Dienstag, 6. Dezember 2016

Hat die KSWE ein Sicherheitsleck?

Diesen Montagabend war mir etwas langweilig, deswegen habe ich mich ein wenig mit Linuxbefehlen auf Windows auseinandergesetzt. Dabei bin ich auf den sogenannten wget-Befehl  gestossen. Mit dem lassen sich Dateien aus dem Internet herunterladen. Angenommen, auf der Downloadsektion unserer Schulwebseite gäbe es die Dateien Stundenplaene_1.pdf bis Stundenplaene_4.pdf, könnte ich meinem Computer den Befehl geben alle Dateien herunterzuladen, die mit Stundenplaene_ anfangen. So muss man nicht jede Datei einzeln herunterladen. Aber falls es jetzt aus irgendeinem Grund auch Stundenplaene_5.pdf geben würde (z.B. ein hochgeheimer Stundenplan des nächsten Semesters), der aber nicht sichtbar ist, würde er trotzdem heruntergeladen werden.

Was das jetzt alles mit der Sicherheit und dem Datenschutz der KSWE zu tun hat, fragen Sie sich jetzt vielleicht. Das ist schnell erklärt: In unserem Intranet hat jeder Schüler/Lehrer/Mitarbeiter ein Bild auf seinem Profil. Ist man nicht mehr an dieser Schule, wird das Profil gelöscht. So auch das Bild, könnte man annehmen, doch dem ist nicht so. Doch dazu gleich, zuerst wieder ein wenig zurück in der Zeit: Ich habe mal geschaut, welche Adresse das Bild von Herrn Wampfler hat. Aha: 20077.jpg und auch meins hat auch nur eine Zahl, auch das all meiner Klassenkameraden. Genauso ist es bei allen Lehrern und Mitarbeitern. Jetzt müsste Ihnen auch klar sein, was das mit diesem wget-Dingsda zu tun hat. Genau! Ich habe dem nämlich gesagt, es soll mal schauen, unter welchen Nummern es überall Bilder gibt. Das Ergebnis war gigantisch: über 3'600 Bilder. Und wie es der Zufall will, war da plötzlich das Bild meiner Cousine, und sie ist seit diesem Jahr nicht mehr an der Schule.

Jetzt können Sie noch denken, ja, ok, da ist die KSWE einfach ein wenig im Verzug mit Fotos löschen. Aber das fatalere Resultat meiner Recherche habe ich Ihnen bis jetzt noch enthalten: Jeder Mensch auf dieser Welt kann ohne Benutzernamen, Passwort oder sonstiger Authentifizierung auf 3'600 unverschlüsselte Bilder zugreifen. Solche von Personen, die unter Umständen seit Jahren nichts mehr mit dieser Schule am Hut haben. Einige Klassenkameraden konnten Geschwister erkennen, die die Schule 2014 oder noch früher abgeschlossen haben.

Nach Rücksprache mit Herrn Wampfler habe ich unsere Pro-Rektorin darauf hingewiesen. Sie versicherte rasch, dass sich jemand um den Fehler kümmern werde und bedankte sich fürs Melden. Ich hoffe dass das keine leeren Worte waren, denn wer weiss, wo das nächste Sicherheitsleck lauert. FORTSETZUNG FOLGT... 

Kann ich das auch selber testen?

Na klar: Geben Sie in ihrem Browser einfach

http://kanti-wettingen.ch/bilder/portraits/[beliebige Zahl zwischen 0 und 100000 eingeben].jpg

ein.

Beachten Sie: Nur ein kleiner Anteil Anteil an Zahlen sind effektiv belegt. Wenn Sie nicht genug Zeit haben, alles durchzutesten, werfen Sie doch einen Blick auf meine schlaue Liste, die alle mir bekannten Bilder enthält. Falls sie nicht mehr verfügbar sind, wurde die Lücke behoben.

Wurde das Problem behoben? [live]

Solange unter diesem Text das Bild von Herrn Wampfler erscheint, ist die Sicherheitslücke noch immer offen und alle Bilder sind unverschlüsselt verfügbar.

ZVG

Keine Kommentare:

Kommentar veröffentlichen