Abo
  • Services:

Viele Webseiten nach wie vor angreifbar

Einige Betreiber haben auf die Hinweise noch nicht reagiert - andere wiederum schon. Unter den betroffenen Webseiten war beispielsweise auch der Onlineshop Badshop.de. Durch die Preisgabe der .DS_Store-Datei waren Shell-Scripte, Logdateien, CSV-Dateien, Backupscripts und Lizenzdateien für Angreifer erreichbar. Die Betreiber haben auf den Hinweis durch Internetwache.org reagiert und die .DS_Store-Datei entfernt.

Stellenmarkt
  1. über duerenhoff GmbH, Raum Karlsruhe
  2. Interhyp Gruppe, München

Da im Rahmen des Scans auch die Dateinamen und Dateitypen erfasst wurden, auf die innerhalb aller .DS_Store-Dateien referenziert wurde, lässt sich relativ präzise sagen, welche Namenskonventionen von Administratoren oder Tools genutzt werden. So fanden sich zum Beispiel 661 Dateien mit der Endung .bak, 248 Logdateien (Endung .log), 162 Konfigurationsdateien (Endung .config) und 123 Datenbankdumps (Endung .sql). Des Weiteren waren 266 E-Mails (Endung .eml) und 10 Schlüssel (.key) aufspürbar. Ob diese Informationen absichtlich erreichbar sind, lässt sich schwer beurteilen - es ist allerdings davon auszugehen, dass ein Großteil nicht für Dritte abrufbar sein sollte.

Dass die Informationspreisgabe tatsächlich Probleme verursachen kann, zeigt eine Meldung des Sicherheitsforschers Lewerkun. Im Rahmen des Bug-Bounty-Programms von Twitter fand der Sicherheitsforscher vor zwei Jahren durch diese Methode unter anderem Lizenzschlüssel, ein WLAN-Zertifikat und ein CA-Zertifikat. Er erhielt von Twitter dafür eine Belohnung in Höhe von 560 US-Dollar.

Kurioses zum Fund und simple Gegenmaßnahmen

Offensichtlich haben andere größere Unternehmen ein Problembewusstsein zur .DS_Store-Datei entwickelt, Apple selbst aber kaum. Adobe weist in einem Hilfsartikel zum Programm 'Dreamweaver' beispielsweise explizit darauf hin, dass die .DS_Store-Datei besser zu entfernen sei. Allerdings wird als Gegenmaßnahme vorgeschlagen, einen Cronjob einzurichten, der prüft, ob die Datei vorliegt und sie dann löscht. Dieses Verhalten birgt aber immer noch einige Gefahren, denn eine gewisse Zeit liegen die Dateien immer noch abrufbar im Webverzeichnis, nämlich bis zum nächsten Durchlauf des Cronjobs. Zum anderen ist offensichtlich, dass die Verhinderung des Uploads oder des Abrufens der Datei vom Webserver deutlich zielführender ist.

Der IT-Sicherheitsforscher und Golem.de-Autor Hanno Böck konnte vor einiger Zeit beispielsweise feststellen, dass unter umziehen.de/dump.sql ein Datenbankbackup ohne Authentifizierung zum Download bereitstand. Das ist ein wahrer Datenschutzskandal, der mit der EU-Datenschutzgrundverordnung so manches Unternehmen teuer zu stehen kommen wird.

Einer der Erfinder von .DS_Store entschuldigt sich in einem Blogpost aus dem Jahr 2006 dafür, dass zum einen der Name nicht besonders gut gewählt sei, zum anderen die massenhafte Erstellung von .DS_Store-Dateien nicht beabsichtigt, sondern ein Bug sei. Seiner Aussage nach sollte die Datei nur erstellt werden, wenn Nutzer tatsächliche Änderungen in einem Ordner vornehmen. Allerdings erfolgt die Erstellung oftmals schon bei Betrachtung von Verzeichnissen.

