blog.marekventur.de

<update>
Inzwischen habe ich eine Antwort der DH bekommen, dass das Thema im nächsten IT-Ausschuss (was und wann auch immer das ist) besprochen wird. Auch wurde mir getwittert, dass die Noten für die Zeugnisse in einer sicheren Datenbank liegen, also Änderungen keine Zeugnisse verfälscht haben.
</update>

In unserem aktuellen Semester an der DHBW Mannheim war die Vorlesung “IT-Security” mit einem entsprechenden Projekt gekoppelt. Unsere Gruppe entschied sich, die eGroupware der DHBW Mannheim (über die die Noten und Mails der Semester 2008 und älter verwaltet wurden) einem Sicherheitscheck zu unterziehen.

Da wir verständlicherweise nicht direkt am DH-System testen durften, haben wir uns aus dem SVN der Entwickler die verwendete Version ausgecheckt und diese auf einem Testserver installiert. Dass wir irgendwas finden würden, war schnell klar: Die verwendete Version war 6 Jahre alt und wurde nie aktualisiert.

Wir vermuteten, ein paar SQL-Injections und ein paar XSS-Lücken zu finden. Unsere Erwartungen wurde jedoch übertroffen: Durch einfaches Str+F in dem Commit-Log der Entwickler konnte wir einen Fix finden, der mit “Critical” und “Security” getaggt war. Wenig später war klar, dass es sich um einen Exploit in der Library “XMLRPC for PHP” handelte, der bereits 2005 gefixt wurde und es Angreifern erlaubte, beliebigen PHP-Code via eval() auszuführen.

Höflich, wie wir sind, haben wir das Rechenzentrum der DH in einer E-Mail darauf hingewiesen. Die erste Mail wurde ignoriert, die zweite (zwei Wochen später) relativ schnell beantwortet: Ein Admin teilte mir mit, dass die betroffene Datei entfernt wurde und somit das akute Sicherheitsloch geschlossen sei. Es sei also wieder alles in Ordnung.

WTF? Welcher verantwortungslose Admin lässt ein 5 Jahre lang sperrangelweit offenes System einfach so weiterlaufen? Das System ist doch zu 95% bereits kompromittiert. Wir sind doch nicht die ersten Studenten der DH, die Commit-Logs durchsuchen können!

Ich werfe zur weiteren Erheiterung mal ein paar Fakten in den Raum:

• Es wurden 5 Jahre lang keine Updates eingespielt, nicht mal ein “CRITICAL security update” wie das betreffende 1.0.0.009-2.
• Die eGroupware verwaltete E-Mails von tausenden Studenten und somit personenbezogene Daten nach §3 BdsG. Das alleine ist ausreichend für den Gesetzgeber besondere Sorgfalt bei der Sicherheit zu verlangen. Ich bin kein Jurist, aber ich lese das Ganze so: Laut §42 (a) müssen die Betroffenen (also hier die Studenten) informiert werden. Laut §43 drohen bei Versäumnis Bußgelder bis 300.000 €.
• Die Noten aller Studenten <= 2008 wurden über dieses System ausgelesen. Es konnte also irgendeine PHP-Routine die Noten anfordern und somit konnte es auch ein Angreifer.
• Ob man damit Noten verändern konnte und — wenn ja — ob diese dann Grundlage für das Zeugnis waren, lässt sich nicht sagen (Siehe Update). Bei all der Schlamperei würde es mich aber nicht wundern.
• Die Passwörter der eGroupware-Benutzer werden auch für andere System der DHBW (wie Moodle, das WLAN und das neuere E-Mail-System) verwendet. Um an diese Passwörter zu kommen, reicht es, einen simplen Form-Logger in den Login-Prozess einzubauen oder (wenn der Angreifer das nötige Know-How hatte) diese mit Rainbow-Tables und dem einfach auszulesenden Security-Salt via Amazon ECS für ca. 1$/Passwort errechnen zu lassen. (Siehe dazu c’t 2/2011, Seite 151)
• In den meisten E-Mail-Postfächern werden wohl noch die Zugangsdaten für MSDNAA gelegen haben. Microsoft würde sich freuen, wen sie erführen, dass Angreifer dadurch Zugriff auf tausende von Lizenzkeys hatten.

Fazit: Es wurde ordentlich bei der IT-Sicherheit geschlampt und in Folge dessen war es 5 Jahre lang möglich, Mails von DHBW-Studenten zu lesen, fremde Noten abzufragen, eventuell Noten zu verändern, Lizenzen für Microsoft-Produkte anzufordern und das Benutzerpasswort der Studenten auszulesen. Nebenbei könnte die ganze Situation für die DH sogar rechtliche Folgen nach sich ziehen.

Inzwischen ist der eGroupware-Server abgeschaltet. Betreffend meiner zweiten, etwas direkteren Mail warte ich immer noch auf Antwort. Es bleibt also nur folgende Frage zu klären: Wie um alles in der Welt kann ein Haufen Admins in Hörweite zu IT-Security Vorlesungen es 5 Jahre lang versäumen, eine kritische Webanwendung mit Updates zu versorgen? Habt ihr euer Fachwissen im Lotto gewonnen?

Letztes Woche ist es fertig geworden: “DHBW Connect” ist ein kleines Java-Programm, welches dich bei existierender WLan-Verbindung automatisch anmeldet. Du musst also nur noch ein einziges Mal deinen Benutzernamen und dein Passwort eingeben. (Wichtig: Nach Start der Datei passiert nicht viel – Es wird nur ein Trayicon neben der Uhr angezeigt. Um euer Passwort einzustellen genügt ein Rechtsklick|Konfigurieren auf dieses Icon.)

Netter Nebeneffekt: Durch den Verbindungscheck alle 10 Sekunden ist die Verbindung gefühlt ein wenig stabiler. Vielleicht ist das aber auch nur Einbildung…

Hier ist der Download. Wer mitentwickeln will oder eine intelligente Erweiterung hat, kann das Programm gerne bei Github forken.

War ich mir letztens noch nicht sicher, ob die neue “Hülle” des alten Trakts nur Dekoration ist, hab ich doch jetzt etwas entdeckt, was es ziemlich offensichtlich macht, dass die weiße Fassade nur für Außenwirkung gedacht ist: Die neue, weiße Außenhaut wird es zum Innenhof hin nicht geben. Das alte Graubraun ist dort sowieso nur von den Studenten zu sehen, also warum Geld dafür ausgeben?

Für alle die das nicht glauben: Oben auf dem Photo kann man sehen, dass die weiße Material schön bündig mit der Mauer zum Innenhof abschließt.

Ich sitze gerade in der Bibliothek der DHBW-Mannheim (Da dürfen/können sich übrigens gerade Erstsemestler keine Litreatur ausleihen, sagt ein Schild an der Tür. Im Eingangsbereich steht dafür jetzt ein Automat mit Oropacks. WTF? Das ist eine Bibliothek, keine Disco! Unsere Studiengebühren sind anscheinend gut angelegt.) und bin ein wenig schockiert, denn um einen Parkplatz  zu finden musste ich 4 Gehminuten entfernt parken – so ziemlich jeder Fleck, der beparkt werden könnte ist momentan beparkt.

Was mich aber noch viel mehr verstört hat ist der Umstand, dass Teile des “alten Trackts” (also der hässliche im 70er-Jahre Stil in dem ich hausen muss) mit Gerüsten umgeben sind – um die braune Außenhülle durch eine nicht minder hässliche weiße zu ersetzten zu überdecken. Ich gehe mal davon aus, dass das Innenleben genau so bleibt wie es bisher war. Warum sollte man das auch ändern, wenn doch die Außenwirkung einigermaßen stimmt? (Gegenwetten werden gerne entgegengenommen!)

Frisch an der DHBW Mannheim? Hier ein paar Tipps um euch den Studentenalltag im ersten Semester zu erleichtern:

• Google is your friend: Ihr braucht irgendeine Plattform, über die ihr kommunizieren und auf der ihr euren Stundenplan pflegen könnt. Für ersteres empfiehlt sich Google Groups, zweiteres erledigt wunderbar ein gemeinsamer Google Kalender, den einer oder zwei von euch verwalten und der für alle anderen freigegeben wird. Der Kalender hat den Vorteil, dass er sich so ziemlich mit jeder Technik, die das Binärsystem versteht synchronisieren kann, sei es euer Smartphone oder iCal und es gibt Export in die wichtigsten Formate, unter anderem eins welches Moodle versteht (sollte euer Studiengangsleiter darauf bestehen). Über Änderungen kann sich jeder via SMS oder E-Mail informieren lassen
• Dateien in die Cloud: Anstatt mit der Google Groups Dateiablage rumzuexperimntieren (die kennt leider keine Ordner und wird daher schnell unübersichtlich) empfehle ich euch eine gesharten Ordner bei Dropbox (Referal-Link, ich bekomme 250mb mehr Speicherplatz und ihr startet direkt mit 250mb mehr, also Win-Win). Nicht nur, dass ihr dort um einiges mehr ablegen könnt, ihr könnt auch ein Programm runterladen, welches automatisch einen Ordner auf eurem Dateisystem synchronisiert. Ihr braucht also nicht jedes mal euere Mitschrift runterladen, bearbeiten und wieder hochladen, sonder es reicht, das Dokument einfach zu öffnen. Nebenbei bietet Dropbox auch Apps für die meisten Smartphones an, ihr könnt also auch in der OEG noch einmal kurz das Script überfliegen.
• Evil Wifi: Das WLAN der DHBW ist teilweise unglaublich schlecht. Fragt mich bitte nicht, woran das liegt, jedoch ist es je nach Raum und Monat normal, wenn man alle paar Minuten aus dem Netzt fliegt. Dazu kommt, dass das WLAN nicht Radius zur Authentifizierung einsetzt, sondern auf ein Standartpasswort (“1234567890987654321″ kreativ, nicht?) mit nachgeschalteter HTML-Benutzerabfrage setzt. Das klingt nicht nur nach Mittelalter, das fühlt sich auch so an. Um dem ewigen Wiederanmelden aus dem Weg zu gehen habe ich ein kleinen Java-Programm geschrieben, welches nichts anderes macht als alle 10 Sekunden Google anzupingen und bei einem Netzwerkverlust sich automatisch neu anmeldet. Da es sich um ein 45-Minuten Schnellentwicklung handelt erfüllt das Programm keinerlei Anspruch auf Benutzerfreundlichkeit und ist vielleicht ein wenig umständlich zu handeln. Es funktioniert aber für mich klaglos und sollte unter Windows, Linux und Mac kein Probleme machen. Ihr könnt es hier downloaden. Eine kurze Anleitung befindet sich im Archiv. Wer das ganze selbst weiter entwickeln will, hier ist der Source. Ich finde die Sources gerade nich. Wenn ihr trotzdem Interesse habt meldet euch kurz, ich suche dann noch mal…
• Für ältere Semester (bis 2008) funktioniert die Notenabfrage über ein anderes (älteres) System. Weil es immer ziemlich nervig war, täglich zu kontrollieren, ob neue Noten da sind (Eine E-Mail als Benachrichtigung wäre wohl zu viel des Guten gewesen…) habe ich eine Online-Notenverwaltung programmiert, die täglich nach neuen Noten sucht.
  Wenn ihr/du interesse an etwas ähnlichem für das neue Dualis-System habt, meldet euch einfach – ich könnte euch die Sources für mein System geben, sodass ihr es nur noch anpassen müsstet.
• Gebt eure E-Mail-Adresse in der Bibliothek an. Sonst fragt ihr irgendwann nach, wann ihr Bücher zurückgeben müsst und bekommt die Antwort, dass ihr eine Mail-Benachrichtigung bekommt. Bleibt die aus und ihr gebt eure Bücher dann zurück müsst ihr Mahngebühren zahlen – für eine Mahnung die nie rausging, da die nämlich per Mail versand wird. UPDATE: Erstsemester dürfen momentan sowieso keine Bücher ausleihen. Ich sag dazu mal nichts…
• Fahrt Straßenbahn. Parken macht an der DH momentan keinen Spaß…
• Studiengebühren müssen irgendwann bezahlt werden. Keine Ahnung wann. Ist aber auch nicht so wichtig, man wird ein paar Monate nach Fälligkeit noch mal dazu aufgefordert. Warum sollte man also früher als unbedingt nötig eine ungerechte Gebühr entrichten? Spart euch die paar Cent Zinsen, das Geld landet sowieso nur in irgendeiner unsinnigen Investition (Achtet mal auf die beiden dicken TFTs, die nur den Speiseplan der Mensa anzeigen…)
• Apropos Mensa: Erspaart eurem Magen diesen Fraß dieses Essen. Es gibt dort fades Füllmittel angereichert mit zwei Arten Soße (weiß oder braun, beides schmeckt jeweils immer gleich). Erstaunlich an der Mensa ist nur die Kreativität, mit der die Küchenverantworlichen jedes mal für das selbe Schnitzel einen gänzlich anderen Namen finden.
• Und sonst? Vielleicht findet ihr ja bei Ersties Mannheim etwas…

Für alle DHBWler aus Mannheim hier der Link zu einem Webtool von mir, welches das regelmäßige Abrufen der Noten von diesem Groupware-Dings erspart. Da das Tool nur die Groupware abfragt funktioniert dies also nur für die 08er-Jahrgängen vor der Umstellung auf das Dualis-System:

Weiter zu DHBW Mannheim Notenabfrage

Disclaimer: Die Daten (inklusive eures Groupwarepassworts und euren Noten) müssen prinzipbedingt auf meinem Server liegen, sonst kann das mit der automatisierten Kontrolle nicht funktionieren. Ihr müsst mir also ein gewissen Vertrauen entgegenbringen, dass ich die Daten ordentlich behandle und keiner (auch nicht ich!) sich die Noten anderer angucken wird. Wer Fragen dazu hat kann mir gerne eine Mail schreiben.

Im Rahmen meines bisherigen Studiums wurde ich schon zwei mal mit Planspielen von TOPSIM konfrontiert. Während ich das Prinzip an sich sehr interessant finde, musst ich doch schnell feststellen, dass die (manchmal) den Studenten ausgeteilte Planspiel-Software ein krasses Beispiel schlechter Software ist. Nicht nur, dass es gefühlte 100 Jahre alt ist, es macht auch das Planspiel an sich kaputt. Warum? Darum:

Erstens. Der Client hat einen Simulationsmodus (“Planungsmodell”>”Planungsmodell 1″). Damit kann man bis auf einige Nachkommastellen und mit ein wenig Überlegung den unternehmensinternen Teil des Ergebnisses vorherberechnen. Besser als jede Lösung via Excel, man braucht sich keine Gedanken über irgendwelche Formeln zu machen, das Programm errechnet alles alleine. Es ist so möglich, sich über beliebig vielen trial-and-error-Versuche dem idealen Ergebnis anzunähern – ohne Gefahr zu laufen, dass irgendwas in der internen Planung nicht richtig bedacht wurde.

Normalerweise kostet so einen Simulation virtuelles Geld, aber wen interessiert das schon, wenn man die Software einfach zurücksetzten und die Ausgangsdaten neu einladen kann? (Jeder, der das Handbuch lesen kann wird dort lesen können, dass das “Passwort” welches bei “Datei”>”4 Reset (Programm wird beendet)” abgefragt wird stupiderweise “reset” lautet)
Diese Lücke ist zu einem gewissen Teil prinzipbedingt – wenn man einen Simulationsmodus in die Teilnehmersoftware einbaut kann man nie verhindern, dass dieser unbemerkt eingesetzt wird (spätestens in einer VM geht sowieso Alles). Was aber auffällig ist, dass es so einfach ist hier zu tricksen, dass es einem als Programmierer schon fast weh tut beim darüber Nachdenken.

Ich dachte erst, dass nach so einem dicken Problem das Programm eigentlich keine größeren Lücken mehr enthalten kann. Die Damen und Herren von TOPSIM haben mich aber eines Besseren belehrt:

Zweitens. Neben den nun nicht mehr interessanten innerbetrieblichen Themen hat das Planspiel auch eine strategische Komponente; Es ist wichtig, sich der Konkurrenz und dem Markt anzupassen. Dementsprechend sollte es daher unmöglich sein an die Periodendaten der “Zukunft” zu gelangen oder die internen Daten der Mitbewerber auszulesen. Richtig?

Blöd nur, dass die Software das anders sieht: Am Anfang und nach jeder Runde gibt es vom Spielleiter neue Spieldaten. Dies wurden bei uns auf einem USB-Stick verteilt und bestanden aus 3 Dateien: Einer TOP.UNT (1 Byte), einer TOPconfg.cfg(einige hundert Byte) und einer TOPData.zip (~85Kb).

