Microsoft verspricht: Vista kommt ohne Hintertür

Anfang September 1999 hatte David Litchfield, Mitarbeiter des US-Consulting-Unternehmens Arca Systems, ein ganz unstrittiges Sicherheitsloch in der Windows 2000 Beta 3 publik gemacht. Das Problem lokalisierte sich im „autologin“-Feature der Beta 3: Bei der Installierung eines Domain-Namens erstellte das System automatisch einen Account, der auf den Angaben des Anwenders beim Registrieren basiert. Anwender hatten daraufhin ganz ohne Passwort vollen Zugriff auf das System. Entsprechend konnten physisch anwesende Personen in Abwesenheit des Anwenders auf das System zugreifen – es ist ja nicht einmal durch ein Passwort geschützt.

Noch gefährlicher: Ein potentieller Angreifer aus dem Netz musste nur den Namen des Accounts herausbekommen – etwa mit einem „nbtstat“-Befehl über Telnet-Server – um Zugriff auf alle Daten zu erhalten. Der Telnet-Server kann mit einem einfachen Visual-Basic-Script, das in einem HTML-Dokument versteckt ist, heimlich aktiviert werden.
Der Windows-NT-Security-Produktmanager Scott Culp erklärte damals: „Wir haben die Autologin-Funktion eingebaut, damit sich Anwender einfacher einloggen können. Schnell hat unser Team aber bemerkt, was das für ein Problem bedeuten könnte, und auf eine Änderung gedrängt.“

Ein unzweifelhafter Fall von Hintertürchen-Einbau ereignete sich dann im April 2000: Damals musste Microsoft eingestehen, dass Entwickler in Frontpage 98 zum Erstellen von Websites ein Hintertürchen sowie die Phrase „Netscape engineers are weenies!“ eingebaut hatte. Damit konnten Unautorisierte auf Tausende von Sites zugreifen. Die Software war im Lieferumfang von Windows NT enthalten.

Themenseiten: Big Data, Datenschutz, IT-Business, Microsoft, Strategien

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

5 Kommentare zu Microsoft verspricht: Vista kommt ohne Hintertür

Kommentar hinzufügen
  • Am 31. März 2006 um 16:45 von Realist

    Nur über seine Leiche?
    Hat der Mann schon sein baldiges Ableben geplant?

    Wer M$ und den Behörden vertraut, ist selber schuld!

  • Am 28. März 2006 um 23:06 von qu

    am Thema vorbei
    also wenn man was verschlüßel will
    dann halt nicht mit MS ….sondern mit unterschidlichen Programmen 2 3 mal…
    und zerhackt und falsch zusammen gesetzt…. und das ganze hat man(n) eh auf einen stick…………
    in der Hosentaschen……..so und nun soll mal einer die, sagen wir mal "Mafia Daten", finden

  • Am 27. März 2006 um 12:18 von whatever

    Es geht einfacher
    Weshalb mühsam ins Betriebsystem einbauen, wenn man doch dies bei der Netzwerkkarte viel einfacher haben kann…da hilft dann auch die SW-Firewall nichts mehr…

    • Am 27. März 2006 um 15:17 von Kay Urbach

      AW: Es geht einfacher – Entschuldigung, was bitte?
      Ich verstehe den Kommentar nicht.

      >Weshalb mühsam ins Betriebsystem einbauen…
      WAS einbauen?

      >wenn man doch dies bei der Netzwerkkarte viel einfacher haben kann…
      WAS bei dem NIC einfacher haben kann?

      >da hilft dann auch die SW-Firewall nichts mehr…
      In welchem Szenario hilft die SW-FW nichts mehr?

      Bitte schreiben Sie ganze Sätze, oder lassen es besser bleiben.

    • Am 27. März 2006 um 23:49 von calisto

      AW: AW: Es geht einfacher – Entschuldigung, was bitte?
      Es soll wohl die MAC Adresse der Netzwerkkarte gemeint sein, die einen eindeutigen Schlüssel aufweist. Aber um diese als Useridentifikation zu gebrauchen, wird noch irgendeine Art Usermapping nötig sein, da User mit Netzwerkkarten von öffentlichen oder gemeinschaftlich genutzen Rechnern nicht eindeutig wären. Also z.B.: UserID Key + MAC + X = GUID (Global Unique IDentifier). Eine GUID sollte wohl dann bei der Aktivierung des Betriebssystems vergeben werden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *