diff options
-rw-r--r-- | updates/2004/obsoc.md | 77 |
1 files changed, 77 insertions, 0 deletions
diff --git a/updates/2004/obsoc.md b/updates/2004/obsoc.md new file mode 100644 index 00000000..a4b18056 --- /dev/null +++ b/updates/2004/obsoc.md | |||
@@ -0,0 +1,77 @@ | |||
1 | title: Sicherheitsdesaster im Webangebot der Telekom | ||
2 | date: 2004-07-26 00:00:00 | ||
3 | updated: 2009-04-18 19:07:43 | ||
4 | author: erdgeist | ||
5 | tags: update | ||
6 | |||
7 | |||
8 | Sämtliche Online-Services des Dienstes T-Mart Web-Services des Unternehmens T-Systems (Deutsche Telekom), die auf dem | ||
9 | sogenannten Framework "OBSOC" basieren, weisen Sicherheitsprobleme auf. Alle Benutzerkonten in diesen Systemen müssen daher | ||
10 | als kompromittiert betrachtet werden. Dies berichtet das Wissenschaftliche Fachblatt "Die Datenschleuder" des Chaos | ||
11 | Computer Clubs in seiner aktuellen Ausgabe. | ||
12 | |||
13 | |||
14 | <!-- TEASER_END --> | ||
15 | |||
16 | Grund dafür sind eine Reihe von Sicherheitslöchern im OBSOC, die es | ||
17 | einem Benutzer erlauben, mit einfachsten Mitteln (wie z.B. dem einfachen | ||
18 | Austauschen einer Kundennummer in einer Webadresse) auf fremde | ||
19 | Kundendaten zuzugreifen. Dadurch wurde es möglich, dass ein beliebiger | ||
20 | Benutzer Zugriff auf die gesamten sensiblen Daten der OBSOC-Kundenkonten | ||
21 | erhalten kann, ohne dafür legitimiert zu sein. | ||
22 | |||
23 | Eine detaillierte Dokumentation der Abläufe findet sich im Artikel des | ||
24 | Autors Dirk Heringhaus unter <http://ds.ccc.de/083/obsoc/>. | ||
25 | Hintergrundmaterial und begleitende Berichterstattung sind unter | ||
26 | [http://www.ccc.de/t-hack/](/de/t-hack/) nachzulesen. | ||
27 | |||
28 | Das OBSOC ist in grober Näherung mit dem Passport-System von Microsoft | ||
29 | (die in enger Partnerschaft mit der Telekom dieses System aufgesetzt | ||
30 | haben) vergleichbar. Es regelt Benutzer- und Benutzerrechteverwaltung | ||
31 | konzernweit. Auf ihm bauen die Deutsche Telekom AG und ihre Töchter zur | ||
32 | Zeit diverse Netzdienstleistungen auf. | ||
33 | |||
34 | Wenn auch von Seiten des Autors und der Redaktion Datenschleuder keine | ||
35 | Manipulationen am OBSOC-Datenbestand selbst vorgenommen wurden, muss | ||
36 | davon ausgegangen werden, dass Angreifer mit genügend krimineller | ||
37 | Energie sich in den Datenbeständen umgetrieben haben. Dirk Engling von | ||
38 | der Redaktion "Die Datenschleuder" folgert dies allein aufgrund der | ||
39 | Tragweite des Sicherheitslecks. "Das Wissen um die Sicherheitslöcher | ||
40 | befähigte die Redaktion, Einblick in vertrauliche Informationen der | ||
41 | Betriebsdatenblätter aller Kunden des T-Mart Web-Services zu nehmen", so | ||
42 | Engling und weiter: "ein Angreifer wäre somit im Besitz sämtlicher | ||
43 | Zugangspasswörter aller Kunden dieser auf OBSOC basierenden | ||
44 | Dienstleistung". | ||
45 | |||
46 | Der Autor hat die Deutsche Telekom seit nunmehr einem Jahr wiederholt | ||
47 | vertraulich auf die Sicherheitslücken hingewiesen. Anstatt deren | ||
48 | Ursachen zu beheben, wurden aber lediglich einige Symptome bekämpft. Der | ||
49 | CCC fordert daher jetzt die Deutsche Telekom AG öffentlich zu einer | ||
50 | Stellungnahme und zur unverzüglichen Absicherung der Softwarebasis ihrer | ||
51 | Kundenverwaltung auf. Der CCC fordert die Deutsche Telekom AG außerdem | ||
52 | auf, umgehend ihre Kunden über dieses Problem zu informieren. | ||
53 | |||
54 | Vor zwei Monaten wurde dann der für die Deutsche Telekom AG zuständige | ||
55 | Beauftragte für Datenschutz auf das Sicherheitsleck hingewiesen. Das | ||
56 | Bonner Büro des Datenschutzbeauftragten wies jedoch den Hinweis ab und | ||
57 | verweigerte eine Überprüfung. Die in T-Mart Web-Service gespeicherten | ||
58 | Kundendaten und E-Mails müssten eigentlich durch wirksame | ||
59 | technisch-organisatorische Maßnahmen vor dem Zugriff durch Unberechtige | ||
60 | geschützt sein. | ||
61 | |||
62 | Durch die Schwächen im OBSOC Framework sind weitere Sicherheitslöcher im | ||
63 | gesamten Telekomnetzwerk entstanden, die zum Teil schon unter | ||
64 | http://www.ccc.de/t-hack/ dokumentiert sind, oder - aufgrund der | ||
65 | Komplexität der Sache - z.Zt. noch dokumentiert werden. Eine endgültige | ||
66 | Aufklärung der möglichen Gesamtfolgen für Behörden, Städte, Unternehmen | ||
67 | und Privatleute kann jedoch nur durch eine Bundesbehörde abschließend | ||
68 | geklärt werden. | ||
69 | |||
70 | Bis zu dieser abschließenden Klärung kann der Chaos Computer Club die | ||
71 | vielen Betroffenen wie z.B. Bundesnachrichtendienst, Deutsche | ||
72 | Bundesbank, Bundesgrenzschutzdirektion und Bundesamt für den Zivildienst | ||
73 | nur in dem Punkt beruhigen, dass deren Daten zumindest beim CCC sicher | ||
74 | sind. | ||
75 | |||
76 | Für Rückfragen ist die Redaktion "Die Datenschleuder" unter der +49 171 | ||
77 | 24 17 886 erreichbar. | ||