Die .DS_Store-Datei sollte den meisten Lesern bekannt sein, sofern diese schon einmal Dateien von einem Mac-OS- auf einen Windows-Rechner übertragen haben, denn nach einer solchen Dateiübertragung findet sich in zahlreichen Ordnern eine Datei mit dem Namen .DS_Store, obwohl diese nie bewusst erstellt wurde. Auch bei der Übertragung von Dateien auf USB-Medien oder der Erstellung von ZIP-Dateien mittels Mac OS kann es zur Erstellung von .DS_Store-Dateien kommen.

Durch das Tool zum Parsen von .DS_Store-Dateien von Internetwache.org haben Angreifer demnächst möglicherweise ein leichteres Spiel, ungeschützte Dateien in Webverzeichnissen aufzuspüren - Administratoren sollten deshalb schnell reagieren und prüfen, ob auf ihrem Webserver .DS_Store-Dateien liegen und in dem Fall Gegenmaßnahmen implementieren.

 Websicherheit: Apple-Datei auf Webservern verrät Verzeichnisinhalte
  1.  
  2. 1
  3. 2


Anzeige
Blu-ray-Angebote
  1. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)
  2. (u. a. Logan, John Wick, Alien Covenant, Planet der Affen Survival)

sori 15. Mai 2018

(entschuldigt die eher späte Antwort; ging zwischen den Tabs iwie vergessen...) Was ich...

phade 22. Mär 2018

Ich freu mich immer sehr, wenn auch RPMs oder diverse andere Pakete diese Dateien...

zZz 17. Mär 2018

Sehe ich genauso!

MadDoc 15. Mär 2018

Anscheinend weiß Microsoft das selber noch nicht. --> https://answers.microsoft.com/en-us...

MadDoc 15. Mär 2018

Dann sag bitte mal unbedingt Microsoft bescheid. Die scheinen das selber noch nicht zu...


Folgen Sie uns
       


Ladevorgang beim Audi E-Tron

Wie schnell lässt sich der neue Audi E-Tron tatsächlich laden?

Ladevorgang beim Audi E-Tron Video aufrufen
Apple Mac Mini (Late 2018) im Test: Tolles teures Teil - aber für wen?
Apple Mac Mini (Late 2018) im Test
Tolles teures Teil - aber für wen?

Der Mac Mini ist ein gutes Gerät, wenngleich der Preis für die Einstiegsvariante von Apple arg hoch angesetzt wurde und mehr Speicher(platz) viel Geld kostet. Für 4K-Videoschnitt eignet sich der Mac Mini nur selten und generell fragen wir uns, wer ihn kaufen soll.
Ein Test von Marc Sauter

  1. Apple Mac Mini wird grau und schnell
  2. Neue Produkte Apple will Mac Mini und Macbook Air neu auflegen

Sony-Kopfhörer WH-1000XM3 im Test: Eine Oase der Stille oder des puren Musikgenusses
Sony-Kopfhörer WH-1000XM3 im Test
Eine Oase der Stille oder des puren Musikgenusses

Wir haben die dritte Generation von Sonys Top-ANC-Kopfhörer getestet - vor allem bei der Geräuschreduktion hat sich einiges getan. Wer in lautem Getümmel seine Ruhe haben will, greift zum WH-1000XM3. Alle Nachteile der Vorgängermodelle hat Sony aber nicht behoben.
Ein Test von Ingo Pakalski


    Requiem zur Cebit: Es war einmal die beste Messe
    Requiem zur Cebit
    Es war einmal die beste Messe

    Nach 33 Jahren ist Schluss mit der Cebit und das ist mehr als schade. Wir waren dabei, als sie noch nicht nur die größte, sondern auch die beste Messe der Welt war - und haben dann erlebt, wie Trends verschlafen wurden. Ein Nachruf.
    Von Nico Ernst

    1. IT-Messe Die Cebit wird eingestellt

      •  /