Olympia: Kein Gold für Sicherheit [Update]
Salt Lake City verfügt über das höchste Sicherheitsbudget in der olympischen Geschichte. Für eine Firewall hat es dennoch nicht gereicht.
Die Sicherheitsmaßnahmen bei den Olympischen Winterspielen in Salt Lake City sollten die gründlichsten, sichtbarsten, überdies die am besten geplanten und koordinierten in der olympischen Geschichte werden, so verkündete die amerikanische Regierung zu Beginn dieses Jahres. Rund 300 Millionen US-Dollar aus den Kassen von Regierung, Bundesstaaten und Kommunen ließen sich dafür auftreiben -- das größte Budget, das je für die olympische Sicherheit zur Verfügung stand. Und doch allem Anschein nach nicht groß genug, um im IT-Bereich für ein Mindestmaß an Schutz zu sorgen.
Offen wie ein Scheunentor ist zumindest der zentrale Mailserver von International Sports Broadcasting (ISB), dem Host Broadcaster dieser Olympischen Winterspiele. Bei allen Spielen liegen sämtliche Kamera- und Tonaufzeichnungen, die anschließend an die TV-Stationen in aller Welt vertrieben werden, in der Hand eines verantwortlichen Dienstleisters, dem Host Broadcaster. So will es -- aus organisatorischen und Sicherheitsgründen -- das Internationale Olympische Komitee. Bei diesen Spielen benannte das nationale Organisationskomitee als Verantwortlichen das ISB.
Fragt sich, ob den Spielen in puncto Sicherheit damit nicht ein Bärendienst erwiesen wurde: Eine Firewall ist vor dem über Internet zugänglichen Mailserver in Defaultkonfiguration (Microsoft Exchange Server 5.5) jedenfalls nicht installiert. Ein einfacher Portscan ohne weiter gehende Analysen oder Einbruchsversuche ergab außerdem, dass zahlreiche Dienste nicht deaktiviert wurden:
Interesting ports on mail.isbtv.com (63.226.107.165):
(The 1527 ports scanned but not shown below are in state: closed)
Port State Service
21/tcp open ftp
25/tcp open smtp
27/tcp open nsw-fe
80/tcp open http
110/tcp open pop-3
119/tcp open nntp
135/tcp open loc-srv
139/tcp open netbios-ssn
143/tcp open imap2
389/tcp open ldap
443/tcp open https
563/tcp open snews
593/tcp open http-rpc-epmap
636/tcp open ldapssl
993/tcp open imaps
995/tcp open pop3s
1109/tcp open kpop
1112/tcp open msql
1433/tcp open ms-sql-s
6667/tcp open irc
6668/tcp open irc
Remote operating system guess: Microsoft NT 4.0 Server SP5 + 2047 Hotfixes
Über die offenen Ports ist der Zugriff auf den Mailserver sowie die Manipulation von Daten möglich. Erschwerend kommt hinzu, dass die derzeitigen Systemeinstellungen keine verschlüsselte Kommunikation (SSL/TLS) zulassen. Jeder Angreifer kann Mails abfangen, lesen, verändern oder -- maskiert -- eigene Nachrichten posten:
Trying 63.226.107.165...
Connected to 63.226.107.165.
Escape character is '^]'.
220 mail.isbtv.com ESMTP Server
(Microsoft Exchange Internet Mail Service 5.5.2653.13)
ready
starttls
554 Unable to initialize security subsystem
In der Praxis bedeutet das, dass es erstens möglich wäre, über den zentralen Informationsdienst ISB gefälschte Informationen bzw. Daten weltweit an alle Client-TV-Stationen zu verbreiten. Zweitens -- und diese Konsequenz ist in Bezug auf die Prävention terroristischer oder anderer feindlicher Akte wesentlich relevanter -- können durch die Angreifbarkeit des Systems falsche Zugangsberechtigungen für Sicherheitsbereiche erlangt werden.
Da die nahezu 2000 Mitarbeiter des ISB zumeist nicht persönlich oder nur sehr flüchtig bekannt sind, könnte sich jemand -- etwa als Krankheitsvertretung -- mit einer gefälschten und maskierten Mail des Sendeleiters Zutritt zu verschiedenen Bereichen erschleichen. Im Gegensatz zu den anwesenden Besuchern oder Journalisten haben ISB-Mitarbeiter auch zu kritischen und Hochsicherheits-Bereichen Zugang. Und ob vermeintlich vertrauenswürdige Mitarbeiter auf Waffen untersucht werden, ist fraglich. Eine Geiselnahme vor laufender Kamera beispielsweise wäre nicht auszuschließen.
Schließlich fand sich auf dem zentralen Mailserver noch eine Anwendung zum Software-Tauschen auf Credit-Basis (also Software gegen Software):
[]$ ftp mail.isbtv.com
Connected to mail.isbtv.com.
220-Jgaa's Fan Club FTP service
WarFTPd 1.70.b01.04 (Aug 18 1998) Ready
(C)opyright 1996 - 1998 by Jarle (jgaa) Aase - all rights reserved.
Da eine solche Software nicht zur PC-Standardausstattung gehört und in den USA bezüglich des Schutzes von geistigem Eigentum strenge Sitten herrschen, kann mit gutem Grund angenommen werden, dass hier Mitarbeiter oder so genannte Pubs (Personen, die Daten auf fremden Servern hinterlegen) ihr Unwesen treiben.
Die Nachlässigkeit bei der Überwachung eines Systems, auf dem sich ebenfalls sicherheitsrelevante Informationen zu den Spielen selbst befinden, spricht für sich. Das International Sports Broadcasting wurde mit mehreren Tagen zeitlichem Vorlauf von dieser Veröffentlichung informiert, sah jedoch kein Problem. Der Sicherheitsverantwortliche meinte, die auf dem Mailserver freigegebenen Dienste seien für den Betrieb nötig und würden ständig von seinen IT-Fachleuten überwacht. Für die Olympischen Spiele oder den Betrieb von ISB Entscheidendes befinde sich ohnehin nicht auf diesem Rechner.
Die Sicherheitsexperten des Beratungsunternehmens InfraLock GmbH, Microsoft Certified Partner, sind jedoch anderer Ansicht. "Eine Out-of-the-box-Installation eines Exchange-Servers ist ein idealer Ansatzpunkt für unerlaubtes Ausspähen des Systems", erklärt Thomas Schworm. Da ein Exchange-Server von Haus aus nicht unbedingt als sicher zu bezeichnen sei, solle man eine solche Installation in einem öffentlichen Netz möglichst vermeiden, ergänzt Joachim Hamacher von InfraLock.
Nachtrag: Seit dem heutigen Donnerstag ist der Server von ISB nicht mehr erreichbar. (ur)
