Gab es einen Inside-Hacker?

Somit haben wir wohl alle Herausforderungen des BND gelöst. Eine Sache stellte uns allerdings noch vor Fragen: Die Datei readFile.c hat ein jüngeres Änderungsdatum als die kompilierte Version. Sie wurde am 23. November um 14:30 Uhr verändert. Aus den gelöschten Server-Logs wissen wir, dass der Angreifer zu diesem Zeitpunkt bereits auf dem System war.

Stellenmarkt
  1. KIS-Betreuer iMedOne (m/w/d)
    Helios IT Service GmbH, Leipzig
  2. Full Stack Java Software Developer (m/w/d)
    NOVENTI Health SE, Lübeck (Home-Office möglich)
Detailsuche

Wir kompilieren readFile.c selbst und vergleichen das Resultat mit dem Tool Diffoscope. Dadurch lernen wir, dass die Dateien fast identisch sind, jedoch wurde die readFile-Executable aus einer Datei webvuln.c erstellt. Wenn wir readFile.c in webvuln.c umbenennen und diese innerhalb der virtuellen Maschine kompilieren, erhalten wir exakt dieselbe Executable.

Ursprünglich hieß readFile.c also webvuln.c. Das erscheint seltsam. Wusste die Versicherung, dass sie hier ein unsicheres System installiert? Hat sie etwa einen Insider-Threat, also einen Hacker, der für die Versicherung arbeitet und absichtlich eine Sicherheitslücke eingebaut hat? Immerhin hatten wir vorhin schon einen Hinweis auf eine lokale IP gefunden. Darauf fanden wir keine eindeutige Antwort.

Gelöschte Passwort-Liste

Weitere Analysen wären sicher möglich. Insbesondere der Direktzugriff auf das Dateisystem und die Swap-Partition könnte weiteren Aufschluss über gelöschte Dateien und Speicherinhalte geben. So finden wir einen Hinweis auf eine Datei brunett_top_1024.txt. Die ist auf dem System nicht zu finden, allerdings ist das wohl eine bekannte Datei mit gängigen Passwörtern. Sie hat teilweise Ähnlichkeiten mit der Datei hackedPasswords.txt, die wir gefunden haben.

Golem Akademie
  1. Hands-on C# Programmierung: virtueller Zwei-Tage-Workshop
    1.–2. Dezember 2021, virtuell
  2. Jira für Anwender: virtueller Ein-Tages-Workshop
    10. November 2021, virtuell
Weitere IT-Trainings

Wir sind uns nicht ganz sicher, ob es sich bei brunett_top_1024.txt und webvuln.c um Teile der Challenge handelt oder lediglich um Spurenartefakte, die der BND versehentlich bei der Erstellung des Images hinterlassen hat. Die Partitionen vollständig zu analysieren, wäre sehr aufwendig. Es handelt sich gepackt um 700 Megabyte, entpackt sind es knapp 400 Megabyte Swap und 8 Gigabyte Dateisystem.

Hätte es sich um eine echte Versicherungsgesellschaft gehandelt, hätten wir noch einen Ratschlag: Feuert die Web-Entwickler und das IT-Sicherheitsteam! Solche Sicherheitslücken sollte es in keinem System geben, das mit sensiblen Daten hantiert. Wir haben eher das Gefühl, auf einem Internet-of-Things-Gerät unterwegs zu sein.

Für alle Leserinnen und Leser, die künftig für den BND cybern möchten, haben wir noch ein paar gänzlich untechnische Ratschläge parat: Eine kritische Auseinandersetzung mit der Tätigkeit des künftigen Arbeitgebers wäre anzuraten. Die Golem.de-Berichterstattung über den NSA-Untersuchungsausschuss ist da sicher ein guter Anfang. Über viele Dinge wie beispielsweise die Weltraumtheorie des BND kann man sicher geteilter Ansicht sein.

Eine Auseinandersetzung mit der Hackerethik und mit diversen Fällen aus der Vergangenheit, in der Geheimdienste versucht haben, die Hackercommunity auszuspionieren, wäre sicher ebenfalls anzuraten. Das könnte allerdings dazu führen, dass mancher wegen ethischer Bedenken eine Bewerbung wieder verwirft.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Remote-Shell in gelöschter Webserver-Logdatei
  1.  
  2. 1
  3. 2
  4. 3
  5. 4


Loading... 05. Mai 2017

Mag ja solche Challenges und würde sie gerne, wie vorgesehen lösen, also nicht über den...

digidax 05. Apr 2017

In welcher Datei wurde der Logeintrag: 192.168.1.11 - - [23/Nov/2016:10:13:32 +0100...

N3X 04. Apr 2017

Hallo Golem Team, ihr schreibt, dass es für einen Angreifer nicht möglich sei zu...

N3X 03. Apr 2017

hat hiermit recht wenig zu tun. Schau dir mal die VM an, und wie die Auth. abläuft. Du...

ClausWARE 21. Mär 2017

Also das Fazit am ende ließt sich nicht gerade wie Wrbung für den BND.



Aktuell auf der Startseite von Golem.de
Wemax Go Pro
Mini-Projektor für Reisen strahlt 120-Zoll-Bild an die Wand

Der Wemax Go Pro setzt auf Lasertechnik von Xiaomi. Der Beamer ist klein und kompakt, soll aber ein großes Bild an die Wand strahlen können.

Wemax Go Pro: Mini-Projektor für Reisen strahlt 120-Zoll-Bild an die Wand
Artikel
  1. Snapdragon 8cx Gen 3: Geleaktes Qualcomm-SoC erreicht das Niveau von AMD und Intel
    Snapdragon 8cx Gen 3
    Geleaktes Qualcomm-SoC erreicht das Niveau von AMD und Intel

    In Geekbench wurde der Qualcomm Snapdragon 8cx Gen 3 gesichtet. Er kann sich mit Intel- und AMD-CPUs messen, mit Apples M1 aber wohl nicht.

  2. Air4: Renault 4 als Flugauto neu interpretiert
    Air4
    Renault 4 als Flugauto neu interpretiert

    Der Air4 ist Renaults Idee, wie ein fliegender Renault 4 aussehen könnte. Mit der Drohne wird das 60jährige Jubiläum des Kultautos gefeiert.

  3. MS Satoshi: Die abstruse Geschichte des Bitcoin-Kreuzfahrtschiffs
    MS Satoshi
    Die abstruse Geschichte des Bitcoin-Kreuzfahrtschiffs

    Kryptogeld-Enthusiasten kauften ein Kreuzfahrtschiff und wollten es zum schwimmenden Freiheitsparadies machen. Allerdings scheiterten sie an jeder einzelnen Stelle.
    Von Elke Wittich

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Black Friday Wochenende • LG UltraGear 34GP950G-B 999€ • SanDisk Ultra 3D 500 GB M.2 44€ • Boxsets (u. a. Game of Thrones Blu-ray 79,97€) • Samsung Galaxy S21 128GB 777€ • Premium-Laptops (u. a. Lenovo Ideapad 5 Pro 16" 829€) • MS Surface Pro7+ 888€ • Astro Gaming Headsets [Werbung]
    •  /