Light Microscope

Microscopes and microscopy

Allgemein 

IT-Sicherheit und Internet – ein Praxisbeispiel wie man es nicht macht

Peter

Unfassbare Meldung in der Zeitung: 14-jähriger hackt den Server einer kanadischen Behörde und lädt sich geheime Dateien herunter. Was so unglaublich klingt hat weniger mit den Hacker-Fähigkeiten des jungen Mannes zu tun als mit der Unwissenheit der Mitarbeiter und der Unfähigkeit der IT-Abteilung. Viele Menschen haben in dem Bereich eine falsche Vorstellung vom Hacken. Sie verwenden zwar sichere Passwörter und treffen Vorsichtsmaßnahmen, aber dafür ignorieren sie dann Sicherheitslücken, die eigentlich zu den Basics gehören. Wir zeigen ein Beispiel, wie es theoretisch jede Firma und jeden Blogger betreffen könnte.

Häufiger Fehler im Umgang mit Internet-Servern

Nehmen wir an, in einer Behörde oder einer Firma möchte jemand den Informationsaustausch beschleunigen. Daher werden Dokumente auf den Webserver hochgeladen, damit Kollegen anderer Niederlassungen Zugriff direkt über das Web erhalten. Hierfür wird ein Inhaltsverzeichniss in HTML angelegt, so dass die User die vertraulichen Dateien per Klick aufrufen können. Um unerwünschte Zugriffe zu verhindern, wird dieses Verzeichnis  mit einem hoch komplexen Passwort verschlüsselt, welches nur Interne erhalten. Reicht das aus?

Experten für Information Security können hier nur mit dem Kopf schütteln. Das Passwort bringt gar nichts, wenn die Files nicht ebenfalls in einem per Passwort geschützten Ordner untergebracht werden. Bedenken Sie: ein Webserver, auf dem eine Internetseite gehostet wird, der ist wie eine Festplatte, auf den man von Außen zugreifen kann. Das betrifft auch alle Dateien, die dort liegen. Stellen Sie sich vor, Sie laden das File TOP-SECRET.PDF auf den Webserver von XYZ-123.COM. Dann lässt sich das File für wirklich jeden öffnen, der mit seinem Browser XYZ-123.COM/TOP-SECRET.PDF aufruft. Dazu müsste derjenige zwar die genaue URL kennen, aber die lässt sich durch bestimmte Suchkonfigurationen sogar mit Google ermitteln.

Das heißt also: In der oben genannten, kanadischen Behörde konnte die ganze Zeit jeder Mesch diese Files lesen, der gezielt danach gesucht hätte. Aufgefallen ist es jedoch erst, als sich ein Kind dabei hat erwischen lassen.

Gleiches Problem tritt zum Beispiel in WordPress auf. Einer Software, die von vielen Bloggern und Unternehmen genutzt wird. Viele Nutzer  laden Files in die Mediathek hoch. Problem ist: das Plugin für die XML-Sitemap nimmt diese Files auf und damit werden sie von Google indexiert. Wenn der Seitenbetreiber dann eine Passwortgeschützte Unterseite einrichtet, um diese Inhalte dort exklusiv anzubieten, dann wähnt er sich in trügerischer Sicherheit. Die Medien werden über die Sitemap sofort an Google gemeldet und landen sogar mit der exakten URL frei zugänglich im Netz, wo sie jeder Mensch einsehen kann. Da muss man nicht einmal hacken lernen dafür, um sie dort abgreifen zu können.