© complize, Photocase.com
Eine Firma veröffentlicht eine vorgeblich skandalöse Sicherheitslücke im E-Mail-Dienst von T-Online, Web.deund anderen Providern. Wer das Marketing-Gedöns beiseite schiebt und technischen Sachverstand walten lässt, erkennt: Alles alter Nippes.
"Neuer Telekom-Datenskandal - Bis zu 14 Millionen Kunden betroffen" - solche Meldungen mögen Journalisten. Denn von der Pressemitteilung [1] der Firma Resisto GmbH mit Sitz in Mainz scheinen viele Bundesbürger persönlich betroffen zu sein. Außerdem geht es gegen einen Konzern, der schon früher mit Datenschludereien aufgefallen ist. Im Kern weiß Resisto zu berichten, ein Sicherheitsteam unter Aufsicht neutraler Sicherheitsexperten habe bewiesen, dass jeder technisch Bewanderte bei der Telekom die E-Mail-Adressen der Kunden ausspähen kann. Die Lücke sei auch bei GMX und Web.de anwendbar.
Bei T-Com sei dieser Angriff wegen der numerischen E-Mail-Adresse besonders effizient, da der rosa Riese E-Mail-Adressen automatisch vergibt, die den Hauptbenutzernummern entsprechen. Die Pressemitteilung verweist gleich auf ein Tool bei [http://www.resisto.com], mit dem Kunden der Provider prüfen könnten, ob sie selbst betroffen sind.
Die Firma Resisto und ihr Geschäftsführer Tobias Huch (Abbildung 1) haben in Deutschland bereits einen Namen, wenn es um Datenskandale geht. Huch bekam nach eigener Aussage 2006 eine Kundenliste der Telekom angeboten (Interview unter [2]), die unter 17 Millionen anderen auch die geheimen Telefonnummern von Prominenten enthielt, was 2008 den so genannten T-Mobile-Datenskandal aufdecken half. Allein deshalb ist die neue Äußerung der Firma der Beachtung wert.
Abbildung 1: Tobias Huch, Geschäftsführer von Resisto IT, half den T-Mobile-Skandal ins Rollen zu bringen und sorgt nun selbst für die Schlagzeilen.
Die Pressemitteilung beschreibt einen Brute-Force-Angriff auf die Telekom-Server, der eine hinlänglich bekannte und viel diskutierte Eigenschaft von SMTP ausnutzt: Ein Server meldet im Dialog mit dem jeweiligen Client unmittelbar zurück, ob er überhaupt E-Mails für die übergebene Zieladresse annimmt. Listing 1 zeigt den Ablauf der SMTP-Kommunikation, nachgeahmt mit Telnet.
In Zeile 4 begrüßt der Server den Client, in Zeile 5 stellt sich der Client vor. Bereits hier darf der Client im Prinzip jeden beliebigen Rechnernamen verwenden, da SMTP über keine Authentifizierung verfügt. Die Zeilen 6 bis 8 zeigen eine (verkürzte) Antwort des Servers, in der er verfügbare Befehle auflistet. Anschließend gibt der Client seine Absenderadresse für die einzuliefernde E-Mail-Adresse an. Auch die prüft der Server in der Regel nicht. Die Serverantwort in Zeile 10 ist insofern etwas irreführend.
Mit »RCPT TO:« in den Zeilen 11 und 13 versucht nun der Client die Adressaten der E-Mail zu übergeben. Dabei prüft der Server, ob er für die Domains zuständig ist, was hier zutrifft, und ob die Adressen auch lokal eingerichtet sind (Zeilen 12 und 14). Diese Rückmeldung ist das, was die Pressemitteilung als Brute-Force-Angriff meint. Tatsächlich lässt sich der Mechanismus nutzen, um zu versuchen die Adressen unter einer Domain aufzuzählen oder auch nur zu checken, ob eine Zieladresse gültig ist.
Dafür bietet jedes besser sortierte Downloadportal im Bereich »E-Mail-Tools« Programme wie E-Mail-Verifier, die eine Adressenliste gegen die zuständigen Mailserver prüfen. Das sind klassische Spammertools, deren Beschreibungen sie meist als "Adressbuch-Prüfprogramm" tarnen. Mehr tut die Webapplikation der Resisto-Website auch nicht - eher weniger (siehe Kasten "Resistos Testskript").
| Resistos Testskript |
|---|
| Der Verifizierer suggeriert, dass ihn nur nutzen dürfe, wer vorher seine gültige E-Mail-Adresse angibt (Abbildung 2) - was aber nicht stimmt. Für ein Tool, das vorgeblich die Privatsphäre schützt, irritiert die Neugier trotzdem. Zwar sagt die Datenschutzerklärung, die Adresse werde nur 24 Stunden gespeichert. Da Resisto aber als E-Mail-Adressenkäuferin im Markt unterwegs ist [2], möge jeder selbst entscheiden, ob er das freundliche Angebot wahrnimmt. Das Tool beschränkt sich übrigens auf T-Online, GMX und Web.de. Dabei wäre es mit der PHP-Funktion »getmxrr()« ein Leichtes, den Test auf alle E-Mail-Anbieter auszudehnen. Wer per Telnet den Server abfragt, erfährt, dass hier ein Apache 2.0.52 und PHP 4.3.10-2 auf Debian laufen - beides keine aktuellen Versionen, die Changelogs listen Sicherheitslücken auf. Resisto als seriöse Sicherheitsfirma hat sie bestimmt mit eigenen Patches geschlossen... |
Die Telekom vergibt an jeden Kunden eine E-Mail-Adresse, die sich aus der elf- beziehungsweise zwölfstelligen so genannten T-Online-Nummer und der vierstellige Mitbenutzernummer zusammensetzt [3]. Da die Mitbenutzernummer in der Regel »0001« lautet, muss ein Angreifer maximal die ersten zwölf Stellen der Mailadresse raten. Das begrenzt die Menge nötiger Versuche auf 1012, also eine Billion.
Ende 2008 hatte die Telekom (mit Ausland) knapp 15 Millionen Breitbandkunden, was statistisch einen Treffer pro rund 70 000 geratenen Nummern erwarten lässt. Richtig ist: Würde die Telekom Adressen nicht fest vorgeben, wäre die Treffer-Wahrscheinlichkeit geringer.
Trotzdem gibt es effizientere Methoden, Millionen E-Mail-Adressen eines Landes mit einer guten Trefferquote zu generieren: Spammer können eine Telefonbuch-CD erwerben, daraus sämtliche Namen extrahieren und »Vorname.Nachname@t-online.de«, »...gmx.de« und »...web.de« gegen die jeweiligen SMTP-Server testen. So ein Skript müsste weit weniger als eine Billion Abfragen tätigen und würde darum nicht Wochen oder gar Jahre laufen wie beim Resisto-Vorschlag.
Alle Rezensionen aus dem Linux-Magazin
Im Insecurity Bulletin widmet sich Mark Vogelsberger aktuellen Sicherheitslücken sowie Hintergründen und Security-Grundlagen. mehr...
