committing page revision 1

author: erdgeist <erdgeist@erdgeist.org> 2009-04-18 19:07:43 +0000
committer: erdgeist <erdgeist@erdgeist.org> 2020-05-23 13:38:12 +0000
commit: df9570ebae0a1b63bf8e4ebc08f423a5880e33d6 (patch)
tree: 82cd8dfea76f01a2d5033318c9a97fe7c8bfebd1 /updates/2004
parent: d771638e4a00a687ad9eb6242ca61d7648802250 (diff)
1 files changed, 77 insertions, 0 deletions
diff --git a/updates/2004/obsoc.md b/updates/2004/obsoc.md
new file mode 100644
index 00000000..a4b18056
--- /dev/null
+++ b/updates/2004/obsoc.md
@@ -0,0 +1,77 @@
+title: Sicherheitsdesaster im Webangebot der Telekom
+date: 2004-07-26 00:00:00 
+updated: 2009-04-18 19:07:43 
+author: erdgeist
+tags: update
+Sämtliche Online-Services des Dienstes T-Mart Web-Services des Unternehmens T-Systems (Deutsche Telekom), die auf dem 
+sogenannten Framework "OBSOC" basieren, weisen Sicherheitsprobleme auf. Alle Benutzerkonten in diesen Systemen müssen daher 
+als kompromittiert betrachtet werden. Dies berichtet das Wissenschaftliche Fachblatt "Die Datenschleuder" des Chaos 
+Computer Clubs in seiner aktuellen Ausgabe.
+        
+<!-- TEASER_END -->
+Grund dafür sind eine Reihe von Sicherheitslöchern im OBSOC, die es
+einem Benutzer erlauben, mit einfachsten Mitteln (wie z.B. dem einfachen
+Austauschen einer Kundennummer in einer Webadresse) auf fremde
+Kundendaten zuzugreifen. Dadurch wurde es möglich, dass ein beliebiger
+Benutzer Zugriff auf die gesamten sensiblen Daten der OBSOC-Kundenkonten
+erhalten kann, ohne dafür legitimiert zu sein.
+Eine detaillierte Dokumentation der Abläufe findet sich im Artikel des
+Autors Dirk Heringhaus unter <http://ds.ccc.de/083/obsoc/>.
+Hintergrundmaterial und begleitende Berichterstattung sind unter
+[http://www.ccc.de/t-hack/](/de/t-hack/) nachzulesen.
+Das OBSOC ist in grober Näherung mit dem Passport-System von Microsoft
+(die in enger Partnerschaft mit der Telekom dieses System aufgesetzt
+haben) vergleichbar. Es regelt Benutzer- und Benutzerrechteverwaltung
+konzernweit. Auf ihm bauen die Deutsche Telekom AG und ihre Töchter zur
+Zeit diverse Netzdienstleistungen auf.
+Wenn auch von Seiten des Autors und der Redaktion Datenschleuder keine
+Manipulationen am OBSOC-Datenbestand selbst vorgenommen wurden, muss
+davon ausgegangen werden, dass Angreifer mit genügend krimineller
+Energie sich in den Datenbeständen umgetrieben haben. Dirk Engling von
+der Redaktion "Die Datenschleuder" folgert dies allein aufgrund der
+Tragweite des Sicherheitslecks. "Das Wissen um die Sicherheitslöcher
+befähigte die Redaktion, Einblick in vertrauliche Informationen der
+Betriebsdatenblätter aller Kunden des T-Mart Web-Services zu nehmen", so
+Engling und weiter: "ein Angreifer wäre somit im Besitz sämtlicher
+Zugangspasswörter aller Kunden dieser auf OBSOC basierenden
+Dienstleistung".
+Der Autor hat die Deutsche Telekom seit nunmehr einem Jahr wiederholt
+vertraulich auf die Sicherheitslücken hingewiesen. Anstatt deren
+Ursachen zu beheben, wurden aber lediglich einige Symptome bekämpft. Der
+CCC fordert daher jetzt die Deutsche Telekom AG öffentlich zu einer
+Stellungnahme und zur unverzüglichen Absicherung der Softwarebasis ihrer
+Kundenverwaltung auf. Der CCC fordert die Deutsche Telekom AG außerdem
+auf, umgehend ihre Kunden über dieses Problem zu informieren.
