[kde-de] Kritischer (KDE) Bug in SuSE Linux 9.1

Stefan Weinzierl Stefan.Weinzierl at PsyPam.com
Fr Jul 2 16:11:38 CEST 2004


In den letzten drei Jahren entwickelte ich ein System, um Passwörter einfacher 
und effizienter verwalten zu können. Da ich mich hierzu natürlich intensiv 
mit Passwortsystemen beschäftigen und auseinander setzen musste, bin ich 
wahrscheinlich für den unten beschriebenen Bug, oder besser gesagt für das 
aus ihm resultierenden Angriffsszenario, besonders sensibilisiert. Dies würde 
auch erklären, dass anscheinend vor mir niemand diesen Bug hier als recht 
bedeutsam erachtete, obwohl SuSE 9.1 ja schon seit fast genau zwei Monaten im 
Handel ist.

Im Rahmen des Versionswechsels von 9.0 auf 9.1 stellte SuSE auf UTF-8 als 
Codetabelle um. Insbesondere die Zuordnung der Umlaute und Sonderzeichen 
verschob sich dadurch, so dass z.B. Dateinamen mit Umlauten, welche mit einer 
vorherigen Version erstellt wurden, nicht mehr richtig lesbar sind.

Viel bedeutsamer als solche kleinen Unannehmlichkeiten ist aber, dass infolge 
des Wechsel der Codetabelle unter KDE, welcher ja bekanntlich den 
Standarddesktop bei SuSE verköpert, Umlaute und Sonderzeichen in Passwörtern 
unter Umständen nicht mehr richtig übermittelt werden können. Bei der Eingabe 
von  Umlauten und auch bestimmten Sonderzeichen in das entsprechende Fenster 
von KDE werden anstatt von einem ein Zeichen ZWEI Zeichen generiert. Zwar 
wird, wenn unter SuSE 9.1 neue Passwörter im Rahmen der Rechteverwaltung 
angelegt werden, dieser Fehler durch  entsprechende Ausschlusskriterien 
abgefangen. Aber die entsprechenden Einschränkungen bestanden in vorherigen 
Versionen nicht, so dass man sich bei alten Passwörtern unter Umständen nicht 
mehr über den KDE Desktop ordnungsgemäß autorisieren kann, obwohl man das 
richtige Passwort eingegeben hat. 
Dass deswegen möglicherweise über den KDE Desktop die Autorisation als 
Super-user root nicht mehr funktioniert, mag ja noch zu verschmerzen sein. 
Man kann sich ja inzwischen wieder direkt  gleich als Super-user root 
einloggen. (Ich glaube es war SuSE Linux 8.1, an dem dies über die graphische 
Benutzeroberfläche nicht mehr möglich war.) Außerdem kann man ja das 
Root-Passwort entsprechend den neuen Gegebenheiten angleichen.
Leider wird über das schon erwähnte Eingabefenster auch der 
Autorisationsdialog mit Kgpg(!), abgewickelt. Da hier die Verwendung von 
Sonderzeichen ausdrücklich angeraten wird, dürften in diesem Fall die durch 
diesen Bug entstehenden Einschränkungen schon beträchtlich mehr ins Gewicht 
fallen.
Besonders fatal dürfte allerdings sein, dass auch Kdewallet(!) von diesem Bug 
betroffen ist. Folglich gibt man Passwörter unter Umständen in Websiten und 
anderen passwortgeschützten Systemen in anderer Form ein als man dies in 
Kdewallet tut. Die Folgen von so etwas kann sich ja jeder selbst ausmalen.

