Sicherheitslücken auf dem Microsoft Internet Information Server

Der Microsoft Internet Information Server Version 4 (MS IIS 4) von Microsoft ist nach Apache einer der am weitesten verbreiteten Server im  World Wide Web. Neben den für einen öffentlichen Zugang beabsichtigten Seiten findet man auf vielen dieser Servern  auch Informationen die  eigentlich nicht jedem zugänglich gemacht werden sollten. Solche Informationen lassen sich durch eine im IIS integrierte Funktion mit einem Passwort schützen. Erst wenn sich der Benützer mit seinem ihm zugeteilten Benutzernamen und Passwort identifiziert hat, darf er auf die entsprechenden geschützten Daten zugreifen. Ohne diese Angaben soll niemand Zugriff auf die Daten haben können. So sollte es wenigstens theoretisch sein. Jedenfalls funktioniert diese Methode mit den meisten gängigen Webbrowsern einwandfrei. Microsoft’s Internet Explorer und die Browser von Netscape brechen eine solche Transaktion auch sofort ab, wenn das Passwort nicht korrekt eingegeben wurde. Bei anderen Webbrowsern wie I Browse auf dem Amiga ist dies zum Beispiel nicht der Fall.

Bei diesem Webbrowser wird nach mehrmaligen Abbruch oder Falscheingabe des Passwortes die an sich geschützte Seite angezeigt. Mit etwas Logik und Fingerspitzengefühl kann man sich so eine ganze Verzeichnisstruktur durchkämpfen.

Dies ist ein gravierender Fehler in der Server Software die eigentlich mit der Übertragung der Seiten erst beginnen darf, wenn das Passwort richtig übermittelt worden ist. Offenbar  sendet der Server aber bereits während der Verifizierung der Zugangsberechtigung die geschützten Daten. Gewisse Browser, wie der erwähnte I Browse auf dem
Amiga,  können diese Daten auslesen. Dieser Fehler kann natürlich auch von Hackern ohne Probleme ausgenützt werden.

Für einen Freak ist es ein leichtes ein kleines Programm zu schreiben, dass ganze Datenblöcke von gesicherten Bereichen des Servers kopiert.

Der Administrator sieht im Ereignissprotokoll des Servers aber nur die falsche Passworteingabe. Es liegt auf der Hand, dass diese Fehlfunktion für Firmen, die vertrauliche Daten auf Ihren Servern haben, zu grossen Problemen führen kann. Deshalb können wir zur Zeit nur die Empfehlung abgeben, dass Sie keine vertraulichen Daten auf einem solchen Server der bereitstellen. Wenn Sie dies dennoch machen wollen, sollten Sie die Passwortüberprüfung nicht über die im MS IIS integrierte Funktion sondern über ein Skript in CGI oder Perl machen. Bei unseren Tests benutzten wir Rechner, auf denen Windows NT 4.0 mit Service Pack 3 IE 4.01 und Option Pack 4 installiert ist. Zudem haben wir alle von der Microsoft empfohlenen Bugfixes installiert. Dies hat jedoch nichts genützt. Microsoft selbst war dieser Bug bis jetzt noch nicht bekannt. Uns hat man auf unsere Anregung hin  jedoch versprochen die Angelegenheit zu prüfen. Sobald dort der Fehler lokalisiert ist und dieser sich effektiv als grösserer Fehler erweist, will man einen
Bugfix herauszugeben.

Solche Fehler häufen sich leider immer mehr, was wohl darauf zurück zu führen ist, dass infolge des unerbittlichen Konkurrenzkampfes immer mehr gute Produkte vom Markt verschwinden. Unter diesem Druck werden auch die Erneuerungsphasen zwischen den Softwareversionen immer kleiner und die Chance, einen Fehler in einem breiteren Test
zu finden, schwindet. 

Die neue Chash Card

Nächstes Jahr ist es soweit. Die Schweizer Banken wollen einen weiteren Schritt unternehmen um das Bargeld loszuwerden. Die alten Münzen werden dann bald ausgedient haben. Neu sollen die EC-Karten umfunktioniert werden. Auf diesem Chip werden Sie in Zukunft bis Fr. 300.– speichern können. Dieses Geld können Sie dann zum Zahlen an Apparaten, Kiosken und teilweise auch in Läden benützen. Dieses Geld wird Ihnen dann ohne Identifikation abgebucht. Der Vorteil für die Benützer ist, man braucht nicht immer so viel Kleingeld herumzutragen und hat immer das nötige Kleingeld bei sich. Das Problem vom Wechseln entfällt. Neben den vielen Vorteilen beherbergt diese Karte auch Risiken. Wie bei jeder Karte sind immer wieder Betrüger am werk. Chipkarten sind natürlich einiges sicherer als die herkömmlichen Magnetkarten. Jedoch wenn es um grössere Beträge geht müssten die Sicherheitsmassnahmen verstärkt werden. Das die Chipkarten bis jetzt nicht so schweer zum aufladen sind, zeigt schon die Menge von Sharewareprogramme, die die Telefonkarten der Detuschen Telecom wieder aufladen. Dort ist es sogar möglich eine Karte bis auf DM 999.– oder mehr aufzuladen. In der Schweiz gibt es bereits eine Chipkarte die aufladbar ist. Es handelt sich um die Cinecard, die von diversen Kinoanbieter rausgeben wird. Schon bei dieser Karte hatten die Holländischen Hacker nicht all zu lange gebraucht um sie wieder aufzuladen. Jedoch meinten sie, dass der Aufwand nicht rentiert. Der Anwendungszweck für diese Karte ist gering, dafür, dass man nacher gratis ins Kino kann. Dieses Argument wird dann bei der Cashkarte nicht mehr gelten. Mit einer Karte kann man in kürzester Zeit Waren und Dienstleistungen in den 10’000.– beziehen.

