Mailbombe und Supergau durch Super-DAUS ausgelöst

kingcopy

Hallo Gemeinde hier ist es passiert:

ein SuperDAU hat es geschafft durch eine Weiterleitung einer Email an einen User in der Firma
nicht an den User in der Firma die Email weiterzuleiten, sondern irgendwie hat der SuperDAU
es geschafft die Email an das Adressbuch oder den Ordner des Users weiterzuleiten.

dadurch wurde eine Weiterleitung gestartet die an 270 Lieferanten gingen, das ganze hat
er mit 2 Weiterleitungen hinbekommen also 2x 270 Emails erzeugt ohne zu raffen was er da macht.

das allerschlimmste ist: das die 270 Emails alle 270 Email Adressen als AN: Verteilung in Echttext im Header
haben.

noch schlimmer kommt es das wenn die 270 Leute auf die Email antworten alle 270 diese Antwort bekommen
usw... usw.... eine Katastrophe.

Schlimm ist das Konkurenten die Adressen der Konkurenten mitgemailt bekamen
und Konkurenten nun den Konkurenten antworteten usw...

Ich habe nur noch schlaflose Nächte.

die Lücke im Rechtesystem war das der SuperDAU Urlaubsvertretung für den User hatte
an den er die Email weiterleiten wollte und daurch ZUGRIFFSRECHTE auf diesem seinem Postfach hatte.

was soll man noch alles machen. wie kann man nur so dämlich sein und das nicht bemerken, was man da tut.

WARNUNG:
Das kann JEDEM irgendwie Passieren, die Frage ist nur noch: wie genau kann man so einen MIST zusammendrücken.

Dabei zeigt die email:

To:
user@firma.de (and 271 other) dann müssen doch SICHTBAR 271 Adressen im TO Feld zu sehen gewesen sein? Oder nicht?
wenn 271 Adressen im TO Feld sichtbar sind wer bitte drückt dann noch auf SENDEN?

ES KOMMT NOCH SCHLIMMER: die Emails sind auch noch als FAXE im Adressbuch versendet worden!

Winnie

Klassisches Layer8-Problem...

Racer1000

Hi Kingcopy

was sind denn schon 270 Mail und Faxe Bei uns hat ein User es geschaft an ca 30.000 in Worten Dreisigtausend Adressen was zu versenden zu wollen. Zum Glück war es der Chef persönlich

Aber da wir auf unserem Spamfilter eh nur 500 Empfänger pro Absender zulassen, war die Panik dnicht ganz so groß. Auch hat er es sofort uns gesagt das da was falsch läuft. Und wir doch recht zügig eingreifen konnten

Aber wie Winnie schon schrieb "Klassisches Layer8-Problem... " und somit nicht mit Technik zu verhindern.

RAcer

dj2k

Erinnert mich irgendwie an das hier - wenn alles über den Gruppenverteiler geht:

kingcopy

Das mit dem Arbeitsamt ist cool, wenn aber auch möglich ein Fake zu sein.

Zurück zum WEITERLEITEN an einen ORDNER

wir haben das hier nachgestellt und es ist wirklich einfach:

Bei der Umschaltung ob INTERN / ALLGEMEIN / PERSÖNLICH bei Weiterleitung

ALLGEMEIN auswählen

jetzt den Order im David System mit Name des Users auswählen

und dann AN_ Einfügen

Dann steht im AN Feld von David: <LISTE: Name des Users> (wie DJ2K es nannte wohl der "Gruppenverteiler")

das ist sehr Merkwürdig und so habe ich das NOCH NIE gesehen

wenn der User nun VOLLZUGRIFF auf den Ordner hat und dann SENDEN betätigt

sendet der Servicelayer die EMAIL an das Adressbuch und Faxnummer des USERS!

ob das nicht eher ein BUG ist? Das ist eine Sicherheitslücke...

lebendige Unnatur

nur mal als kleine Anekdote nebenbei:

Da gibts auch andere Fälle mit anderer SW.

Ein User schickt eine Mail an sein komplettes Adressbuch (ca. 200 Stk). Aus Outlook (kein Exchange). Alle Adressen - darunter auch Faxnummern! - im To-Feld.
Der Exchangeserver eines der Empfänger kommt - wie auch immer (scheinbar durch eine Faxnummer) - auf die Idee er müsse die Mail an alle Adressen nochmal verschicken. Und am besten nicht mit dem eigenen Absender, sondern dem ursprünglichen. Und das nicht nur einmal. Nein. Alle paar Sekunden.
Der Ursprungs-User bekommt Anrufe, Faxe mit Schadensersatz-Drohungen usw...; Er scannt mit allem möglichen nach Tojaner, installiert sein Outlook neu, nimmt den Rechner vom Netz,... Mittlerweile habe die Empfänger mehrere Tausend Mails bekommen.
Beim Nachforschen kommt heraus, dass ein Server namens "server1.intern.local" die Mails verschickt.
Nun finde mal heraus wem sein Server das ist, wenn du mit der IP nix anfangen kannst.

Nach dem ca 150. Telefonat war der Schuldige dann doch gefunden und es hat nur noch einen halben Tag gedauert, bis sich einer gefunden hat, der die Verantwortung übernimmt, den Server herunterzufahren!

War net wirklich lustig!

Die zwei streitenheute noch wer was bezahlen muss

michael

Hallo,

kingcopy

es geht aber noch besser: Wenn man unter Allgemein ein wenig "spielt" und auf die kompletten Benutzer-Archives kommt, alle Benutzer auswählt AN markiert, werden alle gespeicherten Adressen in allen Benutzer-Archives ausgewählt. Dann ist es nur noch ein Schritt zum Abschicken von tausenden von Mails. Habe ich mal mit einer David 10 unter Win 2000 Server gehabt. Lt. Tobit lag das Problem am Win 2000 Server. Habe ich gerade unter FX getestet, ist immer noch so...

Michael

HoloDoc

Zitat von michael

Lt. Tobit lag das Problem am Win 2000 Server. Habe ich gerade unter FX getestet, ist immer noch so..

Liegt es denn am W2K Server?

kingcopy

Ja aber hallo wie krass ist das denn?

Ich habe heute eine Interne Warnmail an alle anderen Firmen ausgeführt:

Betreff:
Generelles schwerwiegendes Adressbuch Problem im Tobitsystem

Es wurde ein Schwerwiegendes Problem im Mailsystem entdeckt
durch das es zu ernsthaften Konsequenzen bei Unachtsamkeit kommen kann.

Das Problem kann bei einer Email Weiterleitung auftreten:

Es ist darauf zu achten das bei einer Email WEITERLEITUNG
falls mit dem AN: Feld gearbeitet wird.

Unbedingt INTERN steht.

[Blockierte Grafik: http://www.grizzly-gmbh.de/div-bilder/Bombe1.jpg]

Sollte es durch eine Unachtsamkeit oder Verklicken
zu "Allgemein" kommen und wird dann ein User ausgewählt:

[Blockierte Grafik: http://www.grizzly-gmbh.de/div-bilder/Bombe2.jpg]

Folgt dieses Dialogfeld:

[Blockierte Grafik: http://www.grizzly-gmbh.de/div-bilder/bombe3.jpg]

IN DIESEM FALLE IST SOFORT ABZUBRECHEN!
NIEMALS DEN SENDEN BUTTON BETÄTIGEN

sollte an einen Allgemeinen User "LIST" gemailt werden
entsteht eine unkontrollierte Weiterleitung an das ADRESSBUCH des Users

eine Mailbombe.

Es können unkontrolliert Interne Informationen an Lieferenten und Konkurenten gemailt werden
ausserdem erhalten die Lieferanten Informationen von Konkurenz Lieferanten.

im schlimmsten Falle wurde eine Weiterleitung an 37.000 (siebenunddreisigtausend)
Adressen gemailt.

Wenn einer der 37.000 User dann auf die Emails antwortet antwortet er ausserdem an alle 36.999 anderen User
usw.
es entsteht eine unkontrollierbare Kaskade.

Für dieses Problem gibt es im Moment nur die Lösung der vollständigen Sperrung aller Postfächer und keiner hat auf keinen Zugriff.
Es wurde noch nicht bewiesen ob eine Sperrung generell Hilfreich ist, da man schlecht damit Experimentieren kann.

Es sind dazu Diskussionen in Tobit Foren am laufen.

ich möchte von jedem Mitarbeiter eine Bestätigung ob verstanden wurde um was es hierbei geht
und sich der Tragweite bewusst ist Gewissenhaft mit Gruppenverteilern und vollautomatischen Mailsystemen zu arbeiten.

Spike

Normalerweise sieht aber ja auch der "normale" User nur seinen eigenen Benutzerordner dort und dann kann es ja nur noch den Benutzern mit Administratorrechten passieren.

kingcopy

Eben nicht! Es geht viel einfacher

Es kann jedem User passieren der Zugriffe auf seine Nachbarn oder einer UV hat! oder hatte

Wie kann man das AUSWAHLFELD "Allgemein" aus dem Infocenter eliminieren sodaß nur noch INTERN drinnensteht? Das wäre die beste Lösung

das Auswahlfeld zu eliminieren!

michael

Hallo,

habe ich nach langen Diskussionen mit Tobit auch vorgeschlagen. Doch da kam nur der Standard-Spruch: Vielen Dank... Wird aufgenommen... für die nächsten Feature-Packs

Michael

Jetzt mitmachen!