via powtac
Versucht ihr auch manchmal einen Gedankengang zurückzuverfolgen um zum Ausgangspunkt zurückzukehren? Gestern fand ich mich auf einmal auf einer Seite, die mich mit einem Eingabeformular begrüßte: USER-ID und PASSWORD stand dort in fetten Buchstaben. Wie ich dahinkam? Das kommt zum Ende der Geschichte.
Das ist die original Eingabemaske - ihr wisst jetzt, was ich mit Web 1.0 meine, oder?
Jeder halbwegs normale Mensch wird wohl aus reiner Neugier mal was eingeben (nicht? Okay, dann halt jeder Geek) und sehen was passiert. Statt einer Fehlermeldung, dass das Passwort falsch sei, bekam ich eine weiße Seite mit HTML Quelltext angezeigt. Okay, jetzt war meine Neugier geweckt. Ich schaute mir den Quelltext des Loginformulars erstmal an. Es fanden sich CSS Angaben, die mehr an Prä-CSS oder Web 1.0 Zeiten erinnerten: Attributsnamen komplett in Großbuchstaben, Nutzung des bgcolor-Attributs im body-Tag und intensiver Gebrauch von Tabellen zur Gestaltung. Aber kein Hinweis, dass das Passwort vielleicht per Javascript geprüft wurde, wie es die Aufmachung der Seite vielleicht erwarten lies (in den späten 90er Jahren war es durchaus möglich, dass das Passwort direkt im Quelltext stand – unverschlüsselt). Hier war also nix zu holen. Also weiter zur Ausgabe, die erschien, wenn ich beliebige Nutzerdaten eingab. Auch hier fand ich nix verwertbares.
Glücklicherweise hatte die Seite ein title-Tag und so konnte ich nach kurzer Beratung mit Google feststellen, dass es sich um ein Loginformular für das Webinterface einer Videoüberwachungsanlage handelte. Jetzt war ich schon etwas gespannter, denn die Tatsache, dass es sich bei der Adresse lediglich um eine IP handelte, lies die Vermutung zu, dass es sich um etwas privates handelte. Also weiter überlegt: Aus Erfahrung wusste ich, dass es oftmals Default-Passwörter gibt und nach etwas weiterer Beratung mit Freund Google fand ich die Default-User-ID und das dazugehörige Passwort auf der Herstellerseite – im passenden Manual.
Wunderbar dachte ich mir und freute mich wie ein kleiner Junge – wer schaut nicht anderen Leuten gerne heimlich zu? Doch so einfach sollte es mir nicht gemacht werden: Ich gab die Daten ein und drückte Enter und – landete wieder auf der weißen Seite mit dem Quelltext. Ich wollte schon aufgeben und das ganze als Internetleiche abstempeln, als mir eine kleine Änderung im Quelltext auffiel: Der Code lies darauf schließen, dass die Seite einen Frame anzeigte, der eine .asp Seite im src-Tag enthielt. .asp = Active Server Pages = serverseitige Skriptsprache von Microsoft. Hier machte es Klick: Es ist dynamisch, kommt von Microsoft und soll Video anzeigen – ich brauche den Internet Explorer und dubiose ActiveX Steuerelemente.
Ein Versuch war es wert: Also Parallels gestartet, XP gebootet und den IE gestartet. Seite aufgerufen. Daten eingegeben und: BAZINGA. Er fragt mich, ob ich ein ActiveX Steuerelement installieren möchte. Gespannt wie ein Flitzebogen wartete ich und fragte mich, was ich gleich sehen würde: Werde ich Zeuge eines Attentats und muss flüchten und mich von Jessica Alba retten lassen oder kann ich Menschen beim Sex beobachten?
Doch nix da. Die vier Kamerabilder die vor mir auftauchten zeigten ein dunkles Zimmer, eine Garage, eine Haustür und den Garten. Toll. Tschüss. Gute Nacht.
Doch halt: Google bietet doch das intitle Suchargument mit dem man Webseiten nach Titel durchsuchen kann. Also fix den entsprechenden Titel eingefügt und gesucht. Und Zack: 10 weitere Suchergebnisse. Ich fand noch eine Büroetage mit 16 Kameras, einen Privathaushalt mit 16 Kameras (seriously, wer brauch sowas?) und eine Baustelle mit 4 Kameras und anderen uninteressanten Krams. Und was lernen wir daraus? Entweder du änderst die Standardpasswört oder die verhinderst, dass man von außerhalb auf dein System zugreifen kann.
Okay, und wie kam ich jetzt dorthin? Ein ziemlich verrückter Gedankengang. Ich habe in irgendeinem Blog etwas über ein neues Start-Up gelesen, allerdings dessen Namen vergessen, lediglich die TLD .ca blieb mir im Gedächtnis. Und da ich Domainspielchen immer nett finde, hab ich mal ausprobiert, was noch so geht (z.B. http://obama.ca/n oder http://yeswe.ca/n http://oh.ca/ptain etc.) – ihr wisst schon. Und bei einer dieser vielen Spielchen tauchte das besagt Loginformular auf und so nahm es seinen Lauf.
Und ja, ich habe dem Hersteller eine Email geschickt und ihn darauf hingewiesen, dass es unklug ist, Standardpasswörter einzurichten, die auf jedem Gerät identisch sind.