Microsoft verspricht: Vista kommt ohne Hintertür

Anfang September 1999 hatte David Litchfield, Mitarbeiter des US-Consulting-Unternehmens Arca Systems, ein ganz unstrittiges Sicherheitsloch in der Windows 2000 Beta 3 publik gemacht. Das Problem lokalisierte sich im „autologin“-Feature der Beta 3: Bei der Installierung eines Domain-Namens erstellte das System automatisch einen Account, der auf den Angaben des Anwenders beim Registrieren basiert. Anwender hatten daraufhin ganz ohne Passwort vollen Zugriff auf das System. Entsprechend konnten physisch anwesende Personen in Abwesenheit des Anwenders auf das System zugreifen – es ist ja nicht einmal durch ein Passwort geschützt.

Noch gefährlicher: Ein potentieller Angreifer aus dem Netz musste nur den Namen des Accounts herausbekommen – etwa mit einem „nbtstat“-Befehl über Telnet-Server – um Zugriff auf alle Daten zu erhalten. Der Telnet-Server kann mit einem einfachen Visual-Basic-Script, das in einem HTML-Dokument versteckt ist, heimlich aktiviert werden.
Der Windows-NT-Security-Produktmanager Scott Culp erklärte damals: „Wir haben die Autologin-Funktion eingebaut, damit sich Anwender einfacher einloggen können. Schnell hat unser Team aber bemerkt, was das für ein Problem bedeuten könnte, und auf eine Änderung gedrängt.“

Ein unzweifelhafter Fall von Hintertürchen-Einbau ereignete sich dann im April 2000: Damals musste Microsoft eingestehen, dass Entwickler in Frontpage 98 zum Erstellen von Websites ein Hintertürchen sowie die Phrase „Netscape engineers are weenies!“ eingebaut hatte. Damit konnten Unautorisierte auf Tausende von Sites zugreifen. Die Software war im Lieferumfang von Windows NT enthalten.