15.03.2001

WEF fiel auf monströsen Microsoft-Bug hinein

Microsoft SQL Server hatte einen standardmässigen Riesenbug + Bekannt seit August 2000 + Allerdings nur wenigen – dank Microsofts larger Informationspolitik.

Von Constantin Seibt

Die guten Bemerkungen fallen einem fast immer zwei Minuten nach dem Streit oder der Sitzung ein. Die wirklich guten Stories bekommt man zwanzig Minuten nach Redaktionsschluss… Jetzt ist es 15 Uhr 30 – nichts geht mehr.

Und hier ist die Story: Wenn der World Economic Forum-Gründer Klaus Schwab schon jemanden für den Wef-Hack dingfest machen will, dann soll er sich an seinen prominentesten und vermögendsten seiner Gäste halten: Wiliam Gates III, genannt Bill. DENN MICROSOFT IST DER HAUPTSCHULDIGE AN DEM WEF-HACK!!

Aber von Anfang an: In der NZZ erschien eine Kurzmeldung, in der die Stories von WoZ und SonntagsZeitung zusammengefasst sind. Referiert wird die WoZ-Story von der Lücke in Port 1433 des Wef-Servers und dem nicht geänderten Passwort. Die Hacker konnten "sa" für Systemadministrator und "" (Return) benutzen, um volle Zugriffsrechte zu erhalten.

Die NZZ fährt fort: «Anders beurteilt die Sachlage dagegen André Schneider, administrativer Direktor beim Wef. Schneider hält auf Anfrage fest, dass das besagte Passwort vom Web-Verantwortlichen des Wef vorschriftsgemäss geändert worden sei. Offenbar sei es aber den Hackern gelungen, das Standard-Passwort für System-Administratoren wieder einzusetzen. Es steht hier Aussage gegen Aussage…»

Sämtliche von der WoZ befragten Datenbank-Experten führten auf die falsche Fährte. Die Aussage des Wef-Programmierers sei «ziemlich skurril», «sehr, ja sehr, sehr zweifelhaft», man könne sich «nicht vorstellen, dass in einem weit verbreiteten Microsoft-Programm ein derart riesiger Bug steckt», ansonsten sei es klar, dass der Wef-Mensch nach all dem Desaster, das er gebaut habe, «den Arsch online» habe und «fast zum Meineid gezwungen» sei…

Aber das stimmt nicht. Der Wef-Mensch hat nicht gelogen, nur geschlafen. Wer bei Google die Suchbegriffe «sql microsoft sa password» eingibt, kommt schnell auf ein riesiges Diskussionsforum zu einem riesigen Bug im Microsoft-Programm.

Es handelt sich hier um Microsoft SQL Server in der Version 7.0. Der SQL Server ist ein Datenbankprogramm für mittlere bis grosse Unternehmen – vielleicht eines der sensibelsten Produkte auf dem Markt.

Im Slashdot-Einleitungstext vom 21. August 2000 heisst es dazu:
«Vielleicht haben Sie was über die SQL-Sicherheitslücke gehört – nicht? Das Riesenei, das man letzten Dienstag gefunden hat? Vor sechs Tagen? Nein? Vielleicht deshalb nicht, weil Sie nicht NTBugtraq gelesen haben. Im Microsoft Security Digest steht es eben nicht.»

Wie es Cracker Herbless beschreibt:
«Es ist nun in der Öffentlichkeit ein offenes Geheimnis, dass MS-SQL ein nacktes 'sa'-Passwort hatte. Und dieses knackt eine Menge Server auf dem Internet.»
Herbless machte keine Scherze. Tatsächlich, wenn man SQL Server 7.0 benutzt und keine Firewall besitzt, die den Port deckt, und das Systemadministratorpasswort nicht geändert hat, ist man verwundbar.
(…)
Man sollte meinen, das ist eine Sicherheitslücke, oder? Aber man lese zuerst Microsofts Bekanntmachungen: 'Dieses Programm hat keine Sicherheitslücken.'
Ist das nicht seltsam, dass eine derartige Hintertür keine Sicherheitslücke ist? Liest man wirklich soweit, dass die Nicht-Sicherheitslücke nur die neuere Version, den SQL Server 2000 betrifft? (Die Lücke betrifft nur Version 7.0).

Die einzige Pressemeldung bisher schiebt den Schwarzen Peter den Web-Administratoren zu:
«Gehackte Websites haben die Gebrauchsanweisung nicht gelesen.»
«Microsoft macht lieber die Administratoren verantwortlich, als zuzugeben, dass sie einen Bug in die Software eingebaut haben – und lässt somit hunderte von Firmen, die SQL gekauft haben, völlig ungeschützt gegenüber einer Hacker-Attacke.»

Hunderte? Mindestens Hunderte. Und es ist keine theoretische Verwundbarkeit. (…) Herbless hackte Firmen und Organisationen vom National Transportation Safety Board bis zur Commonwealth Telecommunications Organisation.

Nur um den Spass richtig rund zu machen, schrieb Herbless, schaltet der Fehler bei SQL 7.0 zu allem Überfluss auch das logging-File ab, d.h.: JEDE ERFOLGREICHE ATTACKE HINTERLÄSST NICHT DIE MINDESTEN SPUREN.

Wer seine Webpage sichtbar gehackt kriegt, hat Glück. So weiss man wenigstens von seinen Problemen. Aber hunderte von Seiten sind mit Sicherheit schon von finsteren Typen mit einem Backoffice-Programm ausspioniert worden. Das Passwort fortlaufend zu ändern hilft nichts: Man kann jederzeit wieder mit dem gleichen Trick gehackt werden.
Die richtige Korrektur würde bedingen, dass das Passwort VOR dem ersten Benutzen der Software geändert würde … es ist schwer einzusehen, wie so etwas NICHT eine Sicherheitslücke genannt werden kann…»

Darauf folgt bei Slashdot eine 50-A4-Seiten-lange Diskussion, in der gestritten wird, ob Microsoft oder die Systemingenieure schuld seien – und präzise Angaben gegeben werden, WIE ein SQL-Server 7.0 gehackt wird…

Am besten fasst es ein Posting von «jallen02», Montag dem 21. August 2000, zusammen:
«Was für ein bullshit… das Passwort ist ein RETURNSCHLAG... öffne den Enterprise Manager, ziele bei der website auf port 1433, benutzername "sa", passwort ""… DU BIST DRIN... wer glaubt sowas... mir fällt vor lachen der arsch ab.. dass man sowas nicht benutzen sollte... das ist NUR microsoft's fehler.»

So weit, so wild. Was sind die Folgerungen daraus? Schnell gesagt:
1. Der Wef-Webmanager hat nicht gelogen.
2. Er hat geschlafen und die Gebrauchsanleitung nicht gelesen.
3. Die Gebrauchsanleitung ist aber offensichtlich ein gemeingefährlichs Verbrechen.
4. Microsofts Informationspolitik über Fehler scheint auch nach der ersten Woche der Entdeckung ziemlich lax gewesen zu sein.
5. Und, hallo, Microsoft! Es geht hier nicht um Pipifax, sondern um den schlimmstmöglichen Fehler. Es geht um eine auf grössere Unternehmen zugeschnittene Datenbank, die praktisch schutzlos jedem nur halbwegs mit der Materie Vertrauten ausgeliefert wird.
6. Was den Hack betrifft, stellt er sich im Lichte des Slashdot-Forums noch einfacher als angenommen dar.
7. Die rechtlichen Folgen sind noch unklar.
8. Nur die Rolle der Idioten hat sich verdoppelt: zum Wef gesellt sich Microsoft. (Allerdings muss man zugeben: Beide Organisationen sind in ihrer Idiotie so skrupellos wie verschwiegen wie erfolgreich.)
9. Aber schön ist es doch, dass ausgerechnet der grösste Global Player unter seinen Teilnehmern dem Wef derart Ärger, Spott und Schande eingebrockt hat.
10. :-)

Präzisierung vom 20.3.2001:

WEF-Programmierer doch nicht aus dem Schneider! + Bug doch nicht so monströs + Microsoft nur grober Unhöflichkeit schuldig + Der Arsch des WEF-EDV-Spezialisten ist also immer noch online.

Nun, vielleicht sind die Bemerkungen, die einem nach einem Streit oder einer Sitzung einfallen, doch nicht die besten. Und die Artikel nach Redaktionsschluss auch nicht.

Jedenfalls hat es – wie ausgiebige, köpferauchende Sitzungen mit dem Datenbankexperten Alain Stammberger (merci, Alain!) und ein Hinweis von Inymedia (merci, Indy!) ergaben – zwei Ungenauigkeiten im obigen Text.

Sie basieren darauf, dass die Slashdot-Debatte (wie die von allen ehrenwerten Menschen) microsoft-feindlich gefärbt ist. Sicher, Microsoft ist alles andere als ein sympathisches Unternehmen, aber seine Hauptschuld am WEF-Debakel besteht nicht in einem monströsen Bug, sondern in fahrlässiger Unhöflichkeit den Usern gegenüber.

Unbestrittener Fakt ist, dass das Datenbank-Programm Microsoft SQL Server 7.0 die Käufer nicht zwingt, das Passwort zu ändern. Kein Fakt ist aber, dass NACH dem Ändern des Passworts derselbe «sa / RETURN»-Trick immer noch funktioniert.
Die einzige mögliche Ausnahme besteht darin, dass das Passwort ZU SPÄT – also nach einigen Tagen, Wochen, Monaten – geändert wurde, und dass in der Zwischenzeit sich ein Hacker mit einem eigenen Passwort einen zweiten Account mit allen Rechten eines Systemadministratoren angelegt hat.

Das entlastet die WEF-Informatiker aber kaum. Denn dieser Systemadministrator Nummer 2 – ein klassischer Maulwurf – hätte von einem echten Profi nach kurzer Suche entdeckt werden können.

Die Folgerungen daraus sind diese:
1. Das Passwort der WEF-Datenbank ist entweder bis Mitte Januar 2001 nicht geändert worden. Oder es ist zu spät geändert worden und jemand hat einen Maulwurf-Account eingerichtet.
2. Letzterer wäre aber zu entdecken gewesen.
3. Das vom WEF-EDV-Verantwortlichen eidesstattlich behauptete «Zurücksetzen eines vorschriftsmässig geänderten Passworts» auf seinen Urzustand ist nach neuer Sachlage so unwahrscheinlich wie zuvor. Das Eindringen in ein so gesichertes System wäre ohne gröbere Hacker-Tricks nicht möglich gewesen. Diese hätten aber Spuren zurückgelassen – im Wef-Hack-Bericht des Genfer Untersuchungsrichters werden aber keine genannt. Kurz: Der Hack ist nur bei grobfahrlässigem Handeln der WEF-Informatikabteilung denkbar.
4. Neu an dem obigen WoZ-online Artikel ist also, dass das geöffnete Port 1433, der Benutzername "sa" und das Passwort "" bei Microsoft SQL Server eine standardmässige Einheit bilden. Der Hack war somit noch einfacher als angenommen. Wusste man, welche Datenbank das WEF verwendete, konnte man nicht nur die Standard-Passwörter probieren, sondern kannte auch den Ort der Sicherheitslücke.
Und umgekehrt: Steht an einem Server Port 1433 offen, kann man darauf wetten, es mit einer Microsoft SQL-Datenbank zu tun zu haben. Und als erstes es mit dem Benutzernamen "sa" und dem Passwort "" probieren.
5. Microsofts Fehler war nicht ein softwaremässiger, sondern ein didaktischer – typisch für die Arroganz der Software-Industrie. Es beschrieb die mögliche Sicherheitslücke zwar im Handbuch, zwang aber niemanden, sie zu schliessen. (Wer liest schon bei der Installation das Handbuch?)
6. Dass dies von Microsoft trotz x gehackter Microsoft-SQL-Server-Datenbanken nicht breit an die Käufer kommuniziert wurde, bleibt eine grobe Unhöflichkeit. Oder noch mehr: Da es bekannt ist, dass Käufer einfach blind drauflosinstallieren und Fehler gemacht werden, wo Fehler vorkommen können, ist Microsofts Verhalten trotzdem am Rande der Fahrlässigkeit.
7. Datenbanken sollten also von Profis installiert werden. Artikel über diese auch von solchen geschrieben werden.
8. Das passiert aber leider nicht immer. ;-)

Die Slashdot-Debatte über den SQL-Monster-Bug

Wenn Ihnen der unabhängige und kritische Journalismus der WOZ etwas wert ist, können Sie uns gerne spontan finanziell unterstützen:

Überweisung

PC-Konto 87-39737-0
BIC POFICHBEXXX
IBAN CH04 0900 0000 8703 9737 0
Verwendungszweck Spende woz.ch