Was ist die schlimmste Sicherheitslücke, die Sie je gesehen haben? Es ist wahrscheinlich eine gute Idee, die Details zu begrenzen, um die Schuldigen zu schützen.
Hier ein kleiner Einblick in die Frage was zu tun ist, wenn man eine Sicherheitslücke findet, und eine andere mit einigen nützlichen Antworten, wenn ein Unternehmen (scheinbar) nicht antwortet.
Ich weiß nicht, ob das die schlechteste ist, denn ich habe einige gesehen, die ziemlich schlecht waren, aber:
Vor Jahren wurde an einem Ort, an dem ich arbeitete, ein System namens FOCUS eingeführt. Ich weiß nicht, ob es das noch gibt. Es eignet sich hervorragend für Berichte, und wir haben vielleicht ein oder zwei Tausend Nicht-IT-Leute entwickelt und ihnen beigebracht, wie sie ihre eigenen Berichte erstellen können. Sehr praktisch. Sie konnten die grundlegenden Berichte erstellen, einige konnten die mittelschweren Aufgaben erledigen, und die IT-Abteilung konnte bei den schwierigeren Aufgaben helfen.
Alle Daten für die Berichterstattung wurden regelmäßig in Schattendatenbanken im FOCUS-eigenen Format kopiert. Für die sensibleren Daten haben wir die Option "Sicher" gewählt, mit der die Daten verschlüsselt werden. Alles schön und gut.
Eines Tages ruft mich mein Chef an und sagt, wir hätten das Passwort für eine der sensiblen Datenbanken verloren. Es wird schwierig sein, die Daten in diesem Fall zu reproduzieren, also bittet er mich, zu sehen, ob ich die Sicherheit knacken kann. Da ich keine Erfahrung als Hacker habe, brauchte ich etwa 5 oder 6 Stunden, um ihm das Passwort zu geben. Ich erstellte zunächst einige Testdateien und verschlüsselte sie mit verschiedenen Kennwörtern. Ich stellte fest, dass die Änderung eines Zeichens im Kennwort zwei Bytes in der verschlüsselten Datei änderte, und zwar das hohe nybble eines Bytes und das niedrige nybble eines anderen Bytes. Hmmmm, sagte ich mir. Natürlich wurde das Kennwort irgendwo in den ersten 80 Bytes der verschlüsselten Datei gespeichert, aber das Kennwort wurde verschleiert, indem die Bytes in nybbles aufgeteilt und an vorhersehbaren Stellen gespeichert wurden.
Danach dauerte es nicht lange, bis wir ein REXX-Skript schrieben, das unter dem VM/CMS-System lief und uns das Passwort jeder verschlüsselten Datenbank mitteilte.
Das ist schon lange her - Anfang der neunziger Jahre, und ich bin sicher, dass sie dieses Problem inzwischen behoben haben. Nun, ziemlich sicher.
Bei mir wäre es die Entdeckung eines ODBC-DSN, der für die Berichterstattung verwendet wird, bei dem das Kennwort mit dem Benutzer übereinstimmt, und der Benutzer gehört zur Datenbankserver-Verwaltungsgruppe .
So konnte jeder PC mit diesem ODBC-DSN alle Daten (und Schlimmeres) über den Berichtsbenutzer mit einem beliebigen ODBC-kompatiblen Tool lesen/ändern. Es war keine Autorisierung erforderlich, und die Authentifizierung war so schwach, wie man nur sein kann.
Ich arbeitete in einem öffentlichen Krankenhaus, und die Software war auf fast jedem PC in jedem staatlichen Krankenhaus des Landes installiert, wobei der Datenbankserver alle möglichen sensiblen medizinischen Daten enthielt (vollständige Patientendaten, Labortestergebnisse usw.).
Das Schlimmste war, dass wir die Sicherheitslücke erst stillschweigend und dann offiziell meldeten und sie in den zwei Jahren, in denen ich dort arbeitete, immer noch nicht behoben war, und das war vor fünf Jahren.
Vor etwa 3 Jahren habe ich eine Website für eine ziemlich große gemeinnützige Organisation in unserem Bundesstaat erstellt. Als es an der Zeit war, die Anwendung auf dem Server ihres Webhosts bereitzustellen, bemerkte ich eine merkwürdige Datei namens "cc.txt" oder etwas ähnlich Offensichtliches auf ihrer öffentlichen Website. Sie befand sich unter ihrem Web Root, wurde ausgeliefert und war eine csv-Datei mit den Namen, Adressen, Kreditkartennummern, Ablaufdaten und CVV/CVC-Codes aller Spender. Ich kann nicht mehr zählen, wie oft ich das Problem angesprochen habe - zuerst bei meinem Chef, dann bei unserem Buchhalter, dem IT-Direktor des Kunden und schließlich beim Präsidenten des Kunden. Das war vor 3 Jahren. Die Datei wird immer noch zugestellt, sie kann sogar gegoogelt werden. Und sie ist aktualisiert worden. Ich neige dazu, nicht auf ihre Spendenaufrufe zu reagieren, wenn ich sie erhalte.
CodeJaeger ist eine Gemeinschaft für Programmierer, die täglich Hilfe erhalten..
Wir haben viele Inhalte, und Sie können auch Ihre eigenen Fragen stellen oder die Fragen anderer Leute lösen.
