Es gibt fast keinen Tag in unserem Beruf, an dem wir nicht über das ein oder andere ungefährliche oder gar gefährliche IT – Sicherheitsloch stolper. Wie lange dauert es denn noch, bis das Sicherheitsbewusstsein endlich bei den IT-Zuständigen – oder zumindest den Geschäftsführern und Vorständen ankommt. Man sollte bei Gesprächen und daraus resultierenden Beschlüssen, die die Sicherheit der IT beeinflussen, definitiv kompetente Entscheidungsträger am Tisch haben, damit hier im Nachhinein keine “Atmosphäre des Erschreckens” geschaffen wird. Denn “Lernen durch Schmerzen” ist ein Lernen ohne vor dem Resultat nachzudenken wie etwas richtig durchzuführen ist.
Heute geht es um einen Konzern, der einen großen Namen in der Fertigungsindustrie hat. Ich saß bei einem Freund zum Feierabendbierchen, als ich mit ansehen musste, wie er sein Notebook aufklappt und sich OHNE SSL-VPN, TOKEN oder sonstige Sicherheitsmechanismen an einer Outlook – Web – Access – Website anmeldet. Argwöhnisch betrachtete ich das Vorgehen, und nach einem kräftigen Schluck Zirndorfer Landbier legte ich dann mal los: “Sag ma, ihr habt Outlook Web Access?”. “Klar, voll genial! Immer und überall Zugriff auf meine Mails und Kontakte und so. Ist doch Prima!”. Ja, logo, ist es auch. In unserer heutigen Geschäftswelt ist ein Messagingsystem, durch welches man ständigen Zugriff auf seine Geschäftsunterlagen/Mails hat, nicht mehr wegzudenken. Aber bitte liebe Kollegen, konfiguriert die Sicherheitsmechanismen richtig. Nach Klärung der rechtlichen Aspekte, bewaffnet mit nur einem Windows 7 Notebook und einem WLAN, legte ich dann mal los.
(Das folgende Beispiel habe ich unter Aufsicht und mit Genehmigung durchgeführt!)
Als erstes holen wir uns mal die IP-Adresse. Easy. Wir pingen einfach die URL an, wohl wissentlich dass sie wahrscheinlich nicht antwortet. Nicht richtig zumindest, denn wenn wir ein Mailsystem anpingen können wir uns SICHER sein, dass uns der zuständige DNS – Server die dazugehörige IP liefert. Muss er ja auch, wie soll der Mailserver sonst im Netz kommunizieren? Dann benutzen wir einfach einen Online – Scanner, um offene Ports zu finden. Da wär zum Beispiel der von “www.mxtoolbox.com”. Mit dem Prefix “scan:”, gefolgt von der ermittelten IP-Adresse, lege ich los und bekam eine interessante Antwort:
Aha. FTP offen. Auf ´nem Mailserver? Hm, definitiv nicht aus Versehen. Oder doch? Na denn schauen wir doch mal, was wir da so finden! Ich habe mir natürlich kein Login nennen lassen, schließlich sollte ich ja mal sehen, wie weit ich komme. Bis zum Portscan grinste noch der Admin ganz selbstgefällig. Aber schon bald konnte man verfolgen, wie das sebstgefällige Grinsen schlagartig den Besitzer wechselte. Zu wem, könnt ihr euch wahrscheinlich denken … Ohne großes Brimbamborium bin ich doch tatsächlich an einem Anmeldeprompt gelandet. Spätestens hier sollte ich jetzt scheitern. Flehende Blicke des Admins ignorierend, teste ich den allgemein bekannten Account “anonymous”. Passwort: naja, irgendwas, was wie ´ne e-Mailadresse aussieht. “John@doe.com” zum Beispiel. Das Ergebnis könnt ihr im nachfolgenden Screenshot bewundern. Wo wir da gelandet sind kann jeder von euch, der schon mal einen EXCHANGE installiert hat, ohne weiteres erkennen. Hier habe ich auch nicht weitergemacht, denn nach Ansicht des Verantwortlichen ist DAS schon zu weit.
Fazit: BITTE BITTE, liebe Admins, IT-Manager, IT – Bereichsleiter: macht weiter so! Dann werden Menschen wie wir NIEMALS arbeitslos! Oder aber: benutzt SICHERE ZUGÄNGE! Die Implementierung eines durchdachten Zugangs-Systems setzt zwar einen gewissen Invest vorraus – aber der dadurch gewonne Vorteil ist durch NICHTS zu ersetzen!
Nehmen Sie Kontakt mit uns auf!
Der Autor: Jan Frongia
IT – Erfahrung seit 1998
MCSE+S, MCITP
Xing-Profil