+Vor zwei Monaten wurde dann der für die Deutsche Telekom AG zuständige
+Beauftragte für Datenschutz auf das Sicherheitsleck hingewiesen. Das
+Bonner Büro des Datenschutzbeauftragten wies jedoch den Hinweis ab und
+verweigerte eine Überprüfung. Die in T-Mart Web-Service gespeicherten
+Kundendaten und E-Mails müssten eigentlich durch wirksame
+technisch-organisatorische Maßnahmen vor dem Zugriff durch Unberechtige
+geschützt sein.
+Durch die Schwächen im OBSOC Framework sind weitere Sicherheitslöcher im
+gesamten Telekomnetzwerk entstanden, die zum Teil schon unter
+http://www.ccc.de/t-hack/ dokumentiert sind, oder - aufgrund der
+Komplexität der Sache - z.Zt. noch dokumentiert werden. Eine endgültige
+Aufklärung der möglichen Gesamtfolgen für Behörden, Städte, Unternehmen
+und Privatleute kann jedoch nur durch eine Bundesbehörde abschließend
+geklärt werden.
+Bis zu dieser abschließenden Klärung kann der Chaos Computer Club die
+vielen Betroffenen wie z.B. Bundesnachrichtendienst, Deutsche
+Bundesbank, Bundesgrenzschutzdirektion und Bundesamt für den Zivildienst
+nur in dem Punkt beruhigen, dass deren Daten zumindest beim CCC sicher
+sind.
+Für Rückfragen ist die Redaktion "Die Datenschleuder" unter der +49 171
+24 17 886 erreichbar.
author	erdgeist <erdgeist@erdgeist.org>	2009-04-18 19:07:43 +0000
committer	erdgeist <erdgeist@erdgeist.org>	2020-05-23 13:38:12 +0000
commit	df9570ebae0a1b63bf8e4ebc08f423a5880e33d6 (patch)
tree	82cd8dfea76f01a2d5033318c9a97fe7c8bfebd1 /updates/2004
parent	d771638e4a00a687ad9eb6242ca61d7648802250 (diff)

diff --git a/updates/2004/obsoc.md b/updates/2004/obsoc.md new file mode 100644 index 00000000..a4b18056 --- /dev/null +++ b/updates/2004/obsoc.md
@@ -0,0 +1,77 @@
	1	title: Sicherheitsdesaster im Webangebot der Telekom
	2	date: 2004-07-26 00:00:00
	3	updated: 2009-04-18 19:07:43
	4	author: erdgeist
	5	tags: update
	6
	7
	8	Sämtliche Online-Services des Dienstes T-Mart Web-Services des Unternehmens T-Systems (Deutsche Telekom), die auf dem
	9	sogenannten Framework "OBSOC" basieren, weisen Sicherheitsprobleme auf. Alle Benutzerkonten in diesen Systemen müssen daher
	10	als kompromittiert betrachtet werden. Dies berichtet das Wissenschaftliche Fachblatt "Die Datenschleuder" des Chaos
	11	Computer Clubs in seiner aktuellen Ausgabe.
	12
	13
	14	<!-- TEASER_END -->
	15
	16	Grund dafür sind eine Reihe von Sicherheitslöchern im OBSOC, die es
	17	einem Benutzer erlauben, mit einfachsten Mitteln (wie z.B. dem einfachen
	18	Austauschen einer Kundennummer in einer Webadresse) auf fremde
	19	Kundendaten zuzugreifen. Dadurch wurde es möglich, dass ein beliebiger
	20	Benutzer Zugriff auf die gesamten sensiblen Daten der OBSOC-Kundenkonten
	21	erhalten kann, ohne dafür legitimiert zu sein.
