Viele Webseiten nach wie vor angreifbar

Einige Betreiber haben auf die Hinweise noch nicht reagiert - andere wiederum schon. Unter den betroffenen Webseiten war beispielsweise auch der Onlineshop Badshop.de. Durch die Preisgabe der .DS_Store-Datei waren Shell-Scripte, Logdateien, CSV-Dateien, Backupscripts und Lizenzdateien für Angreifer erreichbar. Die Betreiber haben auf den Hinweis durch Internetwache.org reagiert und die .DS_Store-Datei entfernt.

Stellenmarkt
  1. Specialist IT Strategy and IT Compliance (m/w/d)
    Allianz Kunde und Markt GmbH, Unterföhring (bei München)
  2. Mobile Engineer (m/f/x)
    Liftric GmbH, Mannheim
Detailsuche

Da im Rahmen des Scans auch die Dateinamen und Dateitypen erfasst wurden, auf die innerhalb aller .DS_Store-Dateien referenziert wurde, lässt sich relativ präzise sagen, welche Namenskonventionen von Administratoren oder Tools genutzt werden. So fanden sich zum Beispiel 661 Dateien mit der Endung .bak, 248 Logdateien (Endung .log), 162 Konfigurationsdateien (Endung .config) und 123 Datenbankdumps (Endung .sql). Des Weiteren waren 266 E-Mails (Endung .eml) und 10 Schlüssel (.key) aufspürbar. Ob diese Informationen absichtlich erreichbar sind, lässt sich schwer beurteilen - es ist allerdings davon auszugehen, dass ein Großteil nicht für Dritte abrufbar sein sollte.

Dass die Informationspreisgabe tatsächlich Probleme verursachen kann, zeigt eine Meldung des Sicherheitsforschers Lewerkun. Im Rahmen des Bug-Bounty-Programms von Twitter fand der Sicherheitsforscher vor zwei Jahren durch diese Methode unter anderem Lizenzschlüssel, ein WLAN-Zertifikat und ein CA-Zertifikat. Er erhielt von Twitter dafür eine Belohnung in Höhe von 560 US-Dollar.

Kurioses zum Fund und simple Gegenmaßnahmen

Offensichtlich haben andere größere Unternehmen ein Problembewusstsein zur .DS_Store-Datei entwickelt, Apple selbst aber kaum. Adobe weist in einem Hilfsartikel zum Programm 'Dreamweaver' beispielsweise explizit darauf hin, dass die .DS_Store-Datei besser zu entfernen sei. Allerdings wird als Gegenmaßnahme vorgeschlagen, einen Cronjob einzurichten, der prüft, ob die Datei vorliegt und sie dann löscht. Dieses Verhalten birgt aber immer noch einige Gefahren, denn eine gewisse Zeit liegen die Dateien immer noch abrufbar im Webverzeichnis, nämlich bis zum nächsten Durchlauf des Cronjobs. Zum anderen ist offensichtlich, dass die Verhinderung des Uploads oder des Abrufens der Datei vom Webserver deutlich zielführender ist.

Golem Karrierewelt
  1. Adobe Premiere Pro Grundkurs: virtueller Zwei-Tage-Workshop
    16./17.03.2023, Virtuell
  2. Adobe Photoshop Grundkurs: virtueller Drei-Tage-Workshop
    12.-14.04.2023, Virtuell
Weitere IT-Trainings

Der IT-Sicherheitsforscher und Golem.de-Autor Hanno Böck konnte vor einiger Zeit beispielsweise feststellen, dass unter umziehen.de/dump.sql ein Datenbankbackup ohne Authentifizierung zum Download bereitstand. Das ist ein wahrer Datenschutzskandal, der mit der EU-Datenschutzgrundverordnung so manches Unternehmen teuer zu stehen kommen wird.

