Lustige Anekdote

Startseite

Meine Seiten
Zur Person
Projekte
Veröffentlichungen
Linux on Laptops
Gnome2
Linux x86 Assembler
Scheme
AVR Mikrocontroller
Theoretische Informatik
Algorithmen
DVB-T mit Linux
DVB-x zu AVI
Linux Dolby Digital
xpdf Document Protection
GnuCap Tutorial
Gästebuch

Meine Projekte
SambaScanner
TempGrid
Haustürklingel
Fraktale
Soekris
416118 Besucher

Vor einem guten Jahr habe ich den Vortrag "Wireless LANs und Sicherheit - Geht das überhaupt?" auf den 3. Erlanger Linuxtagen gehalten. Um aufzuzeigen, was für Probleme ungesicherte WLANs verursachen habe ich dazu natürlich ein Paar Feldversuche gestartet: Unter Anderem habe ich hierfür einfach mal mitgeschnitten, was für Daten so an der Technischen Fakultät meiner Uni so über den Äther gehen. Teilweise waren dabei auch User/Passwort-Kombinationen dabei, die über ungesicherte Verbindungen übertragen wurden (also beispielsweise POP3, SMTP, HTTP und so weiter). Die Kombination der beiden Daten habe ich gelöscht und lediglich die Passwörter in den Vortag eingebaut: So war es unmöglich, irgendwelche Accounts aufgrund der von mir gesammelten Daten aufzuhebeln. Dies war als eindrucksvolles Beispiel gedacht, da viele Leute überhaupt erst begreifen, dass solch ein Vorgehen funktioniert, wenn sie tatsächlich Passwörter im Klartext an die Wand projeziert sehen.

Unter anderem waren hierbei auch Passwörter dabei, die eindeutig hohe Sicherheitsstandards erfüllen (Groß- und Kleinschreibung, Sonderzeichen, Ziffern). Dies ist ein Indiz dafür, dass genau dieses Passwort auch für das Rechenzentrumslogin benutzt wird. Beim Anlegen eines Rechenzentrumspassworts werden nämlich alle "einfachen" Passwörter einfach verweigert. Laut Benutzerrichtlinien des RRZE ist es verboten, sein RRZE-Passwort noch für irgendeinen anderen Dienst zu verwenden! Dies schließt selbstverständlich Mail und irgendwelche Web-Accounts ein. Falls also ein Benutzer versehentlich sein Passwort im Klartext übertragen hätte, hätte dieser Benutzer schon im Voraus eindeutig gegen die Benutzerrichtlinien verstoßen. Soweit, sogut.

Über ein Jahr später, es ist der Mai 2006. An der Universität angekommen will ich mich per WLAN einloggen um ein Paar Skripte herunterzuladen. Das Anmeldesystem "Nomadix" verweigert meine Anmeldung mit der Fehlermeldung: "We are sorry: An error has occurred. Unknown Service-Type!" Erst einmal schob ich diese Fehlermeldung auf das überlastete WLAN oder ein kaputtes Nomadix-System. Nach ein Paar Tagen der erneute Versuch: exakt dieselbe Fehlermeldung.

Dann bat ich einen Kumpel von mir, sich an meinem Laptop mit seiner Kennung einzuloggen - voila! Einwandfrei. Meine Kennung wieder probiert - Fehlanzeige. Gut, der obligatorische Gang zum RRZE folgte. Ich erklärte mein Problem dem freundlichen Herrn an der Service-Theke. Dann zeigte ich meinen Laptop vor und führte vor, wie mein Loginversuch fehlschlug. Der Mitarbeiter des RRZE sah in die Logs des RADIUS-Servers (welcher für die Logins verantwortlich war) und bemerkte, dass er eine Meldung bekäme, die Kennung sei ungültig. Wenn jedoch das Passwort falsch gewesen wäre, würde die Meldung anders lauten. Daraufhin bat er mich, mich an einer Konsole einzuloggen. Der Login schlug auch hier fehl. Langsam zweifelte ich schon daran, ob ich mir mein Passwort richtig gemerkt hatte... merkwürdigerweise hatte ich es letztes Semester wöchentlich benutzt und nie Probleme gehabt.

Schließlich kam ich auf die Idee, zu fragen, ob das Account möglicherweise abgelaufen sei. Ich hätte keine Bestätigungsemail bekommen, die normalerweise jedes Semester bestätigt, dass das RRZE-Account weitergeführt wird. Der Mitarbeiter des RRZE tippte also auf der Konsole herum und gab plötzlich ein lautes "Oh!" von sich. Ich daraufhin "Oh?" - "Der Login ist gesperrt!" - "Gesperrt?" - "Manuell gesperrt." Ein verwirrter Blick von mir... und ein leises "Manuell..." Kurz darauf verschwand der Herr in Richtung Rechenzentrum. Ich war weiterhin guter Dinge, da ich mir keiner Schuld bewußt war. So ungefähr fünf Minuten sah ich mich in dem Raum der Service-Theke um, bis der Mann zurückkam. "Ja, ich weiß jetzt warum der Account gesperrt ist." Ich darauf: "Ja, warum?" worauf er "Das wird Ihnen nicht gefallen..." erwiederte. Jetzt guckte ich wie ein Reh ins Fernlicht. Ziemlich dumm. "WLAN-Sniffing an der Uni... das haben wir nicht so gern..." In meinem Kopf gingen alle Gedanken durcheinander... Sniffen? Ich? Schon ewig nicht mehr! Verwirrt meinte ich also "Ja, ich habe da mal einen Vortrag drüber gehalten... aber das ist über ein Jahr her!"

Im Endeffekt lief es darauf hinaus, dass der Mitarbeiter des RRZE mir erklärte, dass die Sperrung auf "Anschuldigung eines Kommilitionen" hin geschehen sei, der wohl auch einen Link auf meinen WLAN-Vortrag an das RRZE gesandt hatte. Daraufhin sah sich das RRZE gezwungen, den Account erst einmal still zu legen, um meine Stellungnahme dazu einzuholen. Nachdem ich erklärt hatte, dass der Vortrag ja eigentlich genau dazu gedient hatte, solchen Mißbrauch aufzuzeigen und zu verhindern wurde auch mein Account wieder reaktiviert. Trotzdem eine nervige Angelegenheit.

Mein persönliches Fazit: Ich denke Mal, irgendjemand hat sein Passwort in meiner Liste zufällig gefunden. Und kam sich dann mal richtig dumm vor. Statt seinen Fehler stillschweigend zu akzeptieren und sein Passwort schleunigst zu ändern, beschloß dieser jemand wohl, lieber mich anzuschwärzen. Nur um es noch einmal klarzustellen: Das Herauslesen des RRZE-Passworts ist nur dann möglich, wenn jemand tatsächlich so naiv ist, das Passwort an zweiter Stelle zusätzlich zu verwenden.

Vielleicht findet der Feigling, der zum RRZE gegangen ist ja hier die Geschichte, in der er vorkommt. Dann darf er sich freilich bei mir melden und wird an dieser Stelle rühmlich erwähnt. Ich warte auf deine Mail!

Valid XHTML 1.1! Valid CSS! Get Firefox!