Abo
  • Services:
Anzeige
Bezahlung nach TVöD Bund in der Entgeltgruppe 14 und eine tarifliche Sonderzulage von 400 Euro monatlich: Wie wär's mit einem Job beim BND?
Bezahlung nach TVöD Bund in der Entgeltgruppe 14 und eine tarifliche Sonderzulage von 400 Euro monatlich: Wie wär's mit einem Job beim BND? (Bild: BND/Screenshot: Golem.de)

Gab es einen Inside-Hacker?

Somit haben wir wohl alle Herausforderungen des BND gelöst. Eine Sache stellte uns allerdings noch vor Fragen: Die Datei readFile.c hat ein jüngeres Änderungsdatum als die kompilierte Version. Sie wurde am 23. November um 14:30 Uhr verändert. Aus den gelöschten Server-Logs wissen wir, dass der Angreifer zu diesem Zeitpunkt bereits auf dem System war.

Wir kompilieren readFile.c selbst und vergleichen das Resultat mit dem Tool Diffoscope. Dadurch lernen wir, dass die Dateien fast identisch sind, jedoch wurde die readFile-Executable aus einer Datei webvuln.c erstellt. Wenn wir readFile.c in webvuln.c umbenennen und diese innerhalb der virtuellen Maschine kompilieren, erhalten wir exakt dieselbe Executable.

Anzeige

Ursprünglich hieß readFile.c also webvuln.c. Das erscheint seltsam. Wusste die Versicherung, dass sie hier ein unsicheres System installiert? Hat sie etwa einen Insider-Threat, also einen Hacker, der für die Versicherung arbeitet und absichtlich eine Sicherheitslücke eingebaut hat? Immerhin hatten wir vorhin schon einen Hinweis auf eine lokale IP gefunden. Darauf fanden wir keine eindeutige Antwort.

Gelöschte Passwort-Liste

Weitere Analysen wären sicher möglich. Insbesondere der Direktzugriff auf das Dateisystem und die Swap-Partition könnte weiteren Aufschluss über gelöschte Dateien und Speicherinhalte geben. So finden wir einen Hinweis auf eine Datei brunett_top_1024.txt. Die ist auf dem System nicht zu finden, allerdings ist das wohl eine bekannte Datei mit gängigen Passwörtern. Sie hat teilweise Ähnlichkeiten mit der Datei hackedPasswords.txt, die wir gefunden haben.

Wir sind uns nicht ganz sicher, ob es sich bei brunett_top_1024.txt und webvuln.c um Teile der Challenge handelt oder lediglich um Spurenartefakte, die der BND versehentlich bei der Erstellung des Images hinterlassen hat. Die Partitionen vollständig zu analysieren, wäre sehr aufwendig. Es handelt sich gepackt um 700 Megabyte, entpackt sind es knapp 400 Megabyte Swap und 8 Gigabyte Dateisystem.

Hätte es sich um eine echte Versicherungsgesellschaft gehandelt, hätten wir noch einen Ratschlag: Feuert die Web-Entwickler und das IT-Sicherheitsteam! Solche Sicherheitslücken sollte es in keinem System geben, das mit sensiblen Daten hantiert. Wir haben eher das Gefühl, auf einem Internet-of-Things-Gerät unterwegs zu sein.

Für alle Leserinnen und Leser, die künftig für den BND cybern möchten, haben wir noch ein paar gänzlich untechnische Ratschläge parat: Eine kritische Auseinandersetzung mit der Tätigkeit des künftigen Arbeitgebers wäre anzuraten. Die Golem.de-Berichterstattung über den NSA-Untersuchungsausschuss ist da sicher ein guter Anfang. Über viele Dinge wie beispielsweise die Weltraumtheorie des BND kann man sicher geteilter Ansicht sein.

Eine Auseinandersetzung mit der Hackerethik und mit diversen Fällen aus der Vergangenheit, in der Geheimdienste versucht haben, die Hackercommunity auszuspionieren, wäre sicher ebenfalls anzuraten. Das könnte allerdings dazu führen, dass mancher wegen ethischer Bedenken eine Bewerbung wieder verwirft.

