die datenschleuder. - Chaosradio - CCC
die datenschleuder. - Chaosradio - CCC
die datenschleuder. - Chaosradio - CCC
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
• Wie sicher ist <strong>die</strong> ausgeführte Anwendung?<br />
• Wie sicher ist <strong>die</strong> Infrastruktur (Hardware und Netzwerk),<br />
<strong>die</strong> <strong>die</strong>ser Anwendung zugrunde liegen.<br />
Soll heißen: Wenn ich meine Wertsachen sicher deponieren<br />
möchte, ist es für mich nicht nur wichtig, dass das<br />
Schließfach sicher ist, sondern das Gebäude drum herum<br />
sollte einen höheren Sicherheitsstandard als das Schließfach<br />
haben.<br />
Die Sicherheit der Anwendung<br />
Es fällt mir schwer, im Zusammenhang mit OBSOC von<br />
Sicherheit zu sprechen, auch wenn <strong>die</strong> Telekom mir gegenüber<br />
nicht müde wird, das Gegenteil zu behaupten. Im<br />
Laufe eines Jahres, habe ich immer wieder feststellen müssen,<br />
dass meine Daten zu 0% geschützt wurden.<br />
Es fing damit an, dass ich eines einen Webhosting-Vertrag<br />
im OBSOC administriert habe. Der Link, der mich in<br />
meinen Vertrag führte, produzierte folgende URL in meinem<br />
Browser:<br />
http://www.t-mart-web-service.de/contractview/<br />
frameset.asp?ConPK=xyz<br />
Wobei xyz für <strong>die</strong> Vertragsnummer des Vertrages steht,<br />
der gerade administriert wurde.<br />
Neugierig wie ich war, änderte ich willkürlich <strong>die</strong> Vertragsnummer<br />
und bestätigte mit Enter <strong>die</strong> nun von mir geänderte<br />
URL. Ergebnis: Ich bekam einen anderen Vertrag eines<br />
anderen Kunden zum administrieren dargestellt. Exakt so,<br />
als ob ich meinen eigenen Vertrag verwalte. Ich brauchte<br />
also nur mein Schließfach aufschließen, eine neue Nummer<br />
darauf schreiben und schon hatte ich Zugriff auf das<br />
Schließfach, dessen Nummer ich auf mein Schließfach<br />
geschrieben hatte. Wie im Märchen. Die Telekom brauchte<br />
einen Tag, um den Fehler zu beheben.<br />
Wenn man einen solchen Fehler findet, fängt man doch an,<br />
sich Sorgen um seine Daten zu machen.<br />
Ein aufmerksames Stu<strong>die</strong>ren der Seite, <strong>die</strong> mich in <strong>die</strong> Vertragsverwaltung<br />
führte, brachte unter dem Link ZUKAUF<br />
folgenden Text zu Tage:<br />
http://www.t-mart-web-service.de/SalesFrontend/<br />
initializeSalesfrontend.asp?intPurchaseType=2&intConPK=xyz<br />
Da nach dem Anklicken des Links sofort der so genannte<br />
Konfigurator gestartet wurde, und damit <strong>die</strong> Adresse nicht<br />
mehr in der Ziel-URL auftauchte, kopierte ich den Link von<br />
<strong>die</strong> <strong>datenschleuder</strong><br />
T-COM MACHTS MÖGLICH!<br />
#83 / 2004<br />
der Eigenschaftenseite in <strong>die</strong> Zwischenablage. Von dort aus<br />
fügte ich den Link in <strong>die</strong> Adresszeile meines Browsers ein,<br />
änderte <strong>die</strong> intConPK und bestätigte <strong>die</strong> Eingabe.<br />
Was sollte Anderes passieren, als dass ich den entsprechenden<br />
fremden Vertrag nun im Zukaufsmodul dargestellt<br />
bekam.<br />
Ich brauchte also nur in meinem Vertrag <strong>die</strong> Vertragsnummer<br />
ändern, mit dem Vertrag zum Schließfachvermieter<br />
gehen, und sagen, dass ich für <strong>die</strong>sen Vertrag etwas<br />
dazukaufen möchte. Nicht nur, dass ich das ohne weitere<br />
Überprüfung durfte: Durch ein noch später erklärtes<br />
Sicherheitsloch, durfte ich auch noch direkt den Inhalt des<br />
Schließfachs mitnehmen. Auch hier war der Fehler von der<br />
Telekom schnell behoben.<br />
Das waren jetzt zwei Schnitzer zuviel, als das ich der Telekom<br />
vertraut hätte, dass <strong>die</strong> Welt jetzt in Ordnung sei und<br />
meine Daten sicher sind.<br />
Da der letzte Fehler im Zukaufsmodul lag, unterzog ich <strong>die</strong>ses<br />
Modul einer gründlichen Überprüfung. Da ich durch<br />
<strong>die</strong> Überprüfung x-mal den Prozess durchmachte, den ein<br />
Neukunde zu durchlaufen hat – oder auch ein Telekommitarbeiter,<br />
der Verträge für Neukunden anlegt – fiel mir<br />
irgendwann Folgendes auf: Das System schlug mir immer<br />
einen Benutzernamen vor, der auf dem von mir verwendeten<br />
Nachnamen basierte. Basierte heißt, dass wenn ich z.B.<br />
Schmidt angegeben hatte, ich nicht den Benutzer Schmidt<br />
vorgeschlagen bekam, sondern z.B. Schmidt99. Übersetzt<br />
hieß das: Es gab schon den Benutzer Schmidt, sowie <strong>die</strong><br />
Benutzer Schmidt1 – Schmidt98. Neben dem Benutzernamen<br />
musste man sich noch ein Passwort vergeben. Die<br />
Mindestanforderung daran war, dass es mindestens 8 Zeichen<br />
lang sein musste und davon mindestens eine Zahl.<br />
Stellen Sie sich nun einen unmotivierten Telekommitarbeiter,<br />
oder einen – durch das Vertragsabschlussprozedere –<br />
genervten Kunden vor – welche Kombinationen aus Benutzername<br />
und Passwort mögen da herauskommen?<br />
Ich probiere ein paar häufige Familiennamen aus und<br />
notiere, welche Benutzer schon angelegt wurden. Ich<br />
wechselte zur Anmeldeseite und probierte meine Liste<br />
durch. Die Trefferquote war erschreckend hoch. Ein passenderer<br />
Vergleich, als dass das Schließfach eine Tür aus<br />
Pappe hatte, fällt mir nicht ein.<br />
Als ich spaßeshalber noch ein paar beliebte Begriffe probierte,<br />
wurde es richtig interessant. Den Benutzern Telekom1<br />
mit dem Passwort telekom1 und Internet2 mit dem<br />
17<br />
17