Frühwarnsysteme?
Einmal mehr zeigt dieser detaillierte, nachfolgend aus der aktuellen Ausgabe Nr. 83 der "Datenschleuder" hier im vollen Wortlaut zitierte Artikel von Dirk Heringhaus, dass wir in Deutschland durchaus über jene Kapazitäten und Qualitäten, Intuitionen und Institutionen verfügen, die uns davor warnen, dem "Kollegen Computer der Corporates" blind zu vertrauen.
Aber anders als in "Allein gegen Alle" ist das hier keine Spiel, sondern der aufrichtige Versuch, solchen "Trustworthy Alliances" wie dieser aus Telekom und Microsoft, Siemens und Intel den Spiegel vorzuhalten, der offensichtlich in der "Inhouse-Kkommunikation" schon allzu sehr erblindet ist.
"Wer ein solches Projekt startet, trägt nicht nur das Risiko schnell viel zu verdienen, sondern in erster Linie die Verantwortung für den Schutz von fremden Daten." So steht es im letzten Absatz dieses Artikels.
Und jetzt, nach der Veröffentlichung, ist eine schnelle Reaktion fast mit "Sicherheit" vorherzusehen und wird alsbaldmöglichst diesem Bericht angefügt werden.
Mag dieser Vergleich auch hinken, so mag er dennoch genug in Bewegung bringen: lieber den nachfolgende zitierten Berichte vorher veröffentlichen, als den nächsten "9/11-Report" danach. WS.
No more secrets?
Ein Satz aus einem recht bekannten Film mit Robert Redford. Dieser Satz dient in dem Film „Sneakers - die Lautlosen“ als Paßwort für einen Universaldecoder, mit dessen Hilfe in alle geschützten Netzwerke der USA ganz problemlos eingedrungen werden kann.
Wie oft whabe ich gedacht: „Was für ein Quatsch - gut das es so etwas niemals geben wird“. Bis ich, vor etwas über einem Jahr, zufällig auf das OBSOC (= Online Business Solution Operation Center) der Deutschen Telekom AG und der Microsoft AG gestoßen bin.
Wenn man den veröffentlichten Artikeln zu dem Thema OBSOC im Zusammenhang mit ByRequest-Services Glauben schenken kann, haben die beiden Unternehmen mit OBSOC eine Menge vor. Ebenfalls angeschlossen haben sich schon die Siemens AG und die Intel AG.
Der CCC und ich sind unserer Informationspflicht nachgekommen, indem wir eine Liste mit offenen Fehlern am OBSOC-System und diversen Netzen an den Bundesbeauftragten für Datenschutz (BfD) übergeben haben, der diese an die Regulierungsbehörde für Telekommunikation und Post (RegTP) weiterleiten wird. Wie sich die Sache beim BfD und der RegTP entwickeln wird, werden wir in der nächsten Ausgabe berichten.
Damit sich jeder selbst ein ausführlicheres Bild vom OBSOC machen kann, haben wir ein Downloadpaket, dass alle öffentlich zugänglichen Informationsmaterialen enthält, unter http://www.ccc.de/t-hack/ veröffentlicht. Unter dieser Adresse habe ich in Kooperation mit dem CCC noch jede Menge zusätzliche Informationen veröffentlicht, die den Rahmen dieses Artikels bei Weitem sprengen würden.
Definition
OBSOC kann man am kürzesten als eine Online-Vertragsverwaltung beschreiben, die alle relevanten Daten eines Vertrages beinhaltet: Kundendaten, Vertriebsdaten, Art des Produktes, Zusatzdaten zum Produkt und eventuelle Zusatzleistungen zum Produkt. Auf diese Daten kann jeder, entsprechend seiner Berechtigung, online zugreifen.
In einem konkreten Beispiel heißt das:
Ein Kunde schließt bei T-Systems ein Standard Webpaket mit einer Domain, 100 MB Webspace und 10 Emailpostfächern ab. Damit die Auftragsbearbeitung möglichst flüssig läuft, wird der Kunde schon während des Vertragsabschlußes Teil des OBSOC. Er gibt online seine persönlichen Daten ein, wählt ein Produkt, schließt einen Vertrag ab und vergibt sich am Ende selbst einen Benutzernamen und ein Paßwort, damit er später wieder online auf die Daten zugreifen kann.
Hat der Kunde seinen Vertrag abgeschlossen, läuft dieser in einer Clearingstelle des entsprechenden Vertragspartners auf. Dieser kann nun die weiteren Schritte einleiten, um den Vertrag auch von dieser Seite zum Abschluß zu bringen, d.h.: Domain reservieren, Webspace einrichten, leere Emailpostfächer anlegen usw.
Damit beide Seiten ungestört arbeiten können, haben auch beide Seiten unterschiedliche Zugriffsrechte auf den Vertrag. Ein Mitarbeiter des Unternehmens, das den Vertrag anbietet, hat natürlich mehr Rechte, als ein Kunde, der den Vertrag abschließt. Diese Zugangsrechte werden über unterschiedliche Benutzergruppen administriert. Die wichtigsten Gruppen und deren Level werden in Abbildung 1 dargestellt.
Ist der Vertrag von beiden Seiten vollständig eingerichtet, bekommt der Kunde, über die von ihm vorher festgelegten Zugangsdaten, wieder Zugriff auf seinen Vertrag. Dort kann er nun seine Vertragsdaten einsehen, die nun u.a. seine persönlichen Daten, das Paßwort für seinen FTP-Zugang, sowie die Paßwörter für die Emailpostfächer enthalten.
Der Kunde kann jetzt auch selbst, innerhalb seiner Rechte, Änderungen am Vertrag vornehmen, wie z.B. das Umbenennen eines Emailpostfachs, oder das ändern eines Paßwortes. Je nach Hostingvertrag auch das root-Passwort für den gemieteten Server.
Die Telekom selbst benutzt das OBSOC nicht nur für Ihre Webhosting Kunden, sondern ebenfalls für diverse andere Produktarten, die mit dem Internet in Verbindung stehen. Ein paar Beispiele für die Gänsehaut:
T-Pay - Das Online-Bezahlsystem der Telekom
PersonalSecurityService - Dieser Service soll die PCs von Internetnutzern vor Hackern und sonstigen böswilligen Attacken schützen.
OnlineBackup - Falls Ihre Daten zu Hause nicht sicher genug sind, können Sie Ihre Daten auch über das Internet bei der Telekom sichern.
Selbstverständlich geht die Telekom ebenfalls nach dem Motto vor: Was für uns gut, ist für Andere noch besser - weil sie selbst daran verdienen kann. Also wird das OBSOC-System nicht nur von der Telekom genutzt, sondern auch von anderen Unternehmen.
Ein Beispiel dafür ist das Unternehmen Brainloop AG. Dieses Unternehmen ist ein Projekt der Telekom, zusammen mit Microsoft, Intel und Siemens. Die Brainloop AG bietet ein Online-Dokumentenmanagementsystem an, das z.B. Anwälten besonders an’s Herz gelegt wird, um ihre Aktenflut in den Griff zu bekommen. Natürlich basiert das Brainloop-System auf OBSOC.
Wenn bei EDV-Projekten von Sicherheit gesprochen wird, gibt es immer zwei Hauptaspekte:
Wie sicher ist die ausgeführte Anwendung?
Wie sicher ist die Infrastruktur (Hardware und Netzwerk), die dieser Anwendung zugrunde liegen.
Soll heißen: Wenn ich meine Wertsachen sicher deponieren möchte, ist es für mich nicht nur wichtig, dass das Schließfach sicher ist, sondern das Gebäude drum herum sollte einen höheren Sicherheitsstandard als das Schließfach haben.
Die Sicherheit der Anwendung
Es fällt mir schwer, im Zusammenhang mit OBSOC von Sicherheit zu sprechen, auch wenn die Telekom mir gegenüber nicht müde wird, das Gegenteil zu behaupten. Im Laufe eines Jahres, habe ich immer wieder feststellen müssen, dass meine Daten zu 0% geschützt wurden.
Es fing damit an, dass ich eines einen Webhosting-Vertrag im OBSOC administriert habe. Der Link, der mich in meinen Vertrag führte, produzierte folgende URL in meinem Browser:
http://www.t-mart-web-service.de/contractview/frameset.asp?ConPK=xyz
Wobei xyz für die Vertragsnummer des Vertrages steht, der gerade administriert wurde.
Neugierig wie ich war, änderte ich willkürlich die Vertragsnummer und bestätigte mit Enter die nun von mir geänderte URL. Ergebnis: Ich bekam einen anderen Vertrag eines anderen Kunden zum administrieren dargestellt. Exakt so, als ob ich meinen eigenen Vertrag verwalte. Ich brauchte also nur mein Schließfach aufschließen, eine neue Nummer darauf schreiben und schon hatte ich Zugriff auf das Schließfach, dessen Nummer ich auf mein Schließfach geschrieben hatte. Wie im Märchen. Die Telekom brauchte einen Tag, um den Fehler zu beheben.
Wenn man einen solchen Fehler findet, fängt man doch an sich Sorgen um seine Daten zu machen.
Ein aufmerksames Studieren der Seite, die mich in die Vertragsverwaltung führte, brachte unter dem Link ZUKAUF folgenden Text zu Tage:
Da nach dem anklicken des Links sofort der so genannte Konfigurator gestartet wurde, und damit die Adresse nicht mehr in der Ziel-URL auftauchte, kopierte ich den Link von der Eigenschaftenseite in die Zwischenablage. Von dort aus fügte ich den Link in die Adresszeile meines Browsers ein, änderte die intConPK und bestätigte die Eingabe.
Was sollte Anderes passieren, als das ich den entsprechenden fremden Vertrag nun im Zukaufsmodul dargestellt bekam.
Ich brauchte also nur in meinem Vertrag die Vertragsnummer ändern, mit dem Vertrag zum Schließfachvermieter gehen, und sagen, dass ich für diesen Vertrag etwas dazukaufen möchte. Nicht nur, dass ich das ohne weitere Überprüfung durfte: Durch ein noch später erklärtes Sicherheitsloch, durfte ich auch noch direkt den Inhalt des Schließfachs mitnehmen. Auch hier war der Fehler von der Telekom schnell behoben.
Das waren jetzt zwei Schnitzer zuviel, als das ich der Telekom vertraut hätte, dass die Welt jetzt in Ordnung sei und meine Daten sicher sind.
Da der letzte Fehler im Zukaufsmodul lag, unterzog ich dieses Modul einer gründlichen Überprüfung. Da ich durch die Überprüfung x-mal den Prozess durchmachte, den ein Neukunde zu durchlaufen hat - oder auch ein Telekommitarbeiter, der Verträge für Neukunden anlegt - fiel mir irgendwann folgendes auf: Das System schlug mir immer einen Benutzernamen vor, der auf dem von mir verwendeten Nachnamen basierte. Basierte heißt, dass wenn ich z.B. Schmidt angegeben hatte ich nicht den Benutzer Schmidt vorgeschlagen bekam, sondern z.B. Schmidt99. Übersetzt hieß das: Es gab schon den Benutzer Schmidt, sowie die Benutzer Schmidt1 - Schmidt98. Neben dem Benutzernamen musste man sich noch ein Passwort vergeben. Die Mindestanforderung daran war, dass es mindestens 8 Zeichen lang sein musste und davon mindestens eine Zahl.
Stellen Sie sich nun einen unmotivierten Telekommitarbeiter, oder einen - durch das Vertragsabschlussprozedere - genervten Kunden vor - welche Kombinationen aus Benutzername und Passwort mögen da herauskommen?
Ich probiere ein paar häufige Familiennamen aus und notiere, welche Benutzer schon angelegt wurden. Ich wechselte zur Anmeldeseite und probierte meine Liste durch. Die Trefferquote war erschreckend hoch. Ein passenderer Vergleich, als dass das Schließfach eine Tür aus Pappe hatte, fällt mir nicht ein.
Als ich spaßeshalber noch ein paar beliebte Begriffe probierte, wurde es richtig interessant. Den Benutzern Telekom1 mit dem Passwort telekom1 und Internet2 mit dem Passwort internet2 bekamen ein viel ausführlicheres Menü dargestellt, als ich es gewohnt war.
Es tauchten plötzlich Links auf wie z.B. Vertragssuche. Ich probierte den Link und landete auf einer Seite, wo ich Verträge nach diversen Suchkriterien im OBSOC suchen lassen konnte. Ein paar Tests ergaben, dass die Suche regional eingeschränkt war. Suchanfragen mit dem Benutzer telekom1 ergaben Treffer in und um Freiburg, internet2 in Berlin.
In den Verträgen selbst konnte ich zuerst keine Einsicht in sensible Kunden-Zugangsdaten erlangen. Statt dessen konnte ich mehr Informationen von der Vertriebsseite sehen. Unter anderem auch den Benutzernamen des Vertriebsmitarbeiters, der den Vertrag abgeschlossen hatte. Gut, das in fast jedem Benutzernamen eine Zahl vorkam, dadurch hatten die Telekommitarbeiter es nicht so schwer bei der Passwortwahl.
Ich hatte inzwischen ja gelernt, dass die Telekom URLs nicht immer gut geschützt waren, also probierte ich folgendes: Ich rief - als regionaler Telekomvertriebsmitarbeiter eingeloggt - einen beliebigen Vertrag auf. Wie in dem Fall üblich, fehlte in der Vertragsdarstellung der Link zum s.g. Betriebsdatenblatt. Auf diesem Betriebsdatenblatt bekommt man als Kunde übersichtlich seine sensiblen Zugangsdaten dargestellt, z.B. FTP-Zugangsdaten, Zugangsdaten zu POP3 Konten, root Passwörter usw. Dieses Betriebsdatenblatt wird normalerweise in einem neuen Fenster mit der URL http://www.t-mart-web-service.de/ bdbdata/Betriebsdatenblatt.asp in der Adresszeile dargestellt. Ich ersetzte also die aktuelle URL, die den Vertrag darstellt, durch die des Betriebsdatenblatts und voilá alle sensiblen Zugangsdaten die einen Vertriebsmitarbeiter eigentlich nicht zu interessieren haben auf einen Blick.
Ich teilte der Telekom den grundsätzlichen Fehler in der Benutzerverwaltung mit und machte darauf aufmerksam, dass ich dadurch schon eine Menge Benutzer/Passwort Kombinationen geknackt hatte.
Außer, dass das eine Benutzerkonto gesperrt wurde, das ich dem Telekommitarbeiter telefonisch genannt hatte, geschah nichts.
Die Telekom schien durch dieses Sicherheitsloch nicht die geringste Bedrohung zu empfinden.
Während ich wartete, dass etwas geschah deckte ich noch einige Passwort-Kapriolen auf. Die T-Punkte rund um Mannheim hatten für das OBSOC jeweils den Ortsnamen mit einer 1 dahinter als Benutzer und Passwort - Heidelberg1, Mannheim1, Ludwigsburg1... Die Vertretung der Telekomfiliale in Regensburg war so clever und hat die Nachnamen ihrer Mitarbeiter einfach mit Einsen aufgefüllt, bis die Mindestzeichenlänge von 8 Zeichen erreicht war - klein111, schmit11 usw. Soweit zu den regionalen Mitarbeitern.
Noch misstrauischer geworden, nahm ich mir erneut die Seiten des OBSOC vor. Es fiel mir auf, dass der Link, der den Fehler im Zukaufsmodul verursacht hatte auf mehreren Seiten in unterschiedlichen Varianten auftauchte. Abgesehen von der Vertragsnummer gab es da ja noch die Variable intPurchaseType. Ein paar Experimente brachten folgende Erkenntnisse:
Die Variable intPurchaseType gibt die Art des Kaufs an.
intPurchaseType=1 heißt: Ein Neukunde will einen Vertrag abschließen.
intPurchaseType=2 heißt: Ein bereits vorhandener Kunde möchte zu einem bestehenden Vertrag einen Zukauf tätigen.
intPurchaseType=3 heißt: Ein bereits vorhandener Kunde schließt einen neuen Vertrag ab.
Was würde also passieren, wenn ich noch gar nicht eingeloggt bin, aber angebe, dass ein bestehender Kunde einen neuen Vertrag abschließen möchte? Ich habe es ausprobiert und an der Stelle, wo ich sonst die Vertragspartnerdaten eingab, war schon eine Telekom Abteilung eingetragen. Selbstverständlich konnte ich dann auf den Seiten, auf denen ich sonst die Ansprechpartner angab, alle Mitarbeiter dieser Vertriebsstelle einsehen.
Ohne Login wurden mir alle Mitarbeiter einer zentralen Telekom Abteilung angezeigt - cool ... ich erinnere an das o.g. Problem in der Benutzerkennungs- und Passwortvergabe.
Ein Mitarbeiter fiel mir sofort ins Auge: tpirkmyer01 Ein Versuch ein Treffer. Eine Überraschung erlebte ich, als ich die Vertragssuche ausprobierte: Es gab nun keine regionale Einschränkung mehr, d.h. ich konnte bundesweit Verträge aufrufen.
Es gab also auch bei den Telekombenutzern noch unterschiedliche Sicherheitsstufen.
Noch ein Name, der mir in der Liste sofort ins Auge stach: cccrene1 noch ein bundesweiter Mitarbeiter ist als Passwortkiller entlarvt. In dem Menü von cccrene1 taucht das erste mal der Menüpunkt Benutzerverwaltung auf. Vorher testete ich noch die Vertragssuche. Cccrene1 hatte einen erweiterten Zugriff auf die Vertragsdaten. Neben den Vertriebsinformationen, bekam er auch alle Daten, die zu dem Betriebsdatenblatt des Kunden gehörten problemlos dargestellt - anders als noch bei tpirkmyer01.
Zur Benutzerverwaltung: Ein paar Tests ergaben, dass er nur Kunden dargestellt bekam. Er konnte nichts ändern und auch keine neuen Benutzer anlegen. Die URL in der Benutzerverwaltung, nach einer Suchabfrage sah folgendermaßen aus:
http://t-mart-web-service.de/ users/Usereditor.asp?Mode=Existing&CPRPK=xyz
Die Variable CPRPK stand für die Benutzernummer. Routiniert änderte ich diese Nummer, bestätigte und wieder: Ohne erneute Abfragen bekam ich die Daten sämtlicher Benutzer nur durch das ändern der Benutzernummer dargestellt. Ich fing an die Nummernbereiche abzuklappern. Endlich fand ich Benutzer die zu der Gruppe OBSOC-Detmold gehörten. In Detmold befindet sich die Mulitmediazentrale der Telekom. Es gab also die Hoffnung auf noch mehr Zugriff auf das System, durch ein Problem, dass die Telekom nicht ernst genommen hatte.
Ich suche nach auffälligen Benutzernamen: drwang; Passwort: obsoc2000 - Administratorebene. Das Paßwort hatte mir ein Telekommitarbeiter für eine paßwortgeschützte Datei genannt, die er mir im Sommer 2003 gemailt hatte. 1+1=?. Der gute Kollege wollte besonders witzig sein, da ich ihm damals ebenfalls von den Sicherheitslöchern erzählt hatte - inkl. der Problematik in der Benutzer- und Passwortvergabe. Unternommen - bis auf oben genannte humoristische Einlage - hatte er trotz Versprechungen allerdings nie etwas. Der Gag war im dafür unbewusst umso mehr gelungen.
Der Nachweis war erbracht. Ich konnte mich als Mitarbeiter der - im OBSOC so genannten - Sales Unit und dem Status eines OBSOC-Detmold in das System einloggen. Eine Katastrophe für die Telekom, wäre dies böswillig und mit üblem Vorsatz geschehen. Ich hatte uneingeschränkten Zugriff auf sämtliche Verträge und Benutzerdaten - inklusive der Möglichkeit die anderen Administratoren und sonstigen Benutzer zu verändern oder auch sogar ganz zu sperren.
Ich melde das Problem nun etwas ernster der Telekom, mit dem Ergebnis, dass diese nun fast drei Monate brauchte, um das System so zu verändern, das ich keinen administrativen Zugriff mehr hatte. Die ersten Versuche gingen gründlich daneben. Zwar wurde die Latte für das Passwort höher gelegt und jeder, der gegen die neuen Regeln verstieß, oder auch bis dahin verstoßen hatte, wurde bei einem Login gezwungen, sein Passwort - entsprechend der neuen Regeln - zu ändern. Vergessen wurden dabei nur ein paar Links auf Testseiten von Mitarbeitern, die ich über Google gefunden hatte.
Mit Hilfe dieser Links wurden die ersten Schritte der Anmeldung übersprungen, und damit auch die Plausibilitätsprüfung des Passworts. Ich konnte die mir bekannten Benutzer also weiterbenutzen, ohne dass es jemand bemerkt hat. Ein Hinweis an die Telekom ließ die Links verschwinden.
Später habe ich die Links in diversen Onlineshops der Telekom wiedergefunden, dafür sind sie dort also getestet worden. Der Übersprung wurde nach dem Hinweis ebenfalls durch eine Systemänderung unterbunden.
Inzwischen kann man sich mit administrativen Rechten nur noch am OBSOC anmelden, wenn man an einem Arbeitsplatz des Telekom-Intranets sitzt.
Das machte dann erst einmal einen sicheren Eindruck. Allerdings hatte ich einige große Fehler noch nicht gemeldet, die auch bis heute unentdeckt blieben. Alles Fehler, die auf der Änderung von URLs beruhen.
Die s.g. IntraSelect-Kunden sind bei der Telekom nach wie vor im OBSOC nicht geschützt. Mit der URL
http://www.t-mart-web-service.de/ContractManagement/Default.aspx?conpk=xyz
kann jeder einmal eingeloggte Kunde Einsicht in die Vertragsdaten dieser Kunden nehmen. Xyz steht hierbei natürlich wieder für die Vertragsnummer. Zu diesen Kunden gehören u.a. die Deutsche Bundesbank genauso wie DPD und die METRO AG.
Weiterhin sind alle Vertragspositionen der Kunden ungeschützt. Die Telekom hatte zwar nach dem ersten Vorfall, die Verträge der Kunden untereinander gesperrt, jedoch wie fast immer nur halb. Die Seite, die den Vertrag darstellt ist eine Frameseite, wobei die Informationen zu den diversen Vertragspositionen jeweils in einem Unterframe dargestellt werden. Die Eigenschaften dieser untergeordneten Seite ergeben folgende Adresse:
Jede Menge Variablen, die eigentlich überflüssig sind. Wenn man die URL einfach auf folgende Weise abkürzt, funktioniert es auch:
https://www.t-mart-web-service.de/Wizard/BView.asp?conitempk=xyz
Die Variable conitempk gibt die Nummer der Vertragsposition an, unter der diese Position in der Datenbank gespeichert ist. Es verwundert nun bestimmt Niemanden mehr, dass diese Nummer beliebig geändert werden kann, um Zugriff auf fremde Daten zu bekommen. Ich kann zwar nicht mehr das ganze Schließfach auf einmal einsehen, aber ich kann mir nacheinander die einzelnen Sachen aus fremden Schließfächern nehmen und in Ruhe auf ihren Wert prüfen und bei Bedarf (ent-)verwenden.
Soviel zu der Unsicherheit der Anwendung.
Die Sicherheit der Infrastruktur
Da hatte die Telekom in Kooperation mit Microsoft nun ein interessantes Grundmodell aufgebaut. Es gab ein OBSOC-Netz, das die Kundenverträge und die darin enthaltenen Daten verwaltet. Gleichzeitig gab es eine Webfarm, die ja irgendwie vom OBSOC aktuell gehalten werden musste. Meine Schlussfolgerung war, dass es mindestens zwischen diesen beiden Netzen eine Verbindung geben musste.
