"User sind selbst schuld", sagt Morpheus

8. Februar 2002, 12:04
posten

Keine schwere Sicherheitslücke in der Software der Tauschbörse - Anwender öffneten ihre Festplatten selbst

Die bekannte P2P-Tauschbörse Morpheus hat nach Angaben der Software-Hersteller keine Sicherheitslücke. Eine diesbezügliche Meldung sorgte vor wenigen Tagen unter den Usern für große Aufregung. Anwender seien selber schuld wenn Probleme auftauchten, so Morpheus.

Kein Sicherheitsleck in der Software

Die von BBC aufgedeckte akute "Sicherheitslücke" ist nicht in der Software vorhanden, sondern wird von den Usern selbst geöffnet. Dieses Faktum scheint manchen Anwendern unverständlich, doch ist der Sachverhalt leicht zu erklären. Morpheus benötigt für einen reibungslosen und sicheren Betrieb ein "Abhol-Verzeichnis" auf der Festplatte, welches die Anwender zum Tausch einrichten und damit einen Zugriff von außen ermöglichen. Bei Morpheus nennt sich dieses Verzeichnis "My Files-Folder".

Statt einem Teil wird gesamte Festplatte geöffnet

Viele User scheinen aber nicht nur dieses eine Verzeichnis geöffnet zu haben, sondern gaben ihre gesamte Festplatte zum äußeren Zugriff frei. Dies ermöglicht potentiellen Angreifern dann einen freien Zugang zu allen Daten eines Systems.

Auch ein Nutzen?

Da viele User neben dem My-Files-Folder auch andere Verzeichnisse für den Zugriff von außen öffneten (so wurde scheinbar häufig als Pfad einfach "c:/" gewählt) konnten sich Angreifer nach Herzenslust austoben. Statt eines Sicherheitslochs gab es also eher einen schweren Anwenderfehler. Allerdings dürfte die Aufregung rund um diesen Sachverhalt auch einen Nutzen haben; viele Anwender sehen nun die Gefahren eines unbedachten und leichtfertigen Umgangs mit Daten. Anonymität ist auch bei Tauschbörsen nicht gewährleistet.

Leichtes Spiel

Auch bei Morpheus ist es relativ leicht möglich User zurückzuverfolgen, trotz kunstvoll gewählter Usernamen. Einfache Tricks ermöglichen Einblicke in Dateien die eigentlich nicht öffentlich zugänglich sein sollten. So kann ein Angreifer einfach auf dem Datenstrom zurücksurfen und die IP-Adresse des, im Tauschvorgang fest verbundenen, Gegenübers einem Scan unterziehen. Wenn die gesamte Festplatte geöffnet wurde, ist ein Zugriff noch wesentlich leichter zu bewerkstelligen. In wenigen Minuten lassen sich so Passwörter, der echte Name des Users und andere private Daten herausfinden.

Rat von Morpheus

Das Statement von Morpheus lautete kurz und lapidar: "Die User sind selbst schuld". Allerdings raten die Betreiber zur Vorsicht. Anwender sollten grundsätzlich bei allen P2P-Börsen, Netzwerkspielen und Ähnlichem nur fest abgegrenzte, einzelne Verzeichnisse für den Zugriff von Außen freigeben. Übrigens: Diese Einstellungen lassen sich über die Optionen auch bei Morpheus nachträglich noch ändern.(red)

Share if you care.