Viele Webseiten nach wie vor angreifbar

Einige Betreiber haben auf die Hinweise noch nicht reagiert - andere wiederum schon. Unter den betroffenen Webseiten war beispielsweise auch der Onlineshop Badshop.de. Durch die Preisgabe der .DS_Store-Datei waren Shell-Scripte, Logdateien, CSV-Dateien, Backupscripts und Lizenzdateien für Angreifer erreichbar. Die Betreiber haben auf den Hinweis durch Internetwache.org reagiert und die .DS_Store-Datei entfernt.

Stellenmarkt
  1. Systemingenieur (m/w/d) IT Systeme
    Scheidt & Bachmann System Technik GmbH, Kiel
  2. SAP-Systemanalytiker*in
    UNI ELEKTRO Fachgroßhandel GmbH & Co. KG, Eschborn
Detailsuche

Da im Rahmen des Scans auch die Dateinamen und Dateitypen erfasst wurden, auf die innerhalb aller .DS_Store-Dateien referenziert wurde, lässt sich relativ präzise sagen, welche Namenskonventionen von Administratoren oder Tools genutzt werden. So fanden sich zum Beispiel 661 Dateien mit der Endung .bak, 248 Logdateien (Endung .log), 162 Konfigurationsdateien (Endung .config) und 123 Datenbankdumps (Endung .sql). Des Weiteren waren 266 E-Mails (Endung .eml) und 10 Schlüssel (.key) aufspürbar. Ob diese Informationen absichtlich erreichbar sind, lässt sich schwer beurteilen - es ist allerdings davon auszugehen, dass ein Großteil nicht für Dritte abrufbar sein sollte.

Dass die Informationspreisgabe tatsächlich Probleme verursachen kann, zeigt eine Meldung des Sicherheitsforschers Lewerkun. Im Rahmen des Bug-Bounty-Programms von Twitter fand der Sicherheitsforscher vor zwei Jahren durch diese Methode unter anderem Lizenzschlüssel, ein WLAN-Zertifikat und ein CA-Zertifikat. Er erhielt von Twitter dafür eine Belohnung in Höhe von 560 US-Dollar.

Kurioses zum Fund und simple Gegenmaßnahmen

Offensichtlich haben andere größere Unternehmen ein Problembewusstsein zur .DS_Store-Datei entwickelt, Apple selbst aber kaum. Adobe weist in einem Hilfsartikel zum Programm 'Dreamweaver' beispielsweise explizit darauf hin, dass die .DS_Store-Datei besser zu entfernen sei. Allerdings wird als Gegenmaßnahme vorgeschlagen, einen Cronjob einzurichten, der prüft, ob die Datei vorliegt und sie dann löscht. Dieses Verhalten birgt aber immer noch einige Gefahren, denn eine gewisse Zeit liegen die Dateien immer noch abrufbar im Webverzeichnis, nämlich bis zum nächsten Durchlauf des Cronjobs. Zum anderen ist offensichtlich, dass die Verhinderung des Uploads oder des Abrufens der Datei vom Webserver deutlich zielführender ist.

Golem Akademie
  1. Jira für Anwender: virtueller Ein-Tages-Workshop
    10. November 2021, virtuell
  2. PowerShell Praxisworkshop: virtueller Vier-Tage-Workshop
    20.–23. Dezember 2021, virtuell
Weitere IT-Trainings

Der IT-Sicherheitsforscher und Golem.de-Autor Hanno Böck konnte vor einiger Zeit beispielsweise feststellen, dass unter umziehen.de/dump.sql ein Datenbankbackup ohne Authentifizierung zum Download bereitstand. Das ist ein wahrer Datenschutzskandal, der mit der EU-Datenschutzgrundverordnung so manches Unternehmen teuer zu stehen kommen wird.

