summaryrefslogtreecommitdiff
diff options
context:
space:
mode:
authorerdgeist <erdgeist@erdgeist.org>2009-04-18 19:07:43 +0000
committererdgeist <erdgeist@erdgeist.org>2020-05-23 13:38:12 +0000
commitdf9570ebae0a1b63bf8e4ebc08f423a5880e33d6 (patch)
tree82cd8dfea76f01a2d5033318c9a97fe7c8bfebd1
parentd771638e4a00a687ad9eb6242ca61d7648802250 (diff)
committing page revision 1
-rw-r--r--updates/2004/obsoc.md77
1 files changed, 77 insertions, 0 deletions
diff --git a/updates/2004/obsoc.md b/updates/2004/obsoc.md
new file mode 100644
index 00000000..a4b18056
--- /dev/null
+++ b/updates/2004/obsoc.md
@@ -0,0 +1,77 @@
1title: Sicherheitsdesaster im Webangebot der Telekom
2date: 2004-07-26 00:00:00
3updated: 2009-04-18 19:07:43
4author: erdgeist
5tags: update
6
7
8Sämtliche Online-Services des Dienstes T-Mart Web-Services des Unternehmens T-Systems (Deutsche Telekom), die auf dem
9sogenannten Framework "OBSOC" basieren, weisen Sicherheitsprobleme auf. Alle Benutzerkonten in diesen Systemen müssen daher
10als kompromittiert betrachtet werden. Dies berichtet das Wissenschaftliche Fachblatt "Die Datenschleuder" des Chaos
11Computer Clubs in seiner aktuellen Ausgabe.
12
13
14<!-- TEASER_END -->
15
16Grund dafür sind eine Reihe von Sicherheitslöchern im OBSOC, die es
17einem Benutzer erlauben, mit einfachsten Mitteln (wie z.B. dem einfachen
18Austauschen einer Kundennummer in einer Webadresse) auf fremde
19Kundendaten zuzugreifen. Dadurch wurde es möglich, dass ein beliebiger
20Benutzer Zugriff auf die gesamten sensiblen Daten der OBSOC-Kundenkonten
21erhalten kann, ohne dafür legitimiert zu sein.
22
23Eine detaillierte Dokumentation der Abläufe findet sich im Artikel des
24Autors Dirk Heringhaus unter <http://ds.ccc.de/083/obsoc/>.
25Hintergrundmaterial und begleitende Berichterstattung sind unter
26[http://www.ccc.de/t-hack/](/de/t-hack/) nachzulesen.
27
28Das OBSOC ist in grober Näherung mit dem Passport-System von Microsoft
29(die in enger Partnerschaft mit der Telekom dieses System aufgesetzt
30haben) vergleichbar. Es regelt Benutzer- und Benutzerrechteverwaltung
31konzernweit. Auf ihm bauen die Deutsche Telekom AG und ihre Töchter zur
32Zeit diverse Netzdienstleistungen auf.
33
34Wenn auch von Seiten des Autors und der Redaktion Datenschleuder keine
35Manipulationen am OBSOC-Datenbestand selbst vorgenommen wurden, muss
36davon ausgegangen werden, dass Angreifer mit genügend krimineller
37Energie sich in den Datenbeständen umgetrieben haben. Dirk Engling von
38der Redaktion "Die Datenschleuder" folgert dies allein aufgrund der
39Tragweite des Sicherheitslecks. "Das Wissen um die Sicherheitslöcher
40befähigte die Redaktion, Einblick in vertrauliche Informationen der
41Betriebsdatenblätter aller Kunden des T-Mart Web-Services zu nehmen", so
42Engling und weiter: "ein Angreifer wäre somit im Besitz sämtlicher
43Zugangspasswörter aller Kunden dieser auf OBSOC basierenden
44Dienstleistung".
45
46Der Autor hat die Deutsche Telekom seit nunmehr einem Jahr wiederholt
47vertraulich auf die Sicherheitslücken hingewiesen. Anstatt deren
48Ursachen zu beheben, wurden aber lediglich einige Symptome bekämpft. Der
49CCC fordert daher jetzt die Deutsche Telekom AG öffentlich zu einer
50Stellungnahme und zur unverzüglichen Absicherung der Softwarebasis ihrer
51Kundenverwaltung auf. Der CCC fordert die Deutsche Telekom AG außerdem
52auf, umgehend ihre Kunden über dieses Problem zu informieren.
53
54Vor zwei Monaten wurde dann der für die Deutsche Telekom AG zuständige
55Beauftragte für Datenschutz auf das Sicherheitsleck hingewiesen. Das
56Bonner Büro des Datenschutzbeauftragten wies jedoch den Hinweis ab und
57verweigerte eine Überprüfung. Die in T-Mart Web-Service gespeicherten
58Kundendaten und E-Mails müssten eigentlich durch wirksame
59technisch-organisatorische Maßnahmen vor dem Zugriff durch Unberechtige
60geschützt sein.
61
62Durch die Schwächen im OBSOC Framework sind weitere Sicherheitslöcher im
63gesamten Telekomnetzwerk entstanden, die zum Teil schon unter
64http://www.ccc.de/t-hack/ dokumentiert sind, oder - aufgrund der
65Komplexität der Sache - z.Zt. noch dokumentiert werden. Eine endgültige
66Aufklärung der möglichen Gesamtfolgen für Behörden, Städte, Unternehmen
67und Privatleute kann jedoch nur durch eine Bundesbehörde abschließend
68geklärt werden.
69
70Bis zu dieser abschließenden Klärung kann der Chaos Computer Club die
71vielen Betroffenen wie z.B. Bundesnachrichtendienst, Deutsche
72Bundesbank, Bundesgrenzschutzdirektion und Bundesamt für den Zivildienst
73nur in dem Punkt beruhigen, dass deren Daten zumindest beim CCC sicher
74sind.
75
76Für Rückfragen ist die Redaktion "Die Datenschleuder" unter der +49 171
7724 17 886 erreichbar.