Es mag an mir liegen, aber ich persönlich würde als Programmierer sensible Daten nicht so benennen, dass man sofort Art und Type des Inhalts erraten kann. Hier scheint es aber jemand darauf angelegt zu haben jedem mitteilen zu wollen, dass sich hinter den Dateien die Spielgruppe, die Configs und die Daten verstecken. Ein Hexeditor verrät jedem sehr schnell, dass es wohl kein Zufall sein kann, dass das einzige Byte der TOP.UNT der Unternehmensnummer entspricht. Ändern man es nämlich auf ein anderes Byte (nicht Char!), z.B. “1″ und läd die Daten neu ein, so sieht man alle internen Berichte der Gruppe 1.

Treibt einen die Neugier dann zu der TOPData.zip (Hey, man hätte wenigstens die Dateiendung wechseln können, dann wäre ich wohl nicht auf die Idee gekommen, wie sie zu öffnen wäre…) so findet man in den Dateien TOP0SZN.001 bis *.008 die Informationen zu allen Perioden im Klartext – inklusive aller Marktzahlen.
Man mag sich jetzt natürlich fragen, warum die Daten aller Gruppen alle Informationen enthalten, sowohl über die Konkurrenz als auch über die zukünftige Ereignisse, wenn dies eigentlich gar nicht nötig ist. Warum werden nicht bei Erzeugung der Spielerdaten nur die relevanten Werte abgelegt? Ich tippe mal darauf, dass hier unerfahrene Programmier am Werk waren, anders lassen sich diese offensichtlichen Lücken nicht erklären.

Warum schreibe ich das jetzt hier so detailiert hin? Weil einige dieser Spiele (so wie bei uns) bewertet werden. Warum sollte also jemand einen schlechtere Note bekommen, nur weil er sich nicht auf die technische, sondern nur auf die wirtschaftliche Seite des Spiels konzentriert? Da das Planspiel dank unbegrenzter Simulationen und Perioden- und Konkurrenzdaten sowieso reizlos geworden ist, braucht man mit “Unfair!” auch gar nicht mehr anzufangen; Irgendeine Gruppe findet sowas immer heraus – und spätestens dann wird das theoretisch interessante Planspiel nur noch zur Zeitverschwendung.

PS.: Einige Studenten scheinen immer noch mitbekommen zu haben, wie Google funktioniert. Anders kann ich mir wirklich nicht erklären, wie man noch ernsthaft über die Periodenszenarien überrascht sein kann.

Links stillschweigend in die Blogroll zu legen ist schlechter Stil (Die Regel stammt von mir und aufgestellt habe ich sie vor 12 Sekunden). Daher hier ein paar Worte, warum ich einen Besuch nur empfehlen kann:

The Daily Tobi: Philosophische Worte aus dem Think-Tank der DHBW-Mannheim (omg!). Und in Zukunft wohl hoffentlich ein Reisetagebuch aus Hursley.

erst0r!!!: “erst0r 1337 hackin9 hax0r nerd school” Ist das nicht Beschreibung genug?

schudt.net: Hier zählt der Wille, nicht der Inhalt. Letztere kann nämlich nicht zählen, weil faktisch nicht vorhanden. Der Link kommt trotzdem in die Sidebar, sozusagen als Motivator

art is where the heart is: Inhaltlich ziemlich Indie und voller schöner Buchzitate. Von mir eigenhändig vor 3 Monaten zerschossen ist dieser Blog sozusagen Servernachbar zu diesem hier. Beschimpfungen über fehlende Bilder bitte hier in den Kommentare abladen, ich bin schuldig im Sinne der Anklage.

Unser Webprojekt an der DHBW-Mannheim ist fertig und wurde heute unseren Dozenten übergeben. Und da ich mit unserem Ergebnis ganz zufrieden bin hier ein wenig mehr dazu:

Worum ging es? Wir hatten uns das Ziel gesetzt einen Briefgenerator zu schreiben, mit dessen Hilfe man innerhalb von Minuten einen fertigen Brief erstellen kann. Aufgehübscht mit ein wenig jQuery, CSS3, HTML5 und ausgestattet mit einer eigenen Benutzerverwaltung könnt ihr das Ergebnis unserer Arbeit unter http://www.rapidletter.de betrachten.

By the way: Weitere Projekt-Abschlussergebnisse gibt es hier und hier.