ist auf keinen Fall so unfähig, wie es dieser unüberlegte Eintrag, irrigerweise vermuten lassen würde. Der Eintrag wurde von mir und Ed nicht schon nach dem ersten Bier, sondern deutlich später verfasst. Auch war er nicht mit den anderen Aktiven von FEiNT.org koordiniert -- diese haben ab Freitagvormittag fast geschlossen berechtigte Kritik an dem Eintrag geübt.
Nachdem die Autoren des SCC-Eintrags sich heute, nachmittags, mit dem Leiter und dem IT-Sicherheitschef des SCC getroffen haben ist ihnen klar, dass sie nicht nur entgegen ihrer eigenen Ethik gehandelt, sondern auch realen Schaden angerichtet haben. Das ist ihnen fürchterlich peinlich -- Wir hätten deutlich weniger trinken und mehr denken sollen. Dann wäre selbst uns aufgefallen, dass mensch auf gefundene Sicherheitslöcher erst deren BetreiberIn hinweisen sollte ... und dann -- nach reichlicher Überlegungszeit -- evennetuell die Öffentlichkeit.
Aufgrund unserer Unüberlegtheit wurde das SCC durch unser Handeln gezwungen, die für kommenden März geplante Verbesserung der Netzwerksicherheit nun notfallmäßig umzusetzen. Hierdurch entstehen erhebliche Probleme nicht nur für die Mitarbeiter des SCC, sondern auch für alle Nutzer der Netzwerkstrukturen.
Dies ist uns überhaus unangenehm und peinlich. Vorallem da wir dem SCC eindeutig auf der flaschen Ebene begegnet sind. Wir bitten darum, in der Mensa mit Pommes beworfen zu werden.
Für alle Beteiligten wäre es das Beste, wenn alle NutzerInnen des SCC bei nächster Gelegenheit ihr Passwort unter Berücksichtigung dieser Sicherheitsanregungen ihr Passwort änderten. Ja: Alle NutzerInnen ... nicht wie nach den beiden letzten Aufforderungen des SCC nur 20% bzw. 60%. Ihr gefährdet Euch durch die Nichtänderung der Passwörter nicht nur selbst, sondern auch Euere KomilitonInnen.
Für den gesamten Vorfall möchten wir bei allen Betroffenen aufrichtig um Entschuldigung bitten und nochmals betonen dass uns die Situation überaus peinlich ist.
[update] Resonanz von mt
scheint an unserer geliebten Universität das Akronym für Servicezentrum für Computersysteme und -kommunikation zu sein. Auch, wenn ich's bei dem Namen persönlich ja SCK genannt hätte aber vielleicht wurde das beim Abkürzen ja in's Englische übersetzt. Ein junger Mann mit dem ich wiederholt in der Mensa gefrühstückt habe, nannte die Mittagsessengruppe des SCCs, die wir während des Frühstücks wiederholt getroffen haben, immer den "Behindertenkindergarten" – das fand' ich nicht so nett. Aber vielleicht steht SCC in Wirklichkeit Schon Comische Cinder.
Letzteres würde zumindest einige ihrer Sicherheitsstrategieen erklären. So hindern sie mich regelmäßig – also täglich – daran Linuxdistributionen zu verbreiten, bitten mich aber darum, dass ich ihren Mailserver nutze (worin sie die einzige Möglichkeit sehen, sicher zu stellen, dass die von mir versandten E-Mails auch von mir stammen). Den Blödsinn mit den E-Mails werd' ich hier jetzt nicht kommentieren, den wie schnell E-Mail-Adressen gekapert sind weiß heutzutage schon jeder Bildleser.
Andere Services des SCC nutze ich auch nur selten und wenn, dann nur unter Verwendung größerer Vorsichtsmaßnahmen als ich im kostenlosen WLAN von Bahnhofskneipen an den Start bringen würde. Zu diesem Zweck hilft es, dass vor einigen Wochen eine Liste im Bus gefunden wurde, die Nutzernamen und Passwörter von Nutzern enthält, die nicht-natürlichen Personen zugeordnet sind [diese Liste kann auf Anfrage weitergegeben werden]. Ich geh' einfach davon aus, dass es schon in Ordnung geht, wenn ich hier mit
user: siemens
pass: siemens.
das Netz nutze. E-Mails gehen dennoch nicht durch aber nach Anlage 2, § 4, Satz 2 der Nutzungsordnung geht das schon in Ordnung, dass ich innerhalb der Uni so ausgefallene Protokolle wie IMAP nicht nutzen kann. Vielleicht ist ihnen ja aufgefallen, dass sie ihren Mehlserver so häufig ausfällt, dass Studierende ihre Privatsphäre lieber an US-amerikanischen Unternehmen preisgeben als ihnen.
Grund dieses Posts ist aber ein anderer. Vor eingien Tagen wurde das Arbeitstier der Rechnerinfrastruktur unserer Uni offline genommen. Dafür gibt's jetzt hübsche neue Hardware und Single-Sign-On-Accounts für alle Systeme und Pools der Uni. Das ist schon schick. Scheint aber eine Kleinigkeit verfrüht durchgeführt worden zu sein. Das Erste, was jemand nach der Umstellung im Bus gefunden hat war die Liste aller 7455 Logins, die das SCC derzeit verwaltet [auch diese Liste kann auf Anfrage vorgezeigt werden]. Der oben veröffentlichte Eintrag sieht da z.B. so aus:
siemens:mi4SbmDAImKTI:18565:20:Projekt Siemens:/home/zuv/siemens:/bin/csh
oder in menschenlesbar:
Login-Name:gehashtes Passwort:Klarname:Heimatverzeichnis des Nutzers:Login-Shell
Noch sind die Passwörter nicht offen. Aber dank der zu erst gefundenen Liste und einiger Freiwilliger haben wir ca. 20 Cribs. Es scheint nur noch eine Frage der Zeit und Rechenpower bis alle Passwörter vorliegen. Derzeitiger Zwischenstand: Wir wissen wie der Hash gesalzen ist, wir wissen wie gehasht wird, wir haben Rechenpower und Zeit.
Also: Wenn mein Vertrauen in's SCC jemals bestanden hätte, jetzt wäre der Zeitpunkt an dem ich meine E-Mails und anderen Daten auf Computer verlegen würde, die mir oder Menschen denen ich vertraue gehören.
Mein eigentliches Problem ist aber, dass der Kollege neben mir dabei ist ein sehr gutes und sicheres Passwort von mir freizurechnen. Ein Passwort, das ich auch in anderen Zusammenhänge verwende. Leider sind das nicht nur Uni-Spielzeug-Server, sondern zentrale Teile meiner Privatsphäre. Ich hab' wohl den Rest der Nacht damit zu tun Passwörter zu ändern. Im SCC ist's derzeit leider nicht möglich :-(
lalap00.
Zu erst möchte ich dem Menschen danken, der unter Log005 die Links zu alternativen VPN Möglichkeiten kommentiert hat. Es kann durchaus sein, dass wir uns da nicht deutlich ausgedrückt haben. Es geht bei der 'ne Kiste Bier für WLAN ohne Cisco nicht darum ohne den schrottigen Client in's VPN zu kommen, sondern viel mehr darum, ganz ohne sich am VPN anzumelden das VPN-WLAN zum Transfer möglichst absurder Datenmengen zu nutzen.
Also: Weitere Hinweise? Es gibt 'ne Kiste Bier (oder Mate oder gemischt oder ...)