 Remote-Shell in gelöschter Webserver-Logdatei

eye home zur Startseite
digidax 05. Apr 2017

In welcher Datei wurde der Logeintrag: 192.168.1.11 - - [23/Nov/2016:10:13:32 +0100...

Themenstart

N3X 04. Apr 2017

Hallo Golem Team, ihr schreibt, dass es für einen Angreifer nicht möglich sei zu...

Themenstart

N3X 03. Apr 2017

hat hiermit recht wenig zu tun. Schau dir mal die VM an, und wie die Auth. abläuft. Du...

Themenstart

ClausWARE 21. Mär 2017

Also das Fazit am ende ließt sich nicht gerade wie Wrbung für den BND.

Themenstart

ffx2010 18. Mär 2017

Ok, dann möchte ich mich hiermit entschuldigen für den harschen Ton. Trotzdem habe doch...

Themenstart

Kommentieren



Anzeige

Stellenmarkt
  1. domainfactory GmbH, Ismaning
  2. T-Systems International GmbH, Berlin, Bonn
  3. Rechenzentrum Region Stuttgart GmbH, Stuttgart
  4. Deutsche Telekom AG, Darmstadt


Anzeige
Spiele-Angebote
  1. 16,10€ zzgl. 5€ Versand
  2. 12,99€
  3. 69,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. Privacy Phone

    John McAfee stellt fragwürdiges Smartphone vor

  2. Hacon

    Siemens übernimmt Software-Anbieter aus Hannover

  3. Quartalszahlen

    Intel bestätigt Skylake-Xeons für Sommer 2017

  4. Sony

    20 Millionen Playstation im Geschäftsjahr verkauft

  5. Razer Lancehead

    Symmetrische 16.000-dpi-Maus läuft ohne Cloud-Zwang

  6. TV

    SD-Abschaltung kommt auch bei Satellitenfernsehen

  7. ZBook G4

    HP stellt Grafiker-Workstations für unterwegs vor

  8. Messenger Lite

    Facebook bringt abgespeckte Messenger-App nach Deutschland

  9. Intel

    Edison-Module und Arduino-Board werden eingestellt

  10. Linux-Distribution

    Debian 9 verzichtet auf Secure-Boot-Unterstützung



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Elektromobilität: Wie kommt der Strom in die Tiefgarage?
Elektromobilität
Wie kommt der Strom in die Tiefgarage?
  1. e.GO Life Elektroauto aus Deutschland für 15.900 Euro
  2. Elektroauto VW testet E-Trucks
  3. Elektroauto Opel Ampera-E kostet inklusive Prämie ab 34.950 Euro

In eigener Sache: Die Quanten kommen!
In eigener Sache
Die Quanten kommen!
  1. In eigener Sache Golem.de führt kostenpflichtige Links ein
  2. In eigener Sache Golem.de sucht Marketing Manager (w/m)
  3. In eigener Sache Golem.de geht auf Jobmessen

Snap Spectacles im Test: Das Brillen-Spektakel für Snapchat-Fans
Snap Spectacles im Test
Das Brillen-Spektakel für Snapchat-Fans
  1. Kamera Facebook macht schicke Bilder und löscht sie dann wieder
  2. Snap Spectacles Snap verkauft Sonnenbrille mit Kamera für 130 US-Dollar
  3. Soziales Netzwerk Snapchat geht an die Börse - und Google profitiert

  1. Re: an alle Debian Mitarbeiter ...

    /usr/ | 01:46

  2. Re: Nach Abschaltung kostenfrei?

    cepe | 01:38

  3. Re: Freizeit

    MINTiKi | 01:27

  4. Bin nach Jahren wieder bei Logitech

    Eron | 01:22

  5. Re: Objektiv oder Subjektiv

    plutoniumsulfat | 01:18


  1. 18:05

  2. 17:30

  3. 17:08

  4. 16:51

  5. 16:31

  6. 16:10

  7. 16:00

  8. 15:26


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel