Online Suche im Handbuch | LITTLE-IDIOT NETWORKING |
Wenn man so durch die Log-Files eines WWW-Servers schaut und bei RIPE den Besitzer der IP - Nummern ermittelt, dann wird einem klar, daß es doch einige User in Unternehmen gibt, die während der Arbeitszeit gerne über WWW mit anderen Leuten chatten, oder auch gerne Witzeseiten auf irgendwelchen Servern lesen. Ich erstelle also ein paar Witzeseiten mit deutschen und holländischen Witzen. Danach schicke ich eine E-Mail an eine Bekannte aus dem Unternehmen mit ein paar Witzen von dieser Seite vorab und dem Link auf diese Seite hintendran. Ich schaue mir die Log-Files an. Niemand sonst kennt diese WWW-Seite: http://www.little-idiot.de/bse/. Nach ein paar Stunden sehe ich ein paar Hits. Mit meinem automatischen Skript erfahre ich, daß die IP - Nummer zu einem holländischen Provider gehört, RIPE machts möglich. Die deutschen Mitarbeiter dieses holländischen Chemieunternehmens sind also über eine Standleitung mit der Zentrale in Holland verbunden und nutzen deren Internet-Gateway. Ich scanne dieses Gateway mit dem ISS Security Scanner und stelle fest, daß eine gut installierte Firewall dahintersteckt.
In den folgenden Tagen sehe ich mehrere Abrufe, die alle über dieses Gateway laufen.
Doch plötzlich bemerke ich in den Log-Files eine andere IP - Nummer, die auch zu einem holländischen Provider gehört. Ich scanne sofort und bemerke, daß dieses ein LINUX Server ist, der eine veraltete Linux Version trägt, auf welcher auch keine Firewall aktiv ist. Der Scanner meldet eine Sicherheitslücke im POP3 Dämon. Ich setze einen Dauer-PING auf diese IP - Nummer, damit das Modem nicht auflegt, und suche schnell den passenden EXPLOIT auf http://www.rootshell.com, installiere diesen und starte ihn. Ich befinde mich nun in einer SHELL auf einem unbekannten LINUX Server. Mein Instinkt sagt mir jedoch, daß dieser Server zu einem Mitarbeiter des Chemieunternehmens gehört, der seinen eigenen Internet-Anschluß mit LINUX realisiert hat, schließlich kennen wahrscheinlich nur Mitarbeiter dieses Unternehmens meine Internet-Seite, und es ist höchst wahrscheinlich, daß meine E-Mail einen schnellen Verbreitungsgrad unter den Mitarbeitern hatte.
Ich schaue mich also auf dem Server ein wenig um. Ich sehe wenig interessantes, außer ein paar SQL Datenbankfiles, wo offensichtlich ein Mitarbeiter unter MySQL eine ACCESS Anbindung realisiert hat. Ich schaue mir die Inhalte dieser Datenbank an: Es sind Protokolle über riesige Versuchsreihen mit Giftstoffen in Kunststoff und die Resistenz gegen Pilze und Bakterien. Ein riesiges Arsenal an geballter Erfahrung über die Haltbarkeit von Kunststoffen.
Ich befinde mich direkt in der Forschungsabteilung dieses Unternehmens, wo ein Mitarbeiter, ein Doktor der Chemie aufgrund seiner jahrelangen Verbundenheit zum UNIX Betriebssystem während seiner Promotion, das Bedürfnis hatte, seinen eigenen UNIX-Server zu betreiben. Ich hätte einen DIAL-IN Dämon installieren können, der sich regelmäßig einwählt und einen Eintrag in den Log-Files meines Servers hinterläßt. Mit Hilfe dieser Sicherheitslücke im POP3 Dämon wäre ich somit immer in der Lage, ohne Log-Einträge zu hinterlassen, mich auf Servern im Unternehmen länger unbemerkt umzuschauen.
Ich benachrichtige also die Geschäftsleitung dieses Unternehmens, daß ich wichtige Daten aus dem Netzwerk hinter der Firewall besitze und erzähle, wie ich an die Daten gelangt bin.
Der Kommentar: So einfach hatten wir uns das nicht vorgestellt.......
Online Suche im Handbuch | LITTLE-IDIOT NETWORKING |