Es ist klar, dass der einzelne Benützer von diesen Methoden nur indirekt betroffen ist. Der einzelne Kartenbesitzer kann so nicht geschädigt werden. Die Geschädigten von solchen Attaken sind höchstens Aperatebesitzer, Banken und Versicherungen geschädigt. Ganz ohne Gefahr ist es für den Kunden natürlich auch nicht ganz ohne Risiken. Früher war es möglich dass ein „Fünfliber“ einfach im Automaten stecken blieb und nicht mehr zurück kam. Dann war das Geld weg. Tja im extremsten Fall konnte man den Besitzer des Automaten herzitieren und um herausgabe des Geldes bitten, das Geld war ja wikrlich noch irgendwo im Automaten. Mit der Chipkarten könnte es durch einen Defekt passieren, dass statt Fr. 1.20 für den Kaugummi einfach auf der Karte Fr. 120.– abgebucht werden. Wenn man dann glück hat wird es richtig auf dem Kontrolstreifen des Automaten mitprotokolliert. Wenn dort aber nur Fr. 1.20 stehen, dann hat man pech gehabt. Dann wird es ein teurer Kaugummi. Solche Fehlabbuchungen sind bei den Telefonkarten der Telecom PTT gang und gebe. Dort handelt es sich in den meisten Fällen nicht um beträge bis Fr. 300.– sondern um maximal Fr. 10.–.

Fazit: Auf das neue Geldsystem werden sich vor allem die Hacker und Informatikstudenten der Uni und ETH freuen. So kommen sie, wenn sie die nötige Software habenm wenigstens noch einige Oeffentliche Zuschüsse auf Ihr Studium.

 

Hackernwes stellt sich vor

Die Hackernews wurde am 1. Januar 1994 in Zürich veröffentlicht, diese Zeitschrift wurde in unregelmässigen Zeitabständen auf diversen Mailboxen in der Schweiz veröffentlicht.

Für was ist die Hackernews gut?

Das ist schweer zu sagen. Eine genaue Antwort konnten bis jetzt die Herausgeber leider auch nicht finden. Der Zweck der Hackernews ist, den Benützern von diversen Informations, und Datensystemen, nicht nur die Vorzüge und Spielereinen, sondern auch die Nachteile darzulegen, die von anderen Medien oder Vertreiber der Systeme gar nie genannt werden. Wir wollen nicht, die Bevölkerung zu teils strafbaren Handlungen aufmunern, sondern wir wollen mit unseren Artikeln den Benützer sagen, gebt acht, es könnte ja jemand… Ebenfalls wollen wir damit erreichen, dass die Datennetze, sowie andere elektronische Systeme sicherer werden.

Braucht es heutzutage überhaupt noch die Hackernews?

Die Hackernews, wie auch andere Informationsmedien, die über Gefahren in den Datenbereichen informieren werden immer wichtiger. Heute werden immer mehr die Computersysteme miteinander vernetzt. Wo die Daten heutzutage landen ist für den einzelnen kaum oder gar nicht mehr Nachvollziehbar. Jegrösser die Vernetztung ist, desto grösser ist die Fehleranfälligkeit. Auch die Juristen haben bei der raschen Entwicklung der elektronischen Datensystem und Medien den Ueberblick verloren, und sind auch in der Rechtsprechung übervordert.

Wir versuchen mit dieser Zeitschrift Ihnen die Gefahren und Vorteile der elektronischen Medien bekannt zu geben. Dieses Medium dient nicht dazu den Hobbyhackern Anleitungen für ihre ersten Hacks zu geben.

Woher kommen die Artikel?

Die Artikel, welche hier veröffentlicht werden, werden von Leuten die in der Szene sind verfasst. Bei wichtigen Themen werden auch Artikel vom CCC (Chaos Computer Club) oder andere Pressemitteilungen, die uns in die Hand fallen veröffentlicht. Es gibt auch sehr viele private Autoren, die Ihre Artikel hier veröffentlichen.

Autor Xaver Aerni
Geschrieben am 15.10.1996
Veröffentlich in der Ausgabe November 1996
(C)opyright 1996 by Hackernews
Sonstige Nachschlagewerke oder Infos NONE