Einer der Erfinder von .DS_Store entschuldigt sich in einem Blogpost aus dem Jahr 2006 dafür, dass zum einen der Name nicht besonders gut gewählt sei, zum anderen die massenhafte Erstellung von .DS_Store-Dateien nicht beabsichtigt, sondern ein Bug sei. Seiner Aussage nach sollte die Datei nur erstellt werden, wenn Nutzer tatsächliche Änderungen in einem Ordner vornehmen. Allerdings erfolgt die Erstellung oftmals schon bei Betrachtung von Verzeichnissen.

Die .DS_Store-Datei sollte den meisten Lesern bekannt sein, sofern diese schon einmal Dateien von einem Mac-OS- auf einen Windows-Rechner übertragen haben, denn nach einer solchen Dateiübertragung findet sich in zahlreichen Ordnern eine Datei mit dem Namen .DS_Store, obwohl diese nie bewusst erstellt wurde. Auch bei der Übertragung von Dateien auf USB-Medien oder der Erstellung von ZIP-Dateien mittels Mac OS kann es zur Erstellung von .DS_Store-Dateien kommen.

Durch das Tool zum Parsen von .DS_Store-Dateien von Internetwache.org haben Angreifer demnächst möglicherweise ein leichteres Spiel, ungeschützte Dateien in Webverzeichnissen aufzuspüren - Administratoren sollten deshalb schnell reagieren und prüfen, ob auf ihrem Webserver .DS_Store-Dateien liegen und in dem Fall Gegenmaßnahmen implementieren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Websicherheit: Apple-Datei auf Webservern verrät Verzeichnisinhalte
  1.  
  2. 1
  3. 2


Nick van Hill 18. Mai 2019

Was gibt's dort zu sehen? Bitte um Spoiler, hab keine Lust es zu installieren. Aber du...

sori 15. Mai 2018

(entschuldigt die eher späte Antwort; ging zwischen den Tabs iwie vergessen...) Was ich...

phade 22. Mär 2018

Ich freu mich immer sehr, wenn auch RPMs oder diverse andere Pakete diese Dateien...

zZz 17. Mär 2018

Sehe ich genauso!



Aktuell auf der Startseite von Golem.de
Telekom-Internet-Booster
Hybridzugang für über 600 MBit/s inhouse kommt

Der Hybridzugang, bei dem der Router die Datenrate aus Festnetz und 5G-Mobilfunknetz aggregiert, wurde schon lange erwartet. Jetzt liefert die Telekom.

Telekom-Internet-Booster: Hybridzugang für über 600 MBit/s inhouse kommt
Artikel
  1. Luftfahrt: Boeing zeigt Konzept eines Tarnkappen-Transportflugzeugs
    Luftfahrt
    Boeing zeigt Konzept eines Tarnkappen-Transportflugzeugs

    Um weniger angreifbar zu sein, sollen militärische Transportflugzeuge künftig mit Tarnkappentechnik ausgestattet werden, wie Boeing zeigt.

  2. Quartalsbericht: IBM streicht 3.900 Stellen
    Quartalsbericht
    IBM streicht 3.900 Stellen

    Auch nach der Ausgründung sind die Techies bei Kyndryl nicht vor einem Stellenabbau sicher. IBM macht es wie die übrige Techbranche.

  3. Pinecil im Test: Ein toller Lötkolben mit RISC-V-Prozessor
    Pinecil im Test
    Ein toller Lötkolben mit RISC-V-Prozessor

    Günstig, leistungsstark und Open Source: Das macht den Lötkolben Pinecil interessant und er überzeugt im Test - auch im Vergleich mit einer JBC-Lötstation.
    Ein Test von Johannes Hiltscher

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RAM & Grakas im Preisrutsch • PS5 ab Lager bei Amazon • MindStar: MSI RTX 4090 1.899€, Sapphire RX 7900 XT 949€ • WSV: Bis -70% bei Media Markt • Gaming-Stühle Razer & HP bis -41% • 3D-Drucker 249€ • Kingston SSD 1TB 49€ • Asus RTX 4080 1.399€ • Razer bis -60% [Werbung]
    •  /