Neben dem OBSOC stehen - zumindest den Webhosting Kunden - den Kunden diverse Webseiten zur Verfügung, über die der Kunde z.B. Aktualisierungen an seinem Internetauftritt vornehmen kann. Zu diesem Zweck gibt es je nach Kundenvertrag unterschiedliche Server im Internet, z.B. https://admin2.profi-webs.de oder auch https://upload2.t-intra.de - der erste für Windows 2000 Kunden, der zweite für alte Windows NT Kunden.
Auf dem Server Upload2 gab es eine Seite, die es dem Kunden ermöglichen sollte, Seiten aus seinem bestehenden Internetauftritt zu löschen.
Zu diesem Zweck wurde dem Kunden der Inhalt seines Stammverzeichnisses in einem Listenfeld dargestellt. Dort konnte er sich nun die Ordner klicken, Dateien auswählen und über einen Button die Löschung bestätigen. Ich habe die Seite in einem neuen Fenster geöffnet und folgender Text stand in der Adresszeile:
https://upload2.t-intra.de/FileList.asp
Nachdem ich in der Liste einen Ordner zum öffnen gewählt hatte, änderte sich die Zeile folgendermaßen:
https://upload2.t-intra.de/FileList.asp?curPt=/xyz
curPt = hieß demnach aktuelle Position in der Verzeichnisstruktur.
Wer kennt nun nicht den guten alten Befehl
cd ../..? Ich änderte also entsprechend die Adresszeile:
https://upload2.t-intra.de/FileList.asp?curPt=../
Was sollte anderes passieren, als dass ich das Verzeichnis dargestellt bekomme, in denen sämtliche Kundenverzeichnisse dieses Servers liegen. Noch ein Sprung höher in der Verzeichnisstruktur mit curPt=../.. und schon sehe ich den gesamten Inhalt der Festplatte. Ich erinnere daran, dass mir dort ein Button mit der Aufschrift LÖSCHEN zur Verfügung steht. [sic!-WS.]
Meines Wissen nach gibt es die Server upload2 - upload12 - wer sich also mal so richtig austoben möchte... Diese Infrastruktur war also schon mal nicht sicher.
Wie Sie oben sicherlich schon festgestellt haben, regiert in Sicherheitsfragen bei der Telekom des öfteren Gebruder Leichtfuß. Als eine Art Nest dieses Leichtsinns haben sich für mich sehr schnell Internetauftritte herauskristallisiert, die - wohl zu Testzwecken - von Telekommitarbeitern eingerichtet wurden. Oft enthielten diese Domains die entsprechenden Nachnamen. Eine lange aber lohnenswerte Suche begann.
Bei einer Domain wurde ich richtig fündig. Bei einem Mitarbeiter mit der Domain xyz.org (xyz steht für den Nachnamen des Mitarbeiters und wurde selbstverständlich hier von mir geändert.) wurde eine 280 MB große Datei zum Download angeboten. Nach einer kurzen Analyse stand fest, dass es sich bei dieser Datei um ein Backup einer Microsoft SQL-Server Datenbank handelte. Nach dem einspielen auf einen entsprechenden SQL-Server war die Überraschung noch größer: Es war ein Backup der Tintra-Datenbank. In dieser Datenbank fand ich sämtliche Daten, die sonst so gut geschützt im OBSOC auf dem Betriebsdatenblatt standen.
Natürlich gab es neben diesen Daten auch jede Menge interne Daten. Für mich waren zwei Informationen besonders interessant:
Eine Tabelle mit den Servern, die wohl alle zur Webfarm der Telekom gehörten. Namen, IP-Adressen...
Eine Tabelle, die ein Benutzerkonto inklusive Domain und Passwort enthielt.
Der Benutzer hatte den vielversprechenden Namen autoscripting. Ich schloss aus dem Namen, das dieser Benutzer herhalten muss, wenn das System skriptbasiert eine Aufgabe ausführen soll, für die eine Anmeldung von Nöten ist.
Ich loggte mich mit den Zugangsdaten von autoscripting auf einen FTP-Server der Telekom ein. Schon befand ich mich in einem Unterverzeichnis, wo alle auf diesem Server untergebrachten Kundenverzeichnisse lagen. Ich musste nur mit dem FTP-Befehl cd
Bei den FTP-Zugangsdaten gibt die Telekom vor: Windows-Domain\Benutzername und das Passwort. Um auf den Administrationsserver zuzugreifen, braucht man die Windows-Domain bei der Anmeldung nicht mit anzugeben, da windowsintern der Webserver als Domain vorgegeben sein sollte. Ein Anmeldeversuch mit autoscripting mit Angabe der Domain wurde aber nicht abgelehnt.
Um festzustellen, ob die Anmeldung intern nicht gekürzt wurde, schrieb ich eine ASP-Programmierung, die mir auf einer Seite den Inhalt eines angegebenen Verzeichnisses darstellen konnte. Die Unterverzeichnisse wurden dabei so als Hyperlink angelegt, daß diese die selbe ASP Seite nutzen konnten, um wiederum ihren eigenen Inhalt darstellen zu können. Wenn Dateien gefunden wurden, wurden diese ebenfalls als Hyperlink angelegt - und zwar so, dass es reichte den Hyperlink anzuklicken, um diese Datei dann auf einen FTP-Server der Telekom netzintern zu kopieren. Von dort aus konnte ich diese dann ganz normal herunterladen.
Als erstes mussten also zwei Parameter übergeben werden können - das Verzeichnis und die Datei, die eventuell kopiert werden soll:
Set objQueryString = Request.QueryString
strServerName = objQueryString("strServerName")
strCopyFile = objQueryString("strCopyFile")
Die Voreinstellung für strCopyFile war “none” , und wurde nur bei Links ersetzt, denen Dateien zugrunde lagen. Da drüber konnte das Skript entscheiden, ob es etwas zu kopieren gab, oder nicht.
Mit folgenden Zeilen wurde eine Serveranmeldung erzwungen:
If Request.ServerVariables("LOGON_USER")=""
Then Response.Status = "401 Access Denied"
End If
Die entsprechenden Objekte anlagen:
Set objFSO = Server.CreateObject("FileSystemObject")
Set objFolder = objFSO.GetFolder(strServerName)
Ein Collection Objekt, das zur Auswertung der Ordner durchlaufen werden kann:
Set objCollection = objFolder.SubFolders
Nachdem die Ordner abgearbeitet sind, wird der Fokus des Collection Objekts auf die Dateien gelegt:
Set objCollection = objFolder.Files
Wenn diese Objekte ausgewertet sind, sollte ich eine entsprechende Tabelle erhalten, die mir die Ordner und Dateien eines vorher im Parameter angegebenen Verzeichnisses auflistet.
Um Dateien oder auch Ordner hin und her zu kopieren brauchte man nun nur noch die Methoden objFSO.CopyFile bzw. objFSO.CopyFolder.
Ich testete die Seite erst einmal auf einem alten Windows NT Webserver der Telekom. Das Ergebnis war beeindruckend, zumal die Webserveranmeldung die Domain eigentlich nicht hätte annehmen dürfen. Ich bekam alle lokalen Festplatten des Webservers dargestellt.
Wenn der Webserver also tatsächlich Domainanmeldungen annimmt, musste mehr möglich sein, als ein lokaler Zugriff. Ich kam zurück zu der Serverliste von dem Backup. Ich probierte willkürlich ein paar Freigaben: \web5113\c$ - Treffer. Ich probierte weitere und konnte fast jeden Server aus der Datenbank erreichen, wobei die Freigaben nicht nur auf c$ eingeschränkt waren - d$, e$... waren je nach Server ebenfalls möglich. Anhand der Routinginformationen eines Servers, fand ich die aktuellen IP-Netze heraus, in denen sich die Server befanden. Statt Rechnernamen, verwendete ich nun die IP-Adresse in der Pfadangabe, und so stellte ich fest, dass ich allein in einem IP-Netz Zugriff auf über 70 Server in drei Domains hatte.
Test ergaben, dass ich Vollzugriff auf alle Laufwerke aller Windows Webserver hatte.
Zugriff auf die UNIX-Server erhielt ich nur durch unsichere Microsoft SQL-Server, auf denen die Passwörter für die UNIX-Benutzer gespeichert waren.
Wie geschrieben hatte ich dadurch Zugriff auf Telekom SQL-Server, wo unter anderem die Tintra-Datenbank, eine SMS-Datenbank oder auch die Datenbank, wo gesperrte Spamer hinterlegt sind. Die Datenbanken kann man zwar bekanntlich nicht aus dem laufenden Betrieb heraus kopieren, aber in den meisten Fällen gab es in den Unterverzeichnissen ein vortagesaktuelles Backup der entsprechenden Datenbank.
Die Krönung aber war, dass ich dort ein Backup der OBSOC-Datenbank fand. Damit schloss sich für mich der Kreis zwischen der Sicherheit in der Anwendung und der Sicherheitin der Infrastruktur.
Ein Test ergab, dass ich von innerhalb des Telekomnetzes ebenfalls beliebig Dateien über den schon vorher erwähnten FTP-Server kopieren konnte. Selbstverständlich hätte ich mit dem Script auch Dateien auf die Server kopieren können. Welche Möglichkeiten sich daraus ergeben hätten malen Sie sich am besten selber aus. Vor allen Dingen, wenn Sie berücksichtigen, dass dort Installationshandbücher auf Servern lagen, die genau beschrieben, wann welches Script- oder Batchprogramm zeitgesteuert gestartet wurde.
Ich hatte also Vollzugriff auf Server im Telekomnetz, die keine eigene Verbindung zum Internet hatten. Genau an dieser Stelle habe ich mit meinen Nachforschungen abgebrochen, denn ein weiterkommen wäre ohne die Manipulation von bestehenden Daten nicht möglich gewesen. Was natürlich nicht heißt, das ein Krimineller an dieser Stelle aufhören würde.
Worüber rege ich mich eigentlich auf?
Die Telekom ist beim Bundesamt für Sicherheit in der Informationstechnik (BSI) als Zertifizierungsstelle für Softwaresicherheit angegeben. Beim Branchenverband für Informationstechnik und Telekommunikation (BITKOM) ist die Telekom einer der Mitgründer. Zusammen mit u.a. dem BSI, BITKOM und Microsoft sponsert die Telekom das Sicherheitsportal MCERT, wo Unternehmen gegen ein monatliches Entgeld mit Informationen über aktuelle Sicherheitsprobleme informiert werden sollen.
Es würde mich brennend interessieren, wen die Telekom über die Vorfälle im Mai/Juni 2003 und dem folgenden Jahr informiert hat. Welcher Emailbenutzer wurde gewarnt, dass seine Zugangsdaten durch mehrere Programmierfehler mehrfach völlig ungeschützt waren? Welches Unternehmen oder welche Behörde wurde darüber unterrichtet, dass sensible Unternehmensdaten und Personendaten nicht ausreichend geschützt wurden?
Da wäre noch die Frage, warum die EU-Richtlinie zum Datenschutz in der elektronischen Kommunikation in Deutschland immer noch nicht in nationales Recht umgesetzt wurde? Diese Richtlinie wurde bereits 2002 vom Europäischen Parlament und Rat erlassen. Im Oktober 2003 wurde ein Verstoßverfahren u.a. gegen Deutschland wegen nicht Umsetzung dieser Richtlinie eingeleitet und im November 2003 von der Europäischen Kommission beschlossen. In dieser Richtlinie werden Unternehmen u.a. Sicherheitsstandards zum Schutz von Kundendaten im Internet vorgeschrieben.
Bis dahin ist es für die Unternehmen offenbar ein Einfaches, jemanden, wie in diesem Fall mich, der mit Hartnäckigkeit Datenschutzvergehen aufdeckt, zu kriminalisieren. Es wirkt auf mich sehr hilflos, wenn ein Global-Player mit deutschen Paragraphen droht und dabei offenbar vergisst, dass sein Global-Network von anderen Ländern genauso angreifbar ist. Daher sollten Unternehmen wie die Telekom, in meinen Augen nicht primär dazu tendieren ihre Kundendaten innerhalb Deutschlands von einer teuren Rechtsabteilung schützen zu lassen, sondern es als höchste Aufgabe verstehen ihre Kundendaten weltweit von einer cleveren EDV-Abteilung schützen zu lassen.