Auf technischen Weg lässt sich der hier beschriebene Bug wahrscheinlich (und 
auch hoffentlich) nicht ausbeuten. Für Angriffsmöglichkeiten im Rahmen von 
Ansätzen des so genannten social engeneering ist er allerdings geradezu 
prädestiniert.
Eine bei der Ausspionierung von Passwörtern oftmals angewandte 
psychologisch-soziale Methode ist es, das potentielle Opfer in einen 
krisenhaften Ausnahmezustand  zu versetzen. Da der/die Betroffene in diesem 
Fall wegen der Notsituation automatisierte Handlungsabläufe verlassen muss, 
und beträchtlich unter Stress gerät, werden dann nämlich unter Umständen 
regulär angewandte Sicherheitsmaßnahmen außer Kraft gesetzt, und ein 
eventueller Angriff erleichtert, bzw. erst ermöglicht.
Beim klassischen Hackerangriff auf den CIA Rechner im Film "Mission 
Impossible" (Tom Cruise hängt wie eine Spinne über dem Rechner), um ein 
Beispiel aus der "Literatur" zu nennen, wurde diese Methode z.B. sogar 
zweimal angewandt: Zunächst wurde ein Fehlalarm ausgelöst. Dadurch war es 
möglich, fremde Personen als Feuerwehrleute verkleidet in das Gebäude zu 
schleußen, ohne dass diese die ansonsten üblichen Sicherheitkontrollen 
durchlaufen mussten. Sodann wurde dem Mitarbeiter, der die Benutzung des 
Zielrechners innehatte, ein Medikament appliziert, welches bei ihm, gerade 
als er am Rechner saß, eine große Übelkeit auslöste. Infolge dieser Übelkeit 
sah er sich genötigt, den Rechner unbeaufsichtigt zu lassen, ohne ihn noch 
ordnungsgemäß herunterfahren zu können. Dadurch konnte Tom Cruise überhaupt 
erst unbemerkt auf diesen Rechner zugreifen, und die benötigen Daten von ihm 
herunter kopieren.

Wenn jemandem nach der Eingabe von Passwörtern eine Zugriffsverweigerung 
zurückgemeldet wird, geht er wahrscheinlich zunächst einmal davon aus, dass 
er das Passwort falsch eingegeben hat. Er also selbst einen Fehler gemacht 
hat. Externale Faktoren, also z.B. wie hier, dass die Tastatureingaben falsch 
interpretiert werden, schließt er auch nach weiteren Fehlversuchen zunächst 
einmal aus. Denn gerade unter diesen spezifischen Umständen hier dürfte einem 
so etwas ja als recht unwahrscheinlich erscheinen. Vorher nämlich, als das 
System noch nicht auf SuSE 9.1 upgedatet war, hat ja noch alles einwandfrei 
funktioniert. Auch dass nach der Eingabe von Sonderzeichen und Umlauten zwei 
Sternchen anstatt von einem im Eingabefeld auftauchen, kann man sehr leicht 
übersehen.
Nach mehrmaligen Auftreten solcher Fehlermeldungen wird die betroffene 
Benutzerin bzw. der betroffene Benutzer deswegen mit großer 
Wahrscheinlichkeit  die gemachten Eingaben zu verifizieren suchen, also dass 
sie bzw. er z.B. auf schriftliche Aufzeichnungen des entsprechenden 
Passwortes zurückgreift. Dazu müssen die entsprechenden Passwortdaten aus 
ihrer gesicherten Umgebung herausgelöst werden. Die entsprechenden 
Aufzeichnungen müssen also z.B. aus einem Tresor genommen werden, oder eine 
verschlüsselte Datei, welche des Passwort enthält, muss entschlüsselt werden. 
Gerade dann, wenn dies geschehen, könnten sich Möglichkeiten ergeben, dass 
Passwort auszuspionieren. 
Es könnte sogar möglich sein, dass in diesem Fall versucht wird, über eine 
entsprechde Notzugriffsprozedur wieder Systemzugriff zu erlangen. Unter SuSE 
Linux kann man z.B. durch Löschung des entsprechenden Links in der Datei 
passwd einen root Zugriff ermöglichen, ohne dass hierzu ein Passwort 
eingegeben werden muss. Leider ist diese Maßnahme, wie ich schon am eigenen 
Leib erfahren durfte, nicht mehr reversibel. Es muss also dannach, soweit ich 
informiert bin, um den root acount wieder mit einem Passwort sichern zu 
können, das Betriebssystem gänzlich neu aufgespielt werden. Mit diesem Bug 
nun könnte man unter Umständen jemanden so weit bringen, dass er den 
Root-Account auf diese Weise öffnet. Dann wäre der betroffene Rechner mit 
Sicherheit über einige Tage hinweg sehr stark ungesichert, was sich natürlich 
auch wieder entsprechend ausnutzen ließe.
Sicher dürfte es noch hundert andere Möglichkeiten geben, wie man diesen Bug 
missbrauchen könnte. Ich will es aber bei diesem einem Beispielen belassen. 
Zeigt sie doch alleine schon recht eindringlich und plastisch, was für eine 
Bedrohung für  Computersysteme der hier beschriebene Bug unter Umständen 
darstellen kann!!



-- 
Das Schöpferische erkennt durch das Leichte
Das Empfangende vermag durch das Einfache