Mitternachtshacking

Heise berichtet, dass der Bundestag die bisher verwendeten TAN-Listen zum Remote-Zugriff auf interne Daten abschafft und dafür Einmalpasswörter verwendet:

Nach einer erfolgreichen Testphase kommt das SecOVID-System des Wormser IT-Security-Anbieters Kobil Systems zum Einsatz.

Das Kobil SecOVID ist meines Erachtens ganz nett, hat aber einen nicht zu unterschätzenden Nachteil. Die Einmalpasswörter werden nur eventsynchronisiert und nicht zeitsynchronisiert.

Zeitsynchronisiert bedeutet in diesem Zusammenhang, dass ein Passwort nur einmal gültig ist, und das zusätzlich auch nur zu einem bestimmten Zeitpunkt. Also meinetwegen nur von 13:45:00 bis 13:45:59. Wenn sich nun jemand das Passwort aneignet, beispielsweise bei einem Blick auf das Display oder bei einer kleinen Vorführung („ui, wie funktioniert denn das?“) kann der Angreifer dieses Einmalpasswort auch nur zu diesem Zeitpunkt verwenden, müsste also sehr schnell sein mit dem Ausnutzen der Lücke. Die Produkte von RSA oder Vasco bieten so eine Zeitsynchronisation.

Eventsynchronisiert bedeutet, dass bei bestimmten Ereignissen jeweils ein neues Einmalpasswort erzeugt wird. Bei Kobil passiert das per Knopfdruck auf das SecOVID-Token. Dieses Einmalpasswort kann dann zwar nur einmal verwendet werden, bleibt jedoch so lange gültig, bis dieses oder ein später erzeugtes Passwort verwendet wurde. Der Angreifer kann sich das Token also vorführen lassen, merkt sich das Passwort und hat dann zumindest theoretisch bis zur nächsten Einwahl des berechtigten Benutzers Zeit, sich mit diesem Einmalpasswort anzumelden. Noch schlimmer, man könnte10 mal auf den Knopf drücken und sich die 10 Passwörter aufschreiben. Schon braucht man das Token nicht mehr sondern hat eine handliche Liste auf Papier, die man auch bequem kopieren kann.

Die einzige Beschränkung dabei ist, dass Kobil standardmäßig nur 10 ungenutzte Einmalpasswörter erlaubt. Wenn man also 11 mal auf das Knöpfchen drückt, ist das dann erzeugte Passwort erst gültig, wenn vorher eines verwendet wurde. Ich fürchte nur, das hat die Bundestagsverwaltung aufgebohrt, da der Spieltrieb der Abgeordneten ja bekannt ist.

Ich vermute, der Hauptgrund sich für Kobil zu entscheiden war, es ist erstens ein deutscher Anbieter und zweitens die billigste Lösung. Ach ja, und wenn das T-Systems eingerichtet hat, dann ist alles klar, weil die Telekom der wichtigste Vertriebspartner für Kobil ist.

Sehr schön … endlich mal wieder eine interessante IIS-Lücke 🙂

Auf einem Microsoft IIS 5.x auf Windows 2000 kann die Authentisierung mittels hit-highlight (webhits.dll ist der Übeltäter) umgangen werden:

Cause:

Hit-highlighting with Webhits.dll only relies on the Microsoft Windows NT Access Control List (ACL) configuration. It does not rely on non-ACL based security mechanisms such as the following:

• The Microsoft Internet Information Services (IIS) authentication configuration
• NTLM authentication
• Basic authentication
• IP address restrictions on files within the Webroot

Jede andere Firma, die sowas verbockt würde vermutlich ein „mea culpa“ schreiben und schleunigst einen Patch, Hotfix, Update oder was auch immer veröffentlichen. Nicht so Microsoft.

Status:

This behavior is by design.

Cool.

Ach ja, ein Upgrade auf IIS 6 und Windows 2003 behebt das Problem wohl.

Nachtrag: Milw0rm hat auch schon einen netten Exploit.