Einer der Erfinder von .DS_Store entschuldigt sich in einem Blogpost aus dem Jahr 2006 dafür, dass zum einen der Name nicht besonders gut gewählt sei, zum anderen die massenhafte Erstellung von .DS_Store-Dateien nicht beabsichtigt, sondern ein Bug sei. Seiner Aussage nach sollte die Datei nur erstellt werden, wenn Nutzer tatsächliche Änderungen in einem Ordner vornehmen. Allerdings erfolgt die Erstellung oftmals schon bei Betrachtung von Verzeichnissen.

Die .DS_Store-Datei sollte den meisten Lesern bekannt sein, sofern diese schon einmal Dateien von einem Mac-OS- auf einen Windows-Rechner übertragen haben, denn nach einer solchen Dateiübertragung findet sich in zahlreichen Ordnern eine Datei mit dem Namen .DS_Store, obwohl diese nie bewusst erstellt wurde. Auch bei der Übertragung von Dateien auf USB-Medien oder der Erstellung von ZIP-Dateien mittels Mac OS kann es zur Erstellung von .DS_Store-Dateien kommen.

Durch das Tool zum Parsen von .DS_Store-Dateien von Internetwache.org haben Angreifer demnächst möglicherweise ein leichteres Spiel, ungeschützte Dateien in Webverzeichnissen aufzuspüren - Administratoren sollten deshalb schnell reagieren und prüfen, ob auf ihrem Webserver .DS_Store-Dateien liegen und in dem Fall Gegenmaßnahmen implementieren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Websicherheit: Apple-Datei auf Webservern verrät Verzeichnisinhalte
  1.  
  2. 1
  3. 2


Nick van Hill 18. Mai 2019

Was gibt's dort zu sehen? Bitte um Spoiler, hab keine Lust es zu installieren. Aber du...

sori 15. Mai 2018

(entschuldigt die eher späte Antwort; ging zwischen den Tabs iwie vergessen...) Was ich...

phade 22. Mär 2018

Ich freu mich immer sehr, wenn auch RPMs oder diverse andere Pakete diese Dateien...

zZz 17. Mär 2018

Sehe ich genauso!

MadDoc 15. Mär 2018

Anscheinend weiß Microsoft das selber noch nicht. --> https://answers.microsoft.com/en-us...



Aktuell auf der Startseite von Golem.de
Resident Evil (1996)
Grauenhaft gut

Resident Evil zeigte vor 25 Jahren, wie Horror im Videospiel auszusehen hat. Wir schauen uns den Klassiker im Golem retro_ an.

Resident Evil (1996): Grauenhaft gut
Artikel
  1. Streaming: Chromecast erhält spezielle Youtube-Fernbedienung
    Streaming
    Chromecast erhält spezielle Youtube-Fernbedienung

    Die Steuerung von Youtube auf einem Chromecast soll mit einer neuen Funktion deutlich komfortabler werden.

  2. Studie: Kinder erhalten Smartphone meist zwischen 6 und 11 Jahren
    Studie
    Kinder erhalten Smartphone meist zwischen 6 und 11 Jahren

    Nur eine sehr geringe Minderheit der Eltern will ihrem Kind erst mit 15 Jahren ein Smartphone zur Verfügung stellen.

  3. Google: Kopfhörer verlieren Google-Assistant-Support auf iPhones
    Google
    Kopfhörer verlieren Google-Assistant-Support auf iPhones

    Wer Google Assistant am Kopfhörer benutzen will, ist künftig auf ein Android-Gerät angewiesen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Saturn-Advent: Samsung Portable SSD T5 1 TB 84€ • ViewSonic VX2718-2KPC-MHD (WQHD, 165 Hz) 229€ • EPOS Sennheiser GSP 670 199€ • EK Water Blocks Elite Aurum 360 D-RGB All in One 205,89€ • KFA2 Geforce RTX 3070 OC 8 GB 1.019€ • Alternate (u. a. AKRacing Core SX 269,98€) [Werbung]
    •  /