Create accountLogin

Recent searches

No recent searches

Search options

Only available when logged in.
digitalcourage.social is one of the many independent Mastodon servers you can use to participate in the fediverse.
Diese Instanz wird betrieben von Digitalcourage e.V. für die Allgemeinheit. Damit wir das nachhaltig tun können, erheben wir einen jährlichen Vorausbeitrag von 1€/Monat per SEPA-Lastschrifteinzug.

Administered by:

Server stats:

861
active users

digitalcourage.social: AboutStatusProfiles directoryPrivacy policy

Mastodon: AboutGet the appKeyboard shortcutsView source codev4.3.7

Public *
Mathias Schindler

Lach-, Sach- und Weingeschichten vom @BayLfD

datenschutz-bