Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-1211

[Generic/BSCW] File-Sharing über BSCW
(2004-07-28 17:25:47.513755+00)


Viele BSCW-Installationen können von organisationsfremden Benutzern eingesetzt werden, um große Datenmengen auszutauschen. Verstärkt werden diese nicht abgeschotteten BSCW-Server derzeit zum Austausch rechtswidriger Inhalte eingesetzt.

Betroffene Systeme

Einfallstor
Zugriff auf das BSCW-System über HTTP bzw. HTTPS (Port 80/TCP bzw. Port 443/TCP)

Auswirkung
Angreifer können den BSCW-Server weitgehend anonym als Publikationsplattform verwenden (z.B. als Warez-Server).

Typ der Verwundbarkeit
design flaw

Gefahrenpotential
mittel
(Hinweise zur Einstufung des Gefahrenpotentials.)

Kontext
BSCW ist ein Web-basiertes Groupware-System, die u.a. Arbeitsbereiche für den Datenaustausch und einen gemeinsamen Kalender bereitstellt. Um die Zusammenarbeit zu erleichtern, sollen die Hürden bei der Registrierung neuer (interner und externer) Benutzer möglichst gering ausfallen.

Beschreibung
In der Voreinstellung bietet BSCW zukünftigen Benutzern an, sich selbst zu registrieren. Dazu ist lediglich die Angabe einer funktionierenden, vom Registrierenden gelesenen E-Mail-Adresse erforderlich (die über ein Challenge-Response-Verfahren verifiziert wird). Falls hier eine E-Mail-Adresse, die von einem der zahlreichen Webmail-Provider zugeteilt wurde, eingetragen wird, ist eine weitgehend anonyme Registrierung möglich.

Neue Benutzer erhalten automatisch einen Arbeitsbereich zugewiesen. Im Auslieferungszustand sind keine Quota gesetzt, so daß beliebige Datenmengen vom Benutzer hochgeladen werden können.

Inzwischen ist vermehrt zu beobachten, daß neue Benutzer angelegt werden, die Arbeitsbereiche mit Musikdatein und Filmen gefüllt werden und der Benutzername und das Paßwort an Dritte weitergeben werden, damit diese von dort aus Daten abrufen können. Unabhängig von der urheberrechtlichen Problematik können auch erhebliche Kosten durch das (besonders bei beliebten Dateien) große Verkehrsvolumen entstehen.

Diese Problematik betrifft vor allem BSCW-Systeme, die in der Konfiguration "MAY_REGISTER = []" (weitgehend anonyme Selbstregistration, die Voreinstellung) und "MAY_REGISTER = None" (Benutzer können weitere Benutzer registrieren) eingesetzt werden.

Gegenmaßnahmen

Eine Möglichkeit, das Registrationsrecht zu delegieren (z.B. an Übungsgruppenleiter, die so ihre Gruppenteilnehmer registrieren können), ist derzeit nicht in der Software implementiert.

Weitere Information zu diesem Thema

(fw)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=1211