Abo
  • Services:
Anzeige
Bezahlung nach TVöD Bund in der Entgeltgruppe 14 und eine tarifliche Sonderzulage von 400 Euro monatlich: Wie wär's mit einem Job beim BND?
Bezahlung nach TVöD Bund in der Entgeltgruppe 14 und eine tarifliche Sonderzulage von 400 Euro monatlich: Wie wär's mit einem Job beim BND? (Bild: BND/Screenshot: Golem.de)

Gab es einen Inside-Hacker?

Somit haben wir wohl alle Herausforderungen des BND gelöst. Eine Sache stellte uns allerdings noch vor Fragen: Die Datei readFile.c hat ein jüngeres Änderungsdatum als die kompilierte Version. Sie wurde am 23. November um 14:30 Uhr verändert. Aus den gelöschten Server-Logs wissen wir, dass der Angreifer zu diesem Zeitpunkt bereits auf dem System war.

Wir kompilieren readFile.c selbst und vergleichen das Resultat mit dem Tool Diffoscope. Dadurch lernen wir, dass die Dateien fast identisch sind, jedoch wurde die readFile-Executable aus einer Datei webvuln.c erstellt. Wenn wir readFile.c in webvuln.c umbenennen und diese innerhalb der virtuellen Maschine kompilieren, erhalten wir exakt dieselbe Executable.

Anzeige

Ursprünglich hieß readFile.c also webvuln.c. Das erscheint seltsam. Wusste die Versicherung, dass sie hier ein unsicheres System installiert? Hat sie etwa einen Insider-Threat, also einen Hacker, der für die Versicherung arbeitet und absichtlich eine Sicherheitslücke eingebaut hat? Immerhin hatten wir vorhin schon einen Hinweis auf eine lokale IP gefunden. Darauf fanden wir keine eindeutige Antwort.

Gelöschte Passwort-Liste

Weitere Analysen wären sicher möglich. Insbesondere der Direktzugriff auf das Dateisystem und die Swap-Partition könnte weiteren Aufschluss über gelöschte Dateien und Speicherinhalte geben. So finden wir einen Hinweis auf eine Datei brunett_top_1024.txt. Die ist auf dem System nicht zu finden, allerdings ist das wohl eine bekannte Datei mit gängigen Passwörtern. Sie hat teilweise Ähnlichkeiten mit der Datei hackedPasswords.txt, die wir gefunden haben.

Wir sind uns nicht ganz sicher, ob es sich bei brunett_top_1024.txt und webvuln.c um Teile der Challenge handelt oder lediglich um Spurenartefakte, die der BND versehentlich bei der Erstellung des Images hinterlassen hat. Die Partitionen vollständig zu analysieren, wäre sehr aufwendig. Es handelt sich gepackt um 700 Megabyte, entpackt sind es knapp 400 Megabyte Swap und 8 Gigabyte Dateisystem.

Hätte es sich um eine echte Versicherungsgesellschaft gehandelt, hätten wir noch einen Ratschlag: Feuert die Web-Entwickler und das IT-Sicherheitsteam! Solche Sicherheitslücken sollte es in keinem System geben, das mit sensiblen Daten hantiert. Wir haben eher das Gefühl, auf einem Internet-of-Things-Gerät unterwegs zu sein.

Für alle Leserinnen und Leser, die künftig für den BND cybern möchten, haben wir noch ein paar gänzlich untechnische Ratschläge parat: Eine kritische Auseinandersetzung mit der Tätigkeit des künftigen Arbeitgebers wäre anzuraten. Die Golem.de-Berichterstattung über den NSA-Untersuchungsausschuss ist da sicher ein guter Anfang. Über viele Dinge wie beispielsweise die Weltraumtheorie des BND kann man sicher geteilter Ansicht sein.

Eine Auseinandersetzung mit der Hackerethik und mit diversen Fällen aus der Vergangenheit, in der Geheimdienste versucht haben, die Hackercommunity auszuspionieren, wäre sicher ebenfalls anzuraten. Das könnte allerdings dazu führen, dass mancher wegen ethischer Bedenken eine Bewerbung wieder verwirft.

 Remote-Shell in gelöschter Webserver-Logdatei

eye home zur Startseite
Loading... 05. Mai 2017

Mag ja solche Challenges und würde sie gerne, wie vorgesehen lösen, also nicht über den...

digidax 05. Apr 2017

In welcher Datei wurde der Logeintrag: 192.168.1.11 - - [23/Nov/2016:10:13:32 +0100...

N3X 04. Apr 2017

Hallo Golem Team, ihr schreibt, dass es für einen Angreifer nicht möglich sei zu...

N3X 03. Apr 2017

hat hiermit recht wenig zu tun. Schau dir mal die VM an, und wie die Auth. abläuft. Du...

ClausWARE 21. Mär 2017

Also das Fazit am ende ließt sich nicht gerade wie Wrbung für den BND.



Anzeige

Stellenmarkt
  1. über Harvey Nash GmbH, Raum Ludwigsburg
  2. Wüstenrot & Württembergische Informatik GmbH, Ludwigsburg
  3. Paulinenpflege Winnenden, Stuttgart
  4. Bundesamt für Strahlenschutz, Berlin


Anzeige
Spiele-Angebote
  1. 20,99€
  2. 1,64€
  3. (-15%) 25,49€

Folgen Sie uns
       


  1. SNES Classic Mini

    Nintendo bringt 20 Klassiker und ein neues Spiel

  2. Wahlprogramm

    SPD will 90 Prozent der Gebäude mit Gigabit-Netzen versorgen

  3. Erziehung

    Erst schriftliche Einwilligung, dann Whatsapp für Kinder

  4. Grafikkarte

    Sapphire bringt Radeon RX 470 für Mining

  5. Betrug

    FTTH-Betreiber wehren sich gegen Glasfaser-Werbelügen

  6. Gamescom

    Mehr Fläche, mehr Merkel und mehr Andrang

  7. Anki Cozmo ausprobiert

    Niedlicher Programmieren lernen und spielen

  8. Hyperkonvergenz

    Red Hat präsentiert freie hyperkonvergente Infrastruktur

  9. Deutsche Telekom

    Narrowband-IoT-Servicepakete ab 200 Euro

  10. Malware

    Der unvollständige Ransomware-Schutz von Windows 10 S



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mesh- und Bridge-Systeme in der Praxis: Mehr WLAN-Access-Points, mehr Spaß
Mesh- und Bridge-Systeme in der Praxis
Mehr WLAN-Access-Points, mehr Spaß
  1. Eero 2.0 Neues Mesh-WLAN-System kann sich auch per Kabel vernetzen
  2. BVG Fast alle Berliner U-Bahnhöfe haben offenes WLAN
  3. Broadcom-Sicherheitslücke Vom WLAN-Chip das Smartphone übernehmen

Neues iPad Pro im Test: Von der Hardware her ein Laptop
Neues iPad Pro im Test
Von der Hardware her ein Laptop
  1. iFixit iPad Pro 10,5 Zoll intern ein geschrumpftes 12,9 Zoll Modell
  2. Office kostenpflichtig Das iPad Pro 10,5 Zoll ist Microsoft zu groß
  3. Hintergrundbeleuchtung Logitech bringt Hülle mit abnehmbarer Tastatur für iPad Pro

Oneplus Five im Test: Der Oneplus-Nimbus verblasst - ein bisschen
Oneplus Five im Test
Der Oneplus-Nimbus verblasst - ein bisschen

  1. Re: Schlechter Artikel

    Ovaron | 21:03

  2. Ich höre die Halsabschneider Händler schon ihre...

    ManMashine | 21:02

  3. Re: Sexuelle Belästigung ist scheiße!

    divStar | 20:59

  4. Re: A pro pos "mindestens 50 Mbit"

    Ovaron | 20:56

  5. Re: Lohnt sich ein Besuch überhaupt?

    hoben | 20:56


  1. 19:30

  2. 18:32

  3. 18:15

  4. 18:03

  5. 17:47

  6. 17:29

  7. 17:00

  8. 16:23


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel