[Generic/BSCW] File-Sharing über BSCW
(2004-07-28 17:25:47.513755+00)
Viele BSCW-Installationen können von organisationsfremden Benutzern eingesetzt werden, um große Datenmengen auszutauschen. Verstärkt werden diese nicht abgeschotteten BSCW-Server derzeit zum Austausch rechtswidriger Inhalte eingesetzt.
Betroffene Systeme
- BSCW-Server
Einfallstor
Zugriff auf das BSCW-System über HTTP bzw. HTTPS (Port 80/TCP bzw. Port 443/TCP)
Auswirkung
Angreifer können den BSCW-Server weitgehend anonym als Publikationsplattform verwenden (z.B. als Warez-Server).
Typ der Verwundbarkeit
design flaw
Gefahrenpotential
mittel
(Hinweise zur Einstufung des Gefahrenpotentials.)
Kontext
BSCW ist ein Web-basiertes Groupware-System, die u.a. Arbeitsbereiche für den Datenaustausch und einen gemeinsamen Kalender bereitstellt. Um die Zusammenarbeit zu erleichtern, sollen die Hürden bei der Registrierung neuer (interner und externer) Benutzer möglichst gering ausfallen.
Beschreibung
In der Voreinstellung bietet BSCW zukünftigen Benutzern an, sich selbst zu registrieren. Dazu ist lediglich die Angabe einer funktionierenden, vom Registrierenden gelesenen E-Mail-Adresse erforderlich (die über ein Challenge-Response-Verfahren verifiziert wird). Falls hier eine E-Mail-Adresse, die von einem der zahlreichen Webmail-Provider zugeteilt wurde, eingetragen wird, ist eine weitgehend anonyme Registrierung möglich.
Neue Benutzer erhalten automatisch einen Arbeitsbereich zugewiesen. Im Auslieferungszustand sind keine Quota gesetzt, so daß beliebige Datenmengen vom Benutzer hochgeladen werden können.
Inzwischen ist vermehrt zu beobachten, daß neue Benutzer angelegt werden, die Arbeitsbereiche mit Musikdatein und Filmen gefüllt werden und der Benutzername und das Paßwort an Dritte weitergeben werden, damit diese von dort aus Daten abrufen können. Unabhängig von der urheberrechtlichen Problematik können auch erhebliche Kosten durch das (besonders bei beliebten Dateien) große Verkehrsvolumen entstehen.
Diese Problematik betrifft vor allem BSCW-Systeme, die in der Konfiguration "MAY_REGISTER = []
" (weitgehend anonyme Selbstregistration, die Voreinstellung) und "MAY_REGISTER = None
" (Benutzer können weitere Benutzer registrieren) eingesetzt werden.
Gegenmaßnahmen
-
Wenn möglich, sollte statt "
MAY_REGISTER = []
" eine restriktivere Einstellung gewählt werden. -
Per
RESTRICT_MAIL
kann das Registrationsrecht an bestimmte E-Mail-Adresse gebunden werden. Es wäre z.B. möglich, die Registration nur für Adressen unter der Domainexample.org
und ihren Subdomains zuzulassen. Dadurch wird allerdings die Möglichkeit der Zusammenarbeit mit externen Nutzern deutlich eingeschränkt. -
Für nicht besonders privilegierte Benutzer sollten stringente Quota (wenige Megabyte) festgelegt werden. Als generischer Datenspeicher wird BSCW weniger interessant, auch wenn sich natürlich durch das automatische Registrieren vieler Benutzer trotzdem viel Speicherplatz belegen läßt.
-
Ab Version 4.2 werden Objekte, die in einem Ordner gespeichert werden, dem Quota des Ordner-Besitzers zugeschlagen. Ab dieser Version ist es daher möglich, die Quota für gewöhnliche Benutzer noch niedriger anzusetzen, wenn die Benutzer gleichzeitig angehalten werden, ihre Dateien in den Ordnern der entsprechenden Arbeitsbereiche zu speichern.
- Falls die Nutzungsbedingungen des BSCW-Servers es zulassen, können durch Analyse der Protokolldaten und der gespeicherten Dateien potentiell rechtswidrige Inhalte ermittelt werden.
Eine Möglichkeit, das Registrationsrecht zu delegieren (z.B. an Übungsgruppenleiter, die so ihre Gruppenteilnehmer registrieren können), ist derzeit nicht in der Software implementiert.
Weitere Information zu diesem Thema
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=1211