"just got hacked"

To: user@skolelinux.de
Subject: "just got hacked"
From: Stefan Padberg <epost@stefan-padberg.de>
Date: Fri, 1 Dec 2006 10:16:29 +0100
Message-id: <[🔎] 200612011016.29955.epost@stefan-padberg.de>
Reply-to: epost@stefan-padberg.de

Hallo!

Heute morgen fand ich auf meinem Skolelinux-Desktop in der Schule die 
freundliche Mitteilung einiger Schüler, dass sie sich in den Besitz von 
mehreren Dutzend Passwörtern hatten bringen können, u.a. auch das 
root-Passwort. Letzteres hätten sie auch verändert. Netterweise hinterliessen 
sie auch eine Telefonnummer für "kostenpflichtigen Hotline-Support".

Meine Untersuchung ergab, dass eine Reihe von Passwörtern in Textdateien 
im '/root'-Verzeichnis standen und dass das '/root'-Verzeichnis für jeden 
lesbar war. Die sicherheitskritischen Dateien standen dort noch aus uralten 
Zeiten, als das System von einer Maschine auf eine andere umzog. Es waren 
also zum großen Teil ältere Daten, die entsprechenden Schüler zum Teil gar 
nicht mehr an der Schule. Ob der Systemadministrator (also ich) oder 
derjenige, der damals die Migration durchgeführt hat, dieses Scheunentor 
offen gelassen hat, läßt sich heute wahrscheinlich gar nicht mehr mit 
Sicherheit feststellen.

Ärgerlich war, dass in einem Migrations-Skript das neue root-Passwort 
drinstand. Damit war den Schülern ihre Siegestrophäe sicher.

Das ganze läuft also unter der Kategorie "Menschliches Versagen gegen 
sportlichen Ehrgeiz". Es hätte aber auch anders kommen können. Zum Glück 
haben wir auf dem Server noch keine Lehreraccounts. Das wäre ziemlich 
katastrophal gewesen, wenn Lehreraccounts in Mitleidenschaft gezogen worden 
wären, und hätte dem Ruf des Systems sehr geschadet.

Wenn ich über Konsequenzen nachdenke, so fällt mir sofort Folgendes ein:

Mich ärgert schon lange, dass ich mich als Normaluser kreuz und quer in der 
gesamten Verzeichnishierarchie lesend bewegen kann. Das erzeugt bei manchen 
Leuten einen völlig unnötigen Dauerreiz, irgend etwas Sicherheitskritisches 
zu finden. Unabhängig davon, wie das umgesetzt werden kann, wäre mir wohler, 
der Normaluser wäre komplett auf sein Persönliches Verzeichnis beschränkt. 
Inwieweit er noch lesenden Zugriff auf Verzeichnisse des 'bin''-Pfades 
benötigt, müßte man noch überlegen, aber eigentlich benötigt er das nicht.

In einem solcherart konfigurierten System kann es auch kein 'pub'-Verzeichnis 
geben, da man ja von außen darauf nicht zugreifen könnte. Andere 
Möglichkeiten der server- bzw. netzwerkinternen Kommunikation müßten 
stattdessen zur Verfügung gestellt werden. Ich denke hier vor allem an 
Groupware-ähnliche Möglichkeiten über ein Webinterface.

Für das Unterrichten ist es bei uns zunehmend auch so, dass das Bedürfnis 
entsteht, für den jeweiligen Unterricht speziell konfigurierte Lernumgebungen 
zu haben, damit man nicht ständig die Schüler davon abhalten muss, zu surfen 
oder zu spielen. Damit würde dann auch die Notwendigkeit entfallen, von 
Lehrerseite aus die Unterrichtsmaterialen in einem 'pub'-Verzeichnis zur 
Verfügung zu stellen. Wie sind die Erfahrungen mit 'moodle' in diesem 
Zusammenhang?

Über sachdienliche Vorschläge würde ich mich freuen.

Gruß
Stefan Padberg
Rudolf Steiner Schule Wuppertal

Reply to:

Follow-Ups:
- Re: "just got hacked"
  - From: Harald Meyer <harald_meyer2@web.de>
- Re: "just got hacked"
  - From: Peter Voigt <peter.voigt1@gmx.net>
- Re: "just got hacked"
  - From: Alexander Schmehl <alexander@schmehl.info>
- Re: "just got hacked"
  - From: Florian Reitmeir <florian@reitmeir.org>
- Re: "just got hacked"
  - From: Stefan Padberg <epost@stefan-padberg.de>

Prev by Date: Re: account-sharing unterbinden
Next by Date: Re: "just got hacked"
Previous by thread: Re: account-sharing unterbinden
Next by thread: Re: "just got hacked"
Index(es):
- Date
- Thread