Abo
  • Services:

Viele Webseiten nach wie vor angreifbar

Einige Betreiber haben auf die Hinweise noch nicht reagiert - andere wiederum schon. Unter den betroffenen Webseiten war beispielsweise auch der Onlineshop Badshop.de. Durch die Preisgabe der .DS_Store-Datei waren Shell-Scripte, Logdateien, CSV-Dateien, Backupscripts und Lizenzdateien für Angreifer erreichbar. Die Betreiber haben auf den Hinweis durch Internetwache.org reagiert und die .DS_Store-Datei entfernt.

Stellenmarkt
  1. Bosch Gruppe, Abstatt
  2. abilex GmbH, Stuttgart

Da im Rahmen des Scans auch die Dateinamen und Dateitypen erfasst wurden, auf die innerhalb aller .DS_Store-Dateien referenziert wurde, lässt sich relativ präzise sagen, welche Namenskonventionen von Administratoren oder Tools genutzt werden. So fanden sich zum Beispiel 661 Dateien mit der Endung .bak, 248 Logdateien (Endung .log), 162 Konfigurationsdateien (Endung .config) und 123 Datenbankdumps (Endung .sql). Des Weiteren waren 266 E-Mails (Endung .eml) und 10 Schlüssel (.key) aufspürbar. Ob diese Informationen absichtlich erreichbar sind, lässt sich schwer beurteilen - es ist allerdings davon auszugehen, dass ein Großteil nicht für Dritte abrufbar sein sollte.

Dass die Informationspreisgabe tatsächlich Probleme verursachen kann, zeigt eine Meldung des Sicherheitsforschers Lewerkun. Im Rahmen des Bug-Bounty-Programms von Twitter fand der Sicherheitsforscher vor zwei Jahren durch diese Methode unter anderem Lizenzschlüssel, ein WLAN-Zertifikat und ein CA-Zertifikat. Er erhielt von Twitter dafür eine Belohnung in Höhe von 560 US-Dollar.

Kurioses zum Fund und simple Gegenmaßnahmen

Offensichtlich haben andere größere Unternehmen ein Problembewusstsein zur .DS_Store-Datei entwickelt, Apple selbst aber kaum. Adobe weist in einem Hilfsartikel zum Programm 'Dreamweaver' beispielsweise explizit darauf hin, dass die .DS_Store-Datei besser zu entfernen sei. Allerdings wird als Gegenmaßnahme vorgeschlagen, einen Cronjob einzurichten, der prüft, ob die Datei vorliegt und sie dann löscht. Dieses Verhalten birgt aber immer noch einige Gefahren, denn eine gewisse Zeit liegen die Dateien immer noch abrufbar im Webverzeichnis, nämlich bis zum nächsten Durchlauf des Cronjobs. Zum anderen ist offensichtlich, dass die Verhinderung des Uploads oder des Abrufens der Datei vom Webserver deutlich zielführender ist.

Der IT-Sicherheitsforscher und Golem.de-Autor Hanno Böck konnte vor einiger Zeit beispielsweise feststellen, dass unter umziehen.de/dump.sql ein Datenbankbackup ohne Authentifizierung zum Download bereitstand. Das ist ein wahrer Datenschutzskandal, der mit der EU-Datenschutzgrundverordnung so manches Unternehmen teuer zu stehen kommen wird.

Einer der Erfinder von .DS_Store entschuldigt sich in einem Blogpost aus dem Jahr 2006 dafür, dass zum einen der Name nicht besonders gut gewählt sei, zum anderen die massenhafte Erstellung von .DS_Store-Dateien nicht beabsichtigt, sondern ein Bug sei. Seiner Aussage nach sollte die Datei nur erstellt werden, wenn Nutzer tatsächliche Änderungen in einem Ordner vornehmen. Allerdings erfolgt die Erstellung oftmals schon bei Betrachtung von Verzeichnissen.

Die .DS_Store-Datei sollte den meisten Lesern bekannt sein, sofern diese schon einmal Dateien von einem Mac-OS- auf einen Windows-Rechner übertragen haben, denn nach einer solchen Dateiübertragung findet sich in zahlreichen Ordnern eine Datei mit dem Namen .DS_Store, obwohl diese nie bewusst erstellt wurde. Auch bei der Übertragung von Dateien auf USB-Medien oder der Erstellung von ZIP-Dateien mittels Mac OS kann es zur Erstellung von .DS_Store-Dateien kommen.

Durch das Tool zum Parsen von .DS_Store-Dateien von Internetwache.org haben Angreifer demnächst möglicherweise ein leichteres Spiel, ungeschützte Dateien in Webverzeichnissen aufzuspüren - Administratoren sollten deshalb schnell reagieren und prüfen, ob auf ihrem Webserver .DS_Store-Dateien liegen und in dem Fall Gegenmaßnahmen implementieren.

 Websicherheit: Apple-Datei auf Webservern verrät Verzeichnisinhalte
  1.  
  2. 1
  3. 2


Anzeige
Spiele-Angebote
  1. 33,49€
  2. 59,99€ mit Vorbesteller-Preisgarantie (Release 05.10.)
  3. 54,99€ mit Vorbesteller-Preisgarantie (Release 14.11.)

sori 15. Mai 2018

(entschuldigt die eher späte Antwort; ging zwischen den Tabs iwie vergessen...) Was ich...

phade 22. Mär 2018

Ich freu mich immer sehr, wenn auch RPMs oder diverse andere Pakete diese Dateien...

zZz 17. Mär 2018

Sehe ich genauso!

MadDoc 15. Mär 2018

Anscheinend weiß Microsoft das selber noch nicht. --> https://answers.microsoft.com/en-us...

MadDoc 15. Mär 2018

Dann sag bitte mal unbedingt Microsoft bescheid. Die scheinen das selber noch nicht zu...


Folgen Sie uns
       


Nokia 8110 4G und Doro 7060 - Test

HMD Global und Doro sind die ersten Hersteller, die KaiOS-Handys in Deutschland verkaufen. Wir haben uns das Nokia 8110 4G sowie das 7060 angeschaut. Dabei hat nicht jedes KaiOS-Gerät den gleichen Funktionsumfang. Eigentlich sollen KaiOS-Geräte als Ersatz für ein Smartphone geeignet sein - so ganz gelingt das noch nicht.

Nokia 8110 4G und Doro 7060 - Test Video aufrufen
Yara Birkeland: Autonome Schiffe sind eine neue Art von Transportsystem
Yara Birkeland
Autonome Schiffe sind eine neue Art von Transportsystem

Die Yara Birkeland wird das erste elektrisch angetriebene Schiff, das autonom fahren soll. Das ist aber nicht das einzige Ungewöhnliche daran. Diese Schiffe seien ein ganz neues Transportmittel, das nicht nur von den üblichen Akteuren eingesetzt werde, sagt ein Experte.
Ein Interview von Werner Pluta

  1. Power Pac Strom aus dem Container für Ozeanriesen
  2. Yara Birkeland Norwegische Werft baut den ersten autonomen E-Frachter
  3. SAVe Energy Rolls-Royce bringt Akku zur Elektrifizierung von Schiffen

Zahlen mit Smartphones im Alltagstest: Sparkassenkunden müssen nicht auf Google Pay neidisch sein
Zahlen mit Smartphones im Alltagstest
Sparkassenkunden müssen nicht auf Google Pay neidisch sein

In Deutschland gibt es mittlerweile mehrere Möglichkeiten, drahtlos mit dem Smartphone zu bezahlen. Wir haben Google Pay mit der Sparkassen-App Mobiles Bezahlen verglichen und festgestellt: In der Handhabung gleichen sich die Apps zwar, doch in den Details gibt es einige Unterschiede.
Ein Test von Tobias Költzsch

  1. Smartphone Auch Volksbanken führen mobiles Bezahlen ein
  2. Bezahldienst ausprobiert Google Pay startet in Deutschland mit vier Finanzdiensten

Single Sign-on Made in Germany: Verimi, NetID oder ID4me?
Single Sign-on Made in Germany
Verimi, NetID oder ID4me?

Welche der deutschen Single-Sign-on-Lösungen ist am vielversprechendsten? Golem.de erläutert die Unterschiede zwischen Verimi, NetID und ID4me.
Eine Analyse von Monika Ermert

  1. Verimi Deutsche Konzerne starten Single Sign-on

    •  /