BAUR-ITCS UG (haftungsbeschränkt)

Firmensitz: Eichenäckerweg 10, 89081 Ulm

Geschäftsführer: Stefan Baur

Startseite/Wie sicher ist Ihr PC: Unsicherer Windows - Server (Video)

Warum es keine gute Idee ist, Windows-Server ohne geeigneten Zugriffsschutz an das Internet anzuschließen...

Hinweis: Dieses Video (2,7 Mb, Flash) ist nachgestellt, um nicht gegen §303a/§303b StGB zu verstoßen.

Das Problem ist mir aber sehr wohl schon in der Praxis begegnet. Demo-Skript und -Video wurden ursprünglich erstellt, um einen Server-Betreiber von der Problemsituation zu überzeugen, nachdem er anfangs behauptete, dass seine Server vollkommen ausreichend abgesichert seien. Er hatte nämlich einen Dienstleister beauftragt, seine Systeme zu prüfen, und nachdem dieser nichts zu beanstanden hatte (weil er nur die Benutzbarkeit und die organisatorischen Regelungen prüfte), wähnte er sich sicher.

Der folgenschwere Denkfehler dabei ist, dass man die Sicherheit eines Systems grundsätzlich nicht durch eine Prüfung beweisen kann, sondern nur dessen Un-Sicherheit:

Wenn man einen Fehler findet, dann hat das System mindestens einen Fehler.
Findet man keinen, kann es trotzdem mindestens einen unentdeckten Fehler haben.

Um Kriminellen keine Passwortknack-Anleitung zu liefern, veröffentliche ich das eigentliche Knack-Programm nicht. Der kleine Webserver, der das Passwort entgegennimmt und das ASCII-Bildchen ausliefert, ist dagegen harmlos (und dazu noch eine nette Bastelei). Deswegen hier der Quellcode:

clear && echo -e "<html><head><title>pwnedS</title></head><body><h1>and this is why... you should <u>not</u></h1><h1> leave port 3389 Tms-rdpU <u>wide open</u></h1><pre>\n                                              T\n                                            T  U\n                      .___.            ,-.  __U      NC + a:f\n       YXZ           ZZ===YY        ,-A o B-SX\n     .A+^+B.        ZZ=X_X=YY    ,-A---------B-.\n   .AZZZXYYYB.     ZZ=======YY    X [+]   [+] X   .-------------.\n  ZZZZZZXYYYYYY   ZZXXXAQBXXXYY   X    ___    X  < huff, puff  >\n ZTTXXX^..XXXUUY  XXXXX.^ XXXXX   X   X   X  ZZ   B--v----------A\n  TTXXXTooUXXXU   XXXXXoU XXXXX   X   XA  X  X..~~~O\n                                            {   ~vvA\n        X                            X        X\n        X                            X       >O<\n        X                            X             Y__this is the big bad wolf\n        Y__this is your server       X\n                                     Y__this is what it should look like\n</pre></body></html>"|tr "X" "\|"|tr Y "\\\\"|tr "Z" "/"|tr "A" "'"|tr "B" "\`"|tr "S" "!"|tr "T" "("|tr "U" ")" | tr "Q" "\""|nc -l -p 4223 -q 1 |grep GET|sed -e's/^GET \///' -e's/HTTP.*//'

Haben Sie gefunden, wonach Sie hier gesucht haben? Fehlt Ihnen eine Information?

Kontaktieren Sie mich hier!