Viele Webseiten nach wie vor angreifbar

Einige Betreiber haben auf die Hinweise noch nicht reagiert - andere wiederum schon. Unter den betroffenen Webseiten war beispielsweise auch der Onlineshop Badshop.de. Durch die Preisgabe der .DS_Store-Datei waren Shell-Scripte, Logdateien, CSV-Dateien, Backupscripts und Lizenzdateien für Angreifer erreichbar. Die Betreiber haben auf den Hinweis durch Internetwache.org reagiert und die .DS_Store-Datei entfernt.

Da im Rahmen des Scans auch die Dateinamen und Dateitypen erfasst wurden, auf die innerhalb aller .DS_Store-Dateien referenziert wurde, lässt sich relativ präzise sagen, welche Namenskonventionen von Administratoren oder Tools genutzt werden. So fanden sich zum Beispiel 661 Dateien mit der Endung .bak, 248 Logdateien (Endung .log), 162 Konfigurationsdateien (Endung .config) und 123 Datenbankdumps (Endung .sql). Des Weiteren waren 266 E-Mails (Endung .eml) und 10 Schlüssel (.key) aufspürbar. Ob diese Informationen absichtlich erreichbar sind, lässt sich schwer beurteilen - es ist allerdings davon auszugehen, dass ein Großteil nicht für Dritte abrufbar sein sollte.

Dass die Informationspreisgabe tatsächlich Probleme verursachen kann, zeigt eine Meldung des Sicherheitsforschers Lewerkun. Im Rahmen des Bug-Bounty-Programms von Twitter fand der Sicherheitsforscher vor zwei Jahren durch diese Methode unter anderem Lizenzschlüssel, ein WLAN-Zertifikat und ein CA-Zertifikat. Er erhielt von Twitter dafür eine Belohnung in Höhe von 560 US-Dollar.

Kurioses zum Fund und simple Gegenmaßnahmen

Offensichtlich haben andere größere Unternehmen ein Problembewusstsein zur .DS_Store-Datei entwickelt, Apple selbst aber kaum. Adobe weist in einem Hilfsartikel zum Programm 'Dreamweaver' beispielsweise explizit darauf hin, dass die .DS_Store-Datei besser zu entfernen sei. Allerdings wird als Gegenmaßnahme vorgeschlagen, einen Cronjob einzurichten, der prüft, ob die Datei vorliegt und sie dann löscht. Dieses Verhalten birgt aber immer noch einige Gefahren, denn eine gewisse Zeit liegen die Dateien immer noch abrufbar im Webverzeichnis, nämlich bis zum nächsten Durchlauf des Cronjobs. Zum anderen ist offensichtlich, dass die Verhinderung des Uploads oder des Abrufens der Datei vom Webserver deutlich zielführender ist.

Der IT-Sicherheitsforscher und Golem.de-Autor Hanno Böck konnte vor einiger Zeit beispielsweise feststellen, dass unter umziehen.de/dump.sql ein Datenbankbackup ohne Authentifizierung zum Download bereitstand. Das ist ein wahrer Datenschutzskandal, der mit der EU-Datenschutzgrundverordnung so manches Unternehmen teuer zu stehen kommen wird.

Einer der Erfinder von .DS_Store entschuldigt sich in einem Blogpost aus dem Jahr 2006 dafür, dass zum einen der Name nicht besonders gut gewählt sei, zum anderen die massenhafte Erstellung von .DS_Store-Dateien nicht beabsichtigt, sondern ein Bug sei. Seiner Aussage nach sollte die Datei nur erstellt werden, wenn Nutzer tatsächliche Änderungen in einem Ordner vornehmen. Allerdings erfolgt die Erstellung oftmals schon bei Betrachtung von Verzeichnissen.

Die .DS_Store-Datei sollte den meisten Lesern bekannt sein, sofern diese schon einmal Dateien von einem Mac-OS- auf einen Windows-Rechner übertragen haben, denn nach einer solchen Dateiübertragung findet sich in zahlreichen Ordnern eine Datei mit dem Namen .DS_Store, obwohl diese nie bewusst erstellt wurde. Auch bei der Übertragung von Dateien auf USB-Medien oder der Erstellung von ZIP-Dateien mittels Mac OS kann es zur Erstellung von .DS_Store-Dateien kommen.

Durch das Tool zum Parsen von .DS_Store-Dateien von Internetwache.org haben Angreifer demnächst möglicherweise ein leichteres Spiel, ungeschützte Dateien in Webverzeichnissen aufzuspüren - Administratoren sollten deshalb schnell reagieren und prüfen, ob auf ihrem Webserver .DS_Store-Dateien liegen und in dem Fall Gegenmaßnahmen implementieren.