summaryrefslogtreecommitdiff
path: root/updates/2004/obsoc.md
blob: a4b18056c0595d9051db15ba76f46ed56e009ee2 (plain)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
title: Sicherheitsdesaster im Webangebot der Telekom
date: 2004-07-26 00:00:00 
updated: 2009-04-18 19:07:43 
author: erdgeist
tags: update


Sämtliche Online-Services des Dienstes T-Mart Web-Services des Unternehmens T-Systems (Deutsche Telekom), die auf dem 
sogenannten Framework "OBSOC" basieren, weisen Sicherheitsprobleme auf. Alle Benutzerkonten in diesen Systemen müssen daher 
als kompromittiert betrachtet werden. Dies berichtet das Wissenschaftliche Fachblatt "Die Datenschleuder" des Chaos 
Computer Clubs in seiner aktuellen Ausgabe.
	

<!-- TEASER_END -->

Grund dafür sind eine Reihe von Sicherheitslöchern im OBSOC, die es
einem Benutzer erlauben, mit einfachsten Mitteln (wie z.B. dem einfachen
Austauschen einer Kundennummer in einer Webadresse) auf fremde
Kundendaten zuzugreifen. Dadurch wurde es möglich, dass ein beliebiger
Benutzer Zugriff auf die gesamten sensiblen Daten der OBSOC-Kundenkonten
erhalten kann, ohne dafür legitimiert zu sein.

Eine detaillierte Dokumentation der Abläufe findet sich im Artikel des
Autors Dirk Heringhaus unter <http://ds.ccc.de/083/obsoc/>.
Hintergrundmaterial und begleitende Berichterstattung sind unter
[http://www.ccc.de/t-hack/](/de/t-hack/) nachzulesen.

Das OBSOC ist in grober Näherung mit dem Passport-System von Microsoft
(die in enger Partnerschaft mit der Telekom dieses System aufgesetzt
haben) vergleichbar. Es regelt Benutzer- und Benutzerrechteverwaltung
konzernweit. Auf ihm bauen die Deutsche Telekom AG und ihre Töchter zur
Zeit diverse Netzdienstleistungen auf.

Wenn auch von Seiten des Autors und der Redaktion Datenschleuder keine
Manipulationen am OBSOC-Datenbestand selbst vorgenommen wurden, muss
davon ausgegangen werden, dass Angreifer mit genügend krimineller
Energie sich in den Datenbeständen umgetrieben haben. Dirk Engling von
der Redaktion "Die Datenschleuder" folgert dies allein aufgrund der
Tragweite des Sicherheitslecks. "Das Wissen um die Sicherheitslöcher
befähigte die Redaktion, Einblick in vertrauliche Informationen der
Betriebsdatenblätter aller Kunden des T-Mart Web-Services zu nehmen", so
Engling und weiter: "ein Angreifer wäre somit im Besitz sämtlicher
Zugangspasswörter aller Kunden dieser auf OBSOC basierenden
Dienstleistung".

Der Autor hat die Deutsche Telekom seit nunmehr einem Jahr wiederholt
vertraulich auf die Sicherheitslücken hingewiesen. Anstatt deren
Ursachen zu beheben, wurden aber lediglich einige Symptome bekämpft. Der
CCC fordert daher jetzt die Deutsche Telekom AG öffentlich zu einer
Stellungnahme und zur unverzüglichen Absicherung der Softwarebasis ihrer
Kundenverwaltung auf. Der CCC fordert die Deutsche Telekom AG außerdem
auf, umgehend ihre Kunden über dieses Problem zu informieren.

Vor zwei Monaten wurde dann der für die Deutsche Telekom AG zuständige
Beauftragte für Datenschutz auf das Sicherheitsleck hingewiesen. Das
Bonner Büro des Datenschutzbeauftragten wies jedoch den Hinweis ab und
verweigerte eine Überprüfung. Die in T-Mart Web-Service gespeicherten
Kundendaten und E-Mails müssten eigentlich durch wirksame
technisch-organisatorische Maßnahmen vor dem Zugriff durch Unberechtige
geschützt sein.

Durch die Schwächen im OBSOC Framework sind weitere Sicherheitslöcher im
gesamten Telekomnetzwerk entstanden, die zum Teil schon unter
http://www.ccc.de/t-hack/ dokumentiert sind, oder - aufgrund der
Komplexität der Sache - z.Zt. noch dokumentiert werden. Eine endgültige
Aufklärung der möglichen Gesamtfolgen für Behörden, Städte, Unternehmen
und Privatleute kann jedoch nur durch eine Bundesbehörde abschließend
geklärt werden.

Bis zu dieser abschließenden Klärung kann der Chaos Computer Club die
vielen Betroffenen wie z.B. Bundesnachrichtendienst, Deutsche
Bundesbank, Bundesgrenzschutzdirektion und Bundesamt für den Zivildienst
nur in dem Punkt beruhigen, dass deren Daten zumindest beim CCC sicher
sind.

Für Rückfragen ist die Redaktion "Die Datenschleuder" unter der +49 171
24 17 886 erreichbar.