	22
	23	Eine detaillierte Dokumentation der Abläufe findet sich im Artikel des
	24	Autors Dirk Heringhaus unter <http://ds.ccc.de/083/obsoc/>.
	25	Hintergrundmaterial und begleitende Berichterstattung sind unter
	26	[http://www.ccc.de/t-hack/](/de/t-hack/) nachzulesen.
	27
	28	Das OBSOC ist in grober Näherung mit dem Passport-System von Microsoft
	29	(die in enger Partnerschaft mit der Telekom dieses System aufgesetzt
	30	haben) vergleichbar. Es regelt Benutzer- und Benutzerrechteverwaltung
	31	konzernweit. Auf ihm bauen die Deutsche Telekom AG und ihre Töchter zur
	32	Zeit diverse Netzdienstleistungen auf.
	33
	34	Wenn auch von Seiten des Autors und der Redaktion Datenschleuder keine
	35	Manipulationen am OBSOC-Datenbestand selbst vorgenommen wurden, muss
	36	davon ausgegangen werden, dass Angreifer mit genügend krimineller
	37	Energie sich in den Datenbeständen umgetrieben haben. Dirk Engling von
	38	der Redaktion "Die Datenschleuder" folgert dies allein aufgrund der
	39	Tragweite des Sicherheitslecks. "Das Wissen um die Sicherheitslöcher
	40	befähigte die Redaktion, Einblick in vertrauliche Informationen der
	41	Betriebsdatenblätter aller Kunden des T-Mart Web-Services zu nehmen", so
	42	Engling und weiter: "ein Angreifer wäre somit im Besitz sämtlicher
	43	Zugangspasswörter aller Kunden dieser auf OBSOC basierenden
	44	Dienstleistung".
	45
	46	Der Autor hat die Deutsche Telekom seit nunmehr einem Jahr wiederholt
	47	vertraulich auf die Sicherheitslücken hingewiesen. Anstatt deren
	48	Ursachen zu beheben, wurden aber lediglich einige Symptome bekämpft. Der
	49	CCC fordert daher jetzt die Deutsche Telekom AG öffentlich zu einer
	50	Stellungnahme und zur unverzüglichen Absicherung der Softwarebasis ihrer
	51	Kundenverwaltung auf. Der CCC fordert die Deutsche Telekom AG außerdem
	52	auf, umgehend ihre Kunden über dieses Problem zu informieren.
	53
	54	Vor zwei Monaten wurde dann der für die Deutsche Telekom AG zuständige
	55	Beauftragte für Datenschutz auf das Sicherheitsleck hingewiesen. Das
	56	Bonner Büro des Datenschutzbeauftragten wies jedoch den Hinweis ab und
	57	verweigerte eine Überprüfung. Die in T-Mart Web-Service gespeicherten
	58	Kundendaten und E-Mails müssten eigentlich durch wirksame
	59	technisch-organisatorische Maßnahmen vor dem Zugriff durch Unberechtige
	60	geschützt sein.
	61
	62	Durch die Schwächen im OBSOC Framework sind weitere Sicherheitslöcher im
	63	gesamten Telekomnetzwerk entstanden, die zum Teil schon unter
	64	http://www.ccc.de/t-hack/ dokumentiert sind, oder - aufgrund der
	65	Komplexität der Sache - z.Zt. noch dokumentiert werden. Eine endgültige
	66	Aufklärung der möglichen Gesamtfolgen für Behörden, Städte, Unternehmen
	67	und Privatleute kann jedoch nur durch eine Bundesbehörde abschließend
	68	geklärt werden.
	69
	70	Bis zu dieser abschließenden Klärung kann der Chaos Computer Club die
	71	vielen Betroffenen wie z.B. Bundesnachrichtendienst, Deutsche
	72	Bundesbank, Bundesgrenzschutzdirektion und Bundesamt für den Zivildienst
	73	nur in dem Punkt beruhigen, dass deren Daten zumindest beim CCC sicher
	74	sind.
	75
	76	Für Rückfragen ist die Redaktion "Die Datenschleuder" unter der +49 171
	77	24 17 886 erreichbar.