Ich kann nicht sagen, wie tief die Abgründe im OBSOC und den dort angeschlossenen Netzen noch sind. Ich meine jedenfalls, dass hier eine Kontrolle von einer der Telekom übergeordneten Instanz dringend notwendig ist.
Der Versuch eine Entschädigung von der Telekom für meinen Aufwand zu bekommen war einmal mit Hilfe meines Anwaltes für die ersten beiden gemeldeten Sicherheitslöcher erfolgreich.
Danach ist jeder Versuch darin geendet, dass man mir einen sehr eingeschränkten Beratervertrag für die Zukunft angeboten hat, ansonsten würde man mein Verhalten in der Vergangenheit neu bewerten. Soll heißen: entweder Du nimmst den Vertrag an, oder wir drohen Dir mit bis zu drei Jahren Gefängnis. Abgesehen von dieser unhöflichen und in meine Augen unverschämten Art, hatte dieser Vertrag in meinen Augen nur den Zweck, mich zu knebeln.
Wie schon oben bemerkt, ist seit über einem Jahr nichts, aber auch gar nichts von dem oben geschilderten an die Öffentlichkeit gelangt. Obwohl doch eigentlich Hunderttausende hätten informiert werden müssen, dass ihr verwendetes Onlinezahlsystem nicht mehr sicher ist, oder das man für die nächste Zeit vielleicht besser kein OnlineBackup macht, da man definitiv nicht gewährleisten kann, dass Niemand unberechtigter Weise Zugriff auf die Kundendaten hatte. Die Blöße, zuzugeben, dass man sich mit dem Personal Security Service eventuell Hacker einlädt anstatt diese abzuwehren hat sich meines Erachtens die Telekom auch noch nicht gebracht. Liebe Telekom, es wäre also langsam wirklich an der Zeit, ehrlich zu seinen Kunden zu sein.
Wer ein solches Projekt startet, trägt nicht nur das Risiko schnell viel zu verdienen, sondern in erster Linie die Verantwortung für den Schutz von fremden Daten. Die Bundesregierung sollte an dieser Stelle schnellstens tätig werden, anstatt ein Patentgesetz für Dinge zu unterstützen, die in kein Produkthaftungsgesetz der Welt fallen - oder haben Sie schon mal davon gehört, dass Microsoft die produzierten Windows 2000 CDs der Jahre 2000 - 2004 zurückrufen musste?
– QUOD ERAT DEMONSTRANDUM (I): Nachfolgend ein AP-Bericht vom 27. Juli 2004. Hier ist sie, die diesmal prompte Presse-Reaktion aus dem Hause Telekom:
Mindestens 100.000 Internetkunden der Telekom können derzeit ihre Webseiten nicht verwalten und ihre E-Mails nicht lesen. Das Unternehmen sperrte nach Angaben von Sprecher Ulrich Lissek den Zugang zu einer Online-Plattform für Webprodukte, nachdem die Zeitschrift "Datenschleuder" des Hamburger Chaos Computer Clubs (CCC) massive Sicherheitsmängel aufgedeckt hat.
Betroffen sind nach Angaben Lisseks vor allem kleine Gewerbetreibende, die über die von der Telekomtochter T-Com betriebene Bestellseite t-mart-web-service.de ihren eigenen Internetauftritt verwalten. Theoretisch könnten sogar bis zu 250.000 Kunden in diesem System beeinträchtigt sein.
Telekom bestätigt den Bericht
Nach dem Bericht der "Datenschleuder", der von Lissek im wesentlichen bestätigt wurde, konnten Hacker sowohl Kundenpasswörter auslesen als auch deren E-Mail mitlesen. Es sei zudem möglich gewesen, fremde Webseiten zu manipulieren. Internetangebote von Händlern hätten so verändert werden können. Allerdings sei es nicht möglich gewesen, auf diesem Weg externe Bestellungen zu Lasten eines Telekom-Internetkunden aufzugeben oder Rechnungsdaten zu verändern.
Hackerangriff im vergangenen Jahr
Nach Angaben der "Datenschleuder" gelang es einem Hacker bereits im vergangenen Jahr, unberechtigt Zugriff auf Kundendaten in der so genannten OBSOC-Plattform (Online Business Service Operation Center) zu bekommen, einem Gemeinschaftsprojekt von Telekom und Microsoft. Während der Hacker einige Sicherheitslücken der Telekom gemeldet habe, die dann geschlossen worden seien, sei ein sehr schwerwiegendes Problem erst durch die Veröffentlichung bekannt geworden, erklärte Lissek.
Da es möglich gewesen sei, unberechtigt an ganze vertrauliche Kundendatensätze zu kommen, habe die Telekom jetzt reagieren und den Zugang zunächst völlig sperren müssen. "Die haben dargestellt, wie man gleich die ganze Bank klaut", charakterisierte Lissek das Ausmaß des Problems.
Neue Passwörter
Spezialisten seien jetzt dabei, die Fehler zu beheben, sagte der Telekom-Sprecher. 100.000 bis 120.000 Kunden müssten per Brief neue Passwörter bekommen. Wie lange die Behebung der Panne dauern werde, könne er noch nicht sagen. Andere Telekom-Internetdienste wie Online-Banking oder "Rechnung online" seien aber nicht betroffen.
– QUOD ERAT DEMONSTRANDUM (II): Nachfolgend die Kopie jenes Anschreibens, das inzwischen auch allen (potenziell) betroffenen Kunden zugeschickt wurde:
Original Message-----
From: Team Deutsche Telekom
[mailto:kundenservice@t-intra.de]
Sent: Thursday, July 29, 2004 3:06 AM
To: (Kunden-email-adr bei T-Intra)
Subject: Wichtige Information
Importance: High
Sehr geehrte Kunden,
wir wenden uns heute mit dieser Mail direkt an Sie, da Sie derzeit die
Plattform Online Business Service Operation Center (OBSOC) nicht starten
können.
Wie Sie auf der sonst gewohnten Startseite dieser Plattform gesehen
haben, haben wir zurzeit den Zugang dieser Seite und die Administration
Ihrer Web-Auftritte aus Sicherheitsgründen gesperrt. Die Deutsche
Telekom war durch eine Veröffentlichung auf Sicherheitsmängel auf dieser
Online-Bestellplattform und den damit in Verbindung stehenden
Datenbanken für Vertragsdaten, Produktdaten und Bestellchronologie
hingewiesen worden.
Zurzeit unterziehen wir die gesamte Plattform einem intensiven
Sicherheitscheck.
Wir bedauern sehr, dass wir Ihnen den Zugang zu den Funktionen dieser
Plattform verwehren mussten. Hier ging uns Ihre Sicherheit vor. Deshalb
können Sie derzeit diese Plattform nicht starten.
Wir werden Sie laufend über die weiteren Schritte und Ergebnisse der
Untersuchungen informieren. Dazu gehört vor allem auch, ab wann Sie
wieder ungestört und sicher über diese Plattform Zugang zu Ihren
Diensten haben werden. Solange bitten wir Sie um Geduld und danken für
Ihr Verständnis.
Sollte sich herausstellen, dass Ihre Zugangskennung entsprechend
verändert werden muss, werden wir Sie über die dazu notwendigen Schritte
informieren. Dafür würden wir um Ihre Mithilfe bitten.
Wie gesagt, es geht uns um Ihre Sicherheit auf dieser Plattform, die
Ihnen so schnell wie möglich und so sicher wie nur irgend möglich wieder
zur Verfügung stehen soll.
Mit freundlichen Grüssen
Ihr
Team Deutsche Telekom
......
(Bitte antworten Sie nicht auf dieses Schreiben, da die Adresse nur zur
Versendung von E-Mails eingerichtet ist.)
– OUOD ERAT DEMONSTRANDUM (III): Aus den heise online news vom 30.07.2004 15:02 Uhr (bb[2]/c’t) (bb/c’t) mit der Überschrift "Finanzdaten online — unerreichbar":
Durch einen für Microsoft anscheinend mysteriösen Fehler kann eine Gruppe von Nutzern der Finanzsoftware Microsoft Money seit vier Tagen nicht mehr an ihre Finanzdaten heran. Microsoft teilte nicht mit, wie viele User mit dem Problem zu kämpfen haben. Jedoch seien offenbar all die betroffen, die sich in der Zeit zwischen Montag und Dienstagmorgen über Microsofts Authentifizierungs-Service Passport eingeloggt hatten, berichten US-Medien. Im Money Support Center[1] heißt es, man arbeite an der Lösung und hoffe, am heutigen Freitag mehr sagen zu können.
Über MS Money in Verbindung mit MSN können Nutzer ihre Finanzdaten auf die Microsoft-Server hochladen, um von überall her darauf zugreifen zu können. Dies rächt sich nun, da sie lokal nicht mehr die aktuellen Daten zur Verfügung haben. Das Problem mit dem Zugriff sei aber nicht auf Passport selbst zurückzuführen, heißt es bei Microsoft. Gerade für viele US-Anwender, die ihre ausstehenden Rechnungen etwa für Miete und ähnliche laufenden Ausgaben per MS Money verwalten, ist dies aber wohl nur ein schwacher Trost.
– OUOD ERAT DEMONSTRANDUM (IV):
Eine zusammenfassende Darstellung gibt es von Patrick Brauch in dem c’t Heft 17, 2004 auf der Seite 48 unter dem Titel: "T-offen. Web-Portal der Telekom mit gravierenden Sicherheitslücken."
Auf der Heise-Ticker-Aktuell-Seite noch angekündigt unter "Sicherheit: Telekom-Dienst WebEasy angreifbar"
– OUOD ERAT DEMONSTRANDUM (V):
Nachfolgend eine Kopie das Anschreibens der T-Com "kundenservice@t-intra.de" an alle betroffenen Kunden vom Freitag, den 13. August 2004 "11:35 PM"
"Subject: Einschränkung der Funktionsfähigkeit der Online
Bestellplattform OBSOC"
Sehr geehrte Kundin, sehr geehrter Kunde,
aufgrund von Sicherheitsmängeln auf der von Ihnen genutzten
Online-Bestellplattform OBSOC (www.t-mart-web-service.de) und zum Schutz
der damit in Verbindung stehenden Datenbanken für Vertragsdaten,
Produktdaten und Bestellchronologie haben wir die Zugänge zu diesem
System geschlossen. Die Plattform wurde einem intensiven
Sicherheitscheck unterzogen, zudem erfolgten Neuprogrammierungen.
Dadurch sind auch Sie in der Nutzung eines oder mehrerer unserer
Produkte eingeschränkt.
Wir bedauern die damit aufgetretenen Unannehmlichkeiten. Im Interesse
eines hohen Sicherheitsstandards sind die Einschränkungen im
Dienstangebot jedoch unvermeidlich.
In Kürze wird die Plattform wieder verfügbar sein.
Über den genauen Neustart werden wir Sie mit der Zusendung Ihrer neuen
Zugangskennung per Post informieren.
Wegen der betriebsbedingten Funktionseinschränkungen und den Ihnen
dadurch eingeschränkten Nutzungsmöglichkeiten werden wir Ihnen für den
Monat August 2004 den monatlichen Grundpreis des/r von Ihnen genutzten
und betroffenen Produkte(s) erstatten. Der Ihnen zunächst im Monat
August berechnete Grundpreis kann aus organisatorischen Gründen leider
erst in einer der nächsten Rechnungen gutgeschrieben werden. Die
Gutschrift wird dann unter dem Andruck "Sonstige Leistungen" ausgewiesen
werden.
Wir entschuldigen uns für die Unannehmlichkeiten, die mit den
getroffenen Maßnahmen für Sie verbunden waren, hoffen, Ihnen mit dieser
Regelung entgegen zu kommen und freuen uns auf eine weiterhin gute
Zusammenarbeit mit Ihnen.
Für Fragen wenden Sie sich bitte an die kostenfreie Hotline 0800 330
2425.
Mit freundlichen Grüßen
Ihre T-COM