Da der Vorfall, der gestern vom CCC veröffentlicht wurde, die Medien anscheinend wenig interessiert werde ich mal mein bestes tun diese Meldung ans Volk zu verteilen.
__________________________________________________________
Schwerwiegende Sicherheitsmängel bei T-Com
Der Chaos Computer Club (CCC e.V.) entdeckte schwerwiegende Sicherheitsmängel in der T-Com-Datenbank OBSOC (Online Business Solution Operation Center). Ohne größeren Aufwand habe jeder Surfer nicht nur Kunden- und Unternehmensdaten einsehen, sondern sogar ändern können.
Das OBSOC ist im Grunde eine Vertragsverwaltung für die Telekom-Festnetztochter T-Com; hier finden sich alle relevanten Informationen zu Kundenverträgen. Diese Datenbank ist einerseits für Kunden gedacht, die darüber bestimmte Änderungen an ihrem Vertrag vornehmen können, wie beispielsweise neue Optionen zum Vertrag zuzukaufen. Andererseits ist die Vertragsverwaltung auch für T-Com-Mitarbeiter, die -- je nach Berechtigung -- vollen Schreibzugriff auf alle Vertragsdaten haben.
Dirk Heringhaus vom CCC hat sich seit Sommer 2003 mit der Sicherheit dieser Vertragsverwaltung beschäftigt und ist auf haarsträubende Sicherheitslücken gestoßen, die er in einem Bericht der Datenschleuder nun veröffentlicht hat. Zum einen wurden die einzelnen Datensätze nur mit der Vertragsnummer in der Browser-URL referenziert. Somit konnte Heringhaus -- einmal authentifiziert -- auf alle Kundendaten im OBSOC-System zugreifen und sie ändern.
Damit aber nicht genug: Bei einer genaueren Untersuchung stellte Heringhaus fest, dass viele der T-Com-Mitarbeiter mit Zugriff auf das OBSOC-System völlig unsichere Passwörter verwendeten (Nutzername = Passwort). Dadurch war er ohne weitere Probleme in der Lage, Vollzugriff auf T-Com-interne Systeme innerhalb von OBSOC zu erhalten. Somit konnte er letztlich alle Zugangsdaten von T-Com-Kunden einsehen und ändern. Über bestimmte Verwaltungsskripte war es darüberhinaus möglich, mit Pfadangaben wie "../../" Zugriff auf die kompletten Laufwerke der Windows-Server zu erhalten (Directory-Traversal).
Heringhaus und der CCC machen sich vor allem Sorgen wegen des Datenschutzes. So sei nach Angaben des CCC davon auszugehen, dass sich "Angreifer mit genügend krimineller Energie" in den Datenbeständen herumgetrieben haben: "Das Wissen um die Sicherheitslöcher befähigte die Redaktion, Einblick in vertrauliche Informationen der Betriebsdatenblätter aller Kunden des T-Mart Web-Services zu nehmen", sagt Dirk Engling von der Datenschleuder. "Ein Angreifer wäre somit im Besitz sämtlicher Zugangspasswörter aller Kunden dieser auf OBSOC basierenden Dienstleistung."
Während Hernigshaus Recherche in den vergangenen Monaten habe T-Com zwar diverse der kleineren Sicherheitsmängel beseitigt, aber gewährleiste immer noch keine grundsätzliche Sicherheit. Zudem bemängelt Heringhaus, dass T-Com keinerlei Bemühungen unternommen habe, das Sicherheitsproblem zu veröffentlichen und so seine Kunden zu warnen. Heringhaus stellt die vollständige Kommunikation mit T-Com auf einer eigens dafür eingerichteten Seite der Öffentlichkeit zur Verfügung. Eine Stellungnahme der Telekom war bislang nicht zu erhalten. (pab/c't)
Quelle heise.de
__________________________________________________________
Auf www.ccc.de/t-hack/ könnt Ihr alles darüber erfahren wie es gemacht wurde und wie sehr sich die Telekom mühe gegeben hat diese Fehler zu beseitigen.
Schon 12 Monate wissen Sie von diesen Lecks und wurden immer wieder vom CCC darauf hingewiesen. Die Antworten der Telekom sahen dann in etwa so aus:
Sinngemäß Telekom - nein wir haben aktuell keine Sicherheitsprobleme,
wenn sie aber veröffentlichen, wie man sie ausnutzen kann werden wir
sie verklagen.
Quelle: http://www.ccc.de/t-hack/stn/inhlt/schrftvrkhr/2004.06.02 Brief Telekom an Heringhaus.pdf
__________________________________________________________
Schwerwiegende Sicherheitsmängel bei T-Com
Der Chaos Computer Club (CCC e.V.) entdeckte schwerwiegende Sicherheitsmängel in der T-Com-Datenbank OBSOC (Online Business Solution Operation Center). Ohne größeren Aufwand habe jeder Surfer nicht nur Kunden- und Unternehmensdaten einsehen, sondern sogar ändern können.
Das OBSOC ist im Grunde eine Vertragsverwaltung für die Telekom-Festnetztochter T-Com; hier finden sich alle relevanten Informationen zu Kundenverträgen. Diese Datenbank ist einerseits für Kunden gedacht, die darüber bestimmte Änderungen an ihrem Vertrag vornehmen können, wie beispielsweise neue Optionen zum Vertrag zuzukaufen. Andererseits ist die Vertragsverwaltung auch für T-Com-Mitarbeiter, die -- je nach Berechtigung -- vollen Schreibzugriff auf alle Vertragsdaten haben.
Dirk Heringhaus vom CCC hat sich seit Sommer 2003 mit der Sicherheit dieser Vertragsverwaltung beschäftigt und ist auf haarsträubende Sicherheitslücken gestoßen, die er in einem Bericht der Datenschleuder nun veröffentlicht hat. Zum einen wurden die einzelnen Datensätze nur mit der Vertragsnummer in der Browser-URL referenziert. Somit konnte Heringhaus -- einmal authentifiziert -- auf alle Kundendaten im OBSOC-System zugreifen und sie ändern.
Damit aber nicht genug: Bei einer genaueren Untersuchung stellte Heringhaus fest, dass viele der T-Com-Mitarbeiter mit Zugriff auf das OBSOC-System völlig unsichere Passwörter verwendeten (Nutzername = Passwort). Dadurch war er ohne weitere Probleme in der Lage, Vollzugriff auf T-Com-interne Systeme innerhalb von OBSOC zu erhalten. Somit konnte er letztlich alle Zugangsdaten von T-Com-Kunden einsehen und ändern. Über bestimmte Verwaltungsskripte war es darüberhinaus möglich, mit Pfadangaben wie "../../" Zugriff auf die kompletten Laufwerke der Windows-Server zu erhalten (Directory-Traversal).
Heringhaus und der CCC machen sich vor allem Sorgen wegen des Datenschutzes. So sei nach Angaben des CCC davon auszugehen, dass sich "Angreifer mit genügend krimineller Energie" in den Datenbeständen herumgetrieben haben: "Das Wissen um die Sicherheitslöcher befähigte die Redaktion, Einblick in vertrauliche Informationen der Betriebsdatenblätter aller Kunden des T-Mart Web-Services zu nehmen", sagt Dirk Engling von der Datenschleuder. "Ein Angreifer wäre somit im Besitz sämtlicher Zugangspasswörter aller Kunden dieser auf OBSOC basierenden Dienstleistung."
Während Hernigshaus Recherche in den vergangenen Monaten habe T-Com zwar diverse der kleineren Sicherheitsmängel beseitigt, aber gewährleiste immer noch keine grundsätzliche Sicherheit. Zudem bemängelt Heringhaus, dass T-Com keinerlei Bemühungen unternommen habe, das Sicherheitsproblem zu veröffentlichen und so seine Kunden zu warnen. Heringhaus stellt die vollständige Kommunikation mit T-Com auf einer eigens dafür eingerichteten Seite der Öffentlichkeit zur Verfügung. Eine Stellungnahme der Telekom war bislang nicht zu erhalten. (pab/c't)
Quelle heise.de
__________________________________________________________
Auf www.ccc.de/t-hack/ könnt Ihr alles darüber erfahren wie es gemacht wurde und wie sehr sich die Telekom mühe gegeben hat diese Fehler zu beseitigen.
Schon 12 Monate wissen Sie von diesen Lecks und wurden immer wieder vom CCC darauf hingewiesen. Die Antworten der Telekom sahen dann in etwa so aus:
Sinngemäß Telekom - nein wir haben aktuell keine Sicherheitsprobleme,
wenn sie aber veröffentlichen, wie man sie ausnutzen kann werden wir
sie verklagen.
Quelle: http://www.ccc.de/t-hack/stn/inhlt/schrftvrkhr/2004.06.02 Brief Telekom an Heringhaus.pdf
