INS-ecommerce

23C3: In drei Klicks zur Passwortdatei eines Lufttransportunternehmens

Mit drei Mausklicks kann man zur Passwortdatei eines grossen deutschen Lufttransport Unternehmens gelangen.

Der 23. Chaos Communication Congress (23C3) ging gestern mit einem Besucherrekord zu ende. Heise berichtete. Wie üblich gab es "Live-Hacking" dessen Ergebnisse auf einer öffentlichen "Hackseite" zusammengetragen wurden.

Wenn man sich diese Liste anschaut, könnte man glauben, die Dummheit der Menschen sei grenzenlos. Die meisten der sogenannten "Hacks" nutzen nicht irgendwelche Hoch-speziellen Buffer-Überlauf oder sonstige Betriebssystemnahe Fehler aus, sondern die Dummheit von Administratoren und Programmieren.

Diese "Hacks" bestehen einfach darin, an die Web-Adresse als Parameter "file=Dateiname" anzuhängen, um so an die Datei "/etc/passwd" und andere zu kommen, in denen verschiedene Zugangsdaten stehen. Mit wenig Aufwand erhält man so die Zugangsdaten um sich am System als "root" oder "Admin" anzumelden.

So soll dieses auch bei der Website eines großen deutschen Luft-Cargo Unternehmens sein, bei dem in dieser per Web zugänglichen Datei /etc/passwd die Passwörter für root, Oracle-Datenbank-Admin, FTP, Tochterunternehmen, E-Booking-Anwendungen u.a. nur unzureichend verschlüsselt stehen.

In meinen Augen ist das eine grob fahrlässige Sicherheitslücke die vom Betreiber hoffentlich schnell gestopft wird. Besonders besorgniserregend ist die Tatsache, dass so etwas bei einem Unternehmen des Lufttransportes vorkommt und selbst bei in solch sensiblen Bereichen tätigen Unternehmen grundlegende Sicherheitsstandards missachtet werden.


Geschrieben von af in am: Montag, 1. Januar 2007
Permalink

Tags: , , , ,

Diesen Beitrag bei folgenden Diensten bookmarken:
del.icio.us - Digg it - Mister Wong - Technorati - Ruhr.com Suchmaschine

Kommentare

Nächster Artikel: Website Texte - Google Webmasterblog bestätigt Relevanz von Website Inhalten

Vorheriger Artikel: Dieses Jahr bleibt der Baum Grün und Umweltfreundlich