From df9570ebae0a1b63bf8e4ebc08f423a5880e33d6 Mon Sep 17 00:00:00 2001 From: erdgeist Date: Sat, 18 Apr 2009 19:07:43 +0000 Subject: committing page revision 1 --- updates/2004/obsoc.md | 77 +++++++++++++++++++++++++++++++++++++++++++++++++++ 1 file changed, 77 insertions(+) create mode 100644 updates/2004/obsoc.md diff --git a/updates/2004/obsoc.md b/updates/2004/obsoc.md new file mode 100644 index 00000000..a4b18056 --- /dev/null +++ b/updates/2004/obsoc.md @@ -0,0 +1,77 @@ +title: Sicherheitsdesaster im Webangebot der Telekom +date: 2004-07-26 00:00:00 +updated: 2009-04-18 19:07:43 +author: erdgeist +tags: update + + +Sämtliche Online-Services des Dienstes T-Mart Web-Services des Unternehmens T-Systems (Deutsche Telekom), die auf dem +sogenannten Framework "OBSOC" basieren, weisen Sicherheitsprobleme auf. Alle Benutzerkonten in diesen Systemen müssen daher +als kompromittiert betrachtet werden. Dies berichtet das Wissenschaftliche Fachblatt "Die Datenschleuder" des Chaos +Computer Clubs in seiner aktuellen Ausgabe. + + + + +Grund dafür sind eine Reihe von Sicherheitslöchern im OBSOC, die es +einem Benutzer erlauben, mit einfachsten Mitteln (wie z.B. dem einfachen +Austauschen einer Kundennummer in einer Webadresse) auf fremde +Kundendaten zuzugreifen. Dadurch wurde es möglich, dass ein beliebiger +Benutzer Zugriff auf die gesamten sensiblen Daten der OBSOC-Kundenkonten +erhalten kann, ohne dafür legitimiert zu sein. + +Eine detaillierte Dokumentation der Abläufe findet sich im Artikel des +Autors Dirk Heringhaus unter . +Hintergrundmaterial und begleitende Berichterstattung sind unter +[http://www.ccc.de/t-hack/](/de/t-hack/) nachzulesen. + +Das OBSOC ist in grober Näherung mit dem Passport-System von Microsoft +(die in enger Partnerschaft mit der Telekom dieses System aufgesetzt +haben) vergleichbar. Es regelt Benutzer- und Benutzerrechteverwaltung +konzernweit. Auf ihm bauen die Deutsche Telekom AG und ihre Töchter zur +Zeit diverse Netzdienstleistungen auf. + +Wenn auch von Seiten des Autors und der Redaktion Datenschleuder keine +Manipulationen am OBSOC-Datenbestand selbst vorgenommen wurden, muss +davon ausgegangen werden, dass Angreifer mit genügend krimineller +Energie sich in den Datenbeständen umgetrieben haben. Dirk Engling von +der Redaktion "Die Datenschleuder" folgert dies allein aufgrund der +Tragweite des Sicherheitslecks. "Das Wissen um die Sicherheitslöcher +befähigte die Redaktion, Einblick in vertrauliche Informationen der +Betriebsdatenblätter aller Kunden des T-Mart Web-Services zu nehmen", so +Engling und weiter: "ein Angreifer wäre somit im Besitz sämtlicher +Zugangspasswörter aller Kunden dieser auf OBSOC basierenden +Dienstleistung". + +Der Autor hat die Deutsche Telekom seit nunmehr einem Jahr wiederholt +vertraulich auf die Sicherheitslücken hingewiesen. Anstatt deren +Ursachen zu beheben, wurden aber lediglich einige Symptome bekämpft. Der +CCC fordert daher jetzt die Deutsche Telekom AG öffentlich zu einer +Stellungnahme und zur unverzüglichen Absicherung der Softwarebasis ihrer +Kundenverwaltung auf. Der CCC fordert die Deutsche Telekom AG außerdem +auf, umgehend ihre Kunden über dieses Problem zu informieren. + +Vor zwei Monaten wurde dann der für die Deutsche Telekom AG zuständige +Beauftragte für Datenschutz auf das Sicherheitsleck hingewiesen. Das +Bonner Büro des Datenschutzbeauftragten wies jedoch den Hinweis ab und +verweigerte eine Überprüfung. Die in T-Mart Web-Service gespeicherten +Kundendaten und E-Mails müssten eigentlich durch wirksame +technisch-organisatorische Maßnahmen vor dem Zugriff durch Unberechtige +geschützt sein. + +Durch die Schwächen im OBSOC Framework sind weitere Sicherheitslöcher im +gesamten Telekomnetzwerk entstanden, die zum Teil schon unter +http://www.ccc.de/t-hack/ dokumentiert sind, oder - aufgrund der +Komplexität der Sache - z.Zt. noch dokumentiert werden. Eine endgültige +Aufklärung der möglichen Gesamtfolgen für Behörden, Städte, Unternehmen +und Privatleute kann jedoch nur durch eine Bundesbehörde abschließend +geklärt werden. + +Bis zu dieser abschließenden Klärung kann der Chaos Computer Club die +vielen Betroffenen wie z.B. Bundesnachrichtendienst, Deutsche +Bundesbank, Bundesgrenzschutzdirektion und Bundesamt für den Zivildienst +nur in dem Punkt beruhigen, dass deren Daten zumindest beim CCC sicher +sind. + +Für Rückfragen ist die Redaktion "Die Datenschleuder" unter der +49 171 +24 17 886 erreichbar. -- cgit v1.2.3