPÖ und Liste Jetzt. Neos, ÖVP und SPÖ haben begonnen die berichteten Schwachstellen zu beheben.
Folgend sind die Ergebnisse der erneuten Überprüfung im Detail beschrieben.
Bei der ÖVP waren im Rahmen des ersten Checks einige Systeme bereits Offline - hier gab es keine größeren Veränderungen. Das von uns gefundene TYPO3 Interface hielt jedoch eine Überraschung bereit. In dieser Meldung wurde das Update von TYPO3 angekündigt - offenbar nur für interne Mitglieder bestimmt. Das bedeutet einerseits, dass das von uns gefundene Interface noch aktiv war und benutzt wurde und andererseits, dass das Update geplant war oder durch den Bericht angestoßen wurde.
Während der Durchsicht der ÖVP Systeme fanden wir eine Menge an Schwachstellen, die Angriffe über das Internet oder im lokalen Netzwerk ermöglichen. Die Folgenden sollen hier nur auszugsweise genannt werden:
Der ÖVP steht offenbar noch jede Menge Arbeit bevor, alle Systeme, Prozesse und Mitarbeiter sicher zu bekommen. Ob die Anstrengungen nun weiter geführt werden oder nachlassen werden wir in der Zukunft sehen.
Die SPÖ schnitt aufgrund der großen Angriffsfläche und vieler veralteter Systeme am schlechtesten ab. Im Re-Test zeigten sich erste Verbesserungen.
Während der Durchsicht der SPÖ Systeme fanden wir eine Menge Schwachstellen, die Angreifern über das Internet oder im lokalen Netzwerk Angriffe ermöglichen. Hier sollen diese nur auszugsweise genannt werden:
Auch der SPÖ steht noch eine Menge Arbeit hinsichtlich ihrer IT-Sicherheit bevor - die ersten Tasks wurden aber augenscheinlich bereits in Angriff (pun intended!) genommen.
Bei der FPÖ konnten wir keinerlei Änderungen am Status quo des letzten Berichts feststellen. Immer noch erreichbar sind die RDP Systeme ohne Netzwerklevelauthentifizierung, ebenso wurde kein TLS Schutz eingezogen.
Bei der FPÖ gibt es keine Änderungen am Status quo, was die Sicherheit nun im Vergleich zu anderen Parteien und Organisationen, die hier deutlich schneller reagierten schlechter aussehen lässt.
Die Neos, die als einzige eine Rückmeldung und das persönliche Gespräch suchten um Ihre IT-Security zu verbessern, zogen schnell nach und gaben uns auch einen kleinen Einblick in geplante Sicherheitsverbesserungen. Diese offene Kommunikation schätzen wir und die meisten Sicherheitsforscher sehr und möchten uns an dieser Stelle auch bedanken.
Die Neos sind auf einem sehr guten Weg - auch die aktive Rückmeldung fiel uns positiv auf. Weitere Härtungsmaßnahmen und -arbeiten sowie Tests werden den Neos jedoch auch nicht erspart bleiben.
Die jüngste und kleinste Liste Jetzt hat keine ausgeprägten, umfassenden IT-Systeme. Dennoch konnten wir ein paar Schwachstellen finden. Änderungen konnten wir im Vergleich zum ersten Test keine finden.
Zu den gefundenen Systemen gehören (Errata!):
Immer noch online OwncloudX:
Die Liste Jetzt wurde aus dem NR gewählt - ob noch Änderungen an den IT Systemen durchgeführt werden oder diese bestehen bleiben ist fraglich. Wir empfehlen jedenfalls die Decomission der Systeme nicht zu vergessen, sollte die Organisation ihre Auflösung beschliessen.
Keinerlei Veränderung gab es ebenfalls bei den Grünen. Hier ist vermutlich der erst im Aufbau befindliche Partei- und Organisationsbetrieb schuld. Ein freiwilliger Mitarbeiter der Grünen meldet sich jedoch über Dritte mit der Bitte um die Nennung einzelner zu deaktivierender Systeme. Die im Originalbericht genannten Systeme wurden nicht deaktiviert oder gesichert.
Unser dringender Appell lautet, die Schwachstellen zu beheben.