Ein beliebtes Objekt für Datendiebstahl sind Zugangsdaten wie Benutzername und Passwort. Das geht so weit, dass manche Mitarbeiter ohne konkreten Anlass versuchen, an Zugangsdaten zu kommen, um sie im "Bedarfsfall" einsetzen zu können. Teilweise gelingt dies mit trivialen Mitteln: Beispielsweise kann ein Mitarbeiter einen eigenen Webserver aufsetzen und auf einem Logon-Screen zur Eingabe von Benutzernamen und Passwort auffordern. Arglose Mitarbeiter geben dabei häufig ihre Firmenpasswörter ein. Früher oder später wird dies jedoch einem Administrator auffallen.
Wesentlich unauffälliger sind Angriffe mit eigens dafür modifizierten Samba-Servern unter Linux. Dazu legt ein Mitarbeiter Dokumente nicht auf einem offiziellen Server des Unternehmens ab, sondern auf einem, den er selbst aufgesetzt hat. Das kann beispielsweise mittels einer virtuellen Maschine geschehen.
Mitarbeitern, die dieses Dokument benötigen, schickt er einen SMB-Link wie \HACKERSERVERSHAREWichtiges Dokument.docx. Auch andere Lockmethoden sind beliebt, etwa das Anbieten von MP3-Dateien im Kollegenkreis.
Windows hat die Eigenschaft, zunächst das Domänen-Passwort des angemeldeten Benutzers bei jedem Server auszuprobieren, sofern der betreffende Share nicht generell ohne Authentifizierung erreicht werden kann. Dazu fragt es beim Benutzer nicht nach.
Die ersten modifizierten Versionen von Samba haben vorgegeben, nur Klartextpasswörter zu akzeptieren. Ältere Windows-Clients haben daraufhin Benutzername und Kennwort unverschlüsselt über das Netz geschickt, die der modifizierte Samba-Server in einer Textdatei abgespeichert hat. Den Zugriff auf den Share hat der Server in jedem Fall gewährt, so dass der arglose Nutzer auf die Datei zugreifen konnte, ohne zu wissen, dass sein Passwort kompromittiert wurde.
- Der Feind im Haus: Wenn Mitarbeiter Daten stehlen
- Ungepatchte Intranetserver mit Metasploit angreifen
- So kommen illoyale Mitarbeiter an Passwörter von Kollegen
- Verschlüsselte Passwörter bieten in Windows-Netzwerken kaum Schutz
- So verschaffen sich Spione Hintertüren in Firmennetze
- So verschleiern Angreifer Hintertüren durch Tunnelung
- Fazit
Neueste Kommentare
1 Kommentar zu Der Feind im Haus: Wenn Mitarbeiter Daten stehlen
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Erst mal gründlich schlau machen!
„Das Beispiel Conficker zeigt, dass viele Unternehmen ihre Intranet-Server nicht regelmäßig updaten.“
Dieser Satz zeigt leider die Unwissenheit des Autors. Auch in einem System bei dem alle Windows-Updates eingespielt sind, kann sich der Conficker Wurm über Administrative Netzwerkfreigaben weiterverbreiten. Das -auch von Microsoft- vielbeschworene Windows-Update hilft nur gegen das Eindringen von außen (übers Internet).