Website von Trumps Berater für IT-Security ist Sicherheitsdebakel

13. Jänner 2017, 11:05
115 Postings

Giuliani Security nutzt veraltetes CMS, abgelaufenes SSL-Zertifikat und Flash – Tätigkeit der Firma unklar

Der künftige US-Präsident Donald Trump beschert seinem Unterstützer und ehemaligen Bürgermeister von New York, Rudolph Giuliani, einen Posten in der nächsten Regierung. Er soll ihm künftig als oberster Berater für Cybersicherheit zur Seite stehen und ein Team für die nationalen Belange in der IT-Security zusammenstellen.

Giuliani betreibt seit einigen Jahren ein Unternehmen in diesem Bereich. Allerdings ist weitgehend unklar, schreibt ZDNet, was Giuliani Security genau macht. Die Firma konnte allerdings schon einige prestigeträchtige Aufträge an Land ziehen, etwa vom Komitee für die Olympischen Spiele 2016 und zuletzt von Blackberry, wo man laut der vagen Angabe Infrastrukturen auf potenzielle Schwachstellen abklopfen soll.

Zahlreiche Probleme

Die Website der Firma ist allerdings kein Aushängeschild für ihre Arbeit. Laut verschiedenen Experten findet auf giulianisecurity.com ein regelrechtes Sicherheitsdebakel statt. Der bekannte Hacker "The Jester" hat die Seite auf grundlegende Security-Belange überprüft und dabei Bedenkliches festgestellt.

Laut seinem Tweet erzwingt die Seite keine HTTPS-Verbindung und nutzt außerdem ein abgelaufenes SSL-Zertifikat. Als Content Management System kommt Joomla in der Version 3.1.1 zum Einsatz, die im April 2013 erschienen ist. Der Login ist öffentlich erreichbar. Auf dem Server läuft das FreeBSD-System in Version 6, die 2008 erschienen ist. Die verwendete PHP-Ausgabe 5.4 hat ebenfalls schon das Ende ihrer Supportzeit erreicht.

Offene Ports und Flash

Dazu kommt auch Flash zum Einsatz, das die meisten Mobilgeräte nicht anzeigen und das von vielen Browsern mittlerweile aus Sicherheitsgründen geblockt oder erst auf expliziten Wunsch des Nutzers ausgeführt wird. Zahlreiche Ports des Servers sollen offen liegen. "Oh ja, ich vertraute diesem Typen total dabei, ein tolles Team zusammen zu stellen, um uns vor Hackern zu schützen", kommentiert Jester sarkastisch.

Gemäß der Urheberrechtsnotiz auf der Seite dürfte diese ihr letztes Update im Jahr 2014 erfahren haben. Derzeit ist sie außerdem nicht erreichbar. Ob sie für eine Überarbeitung vom Netz genommen oder von Hackern lahmgelegt wurde, ist nicht klar. Eine aktuelle Kopie ist allerdings über das Web Archive zugänglich. (gpi, 13.01.2016)

  • Die Website von Giuliani Security läuft mit veralteter Software und erweist sich als sonst als Sammelsurium von Security-Verfehlungen.
    foto: screenshot

    Die Website von Giuliani Security läuft mit veralteter Software und erweist sich als sonst als Sammelsurium von Security-Verfehlungen.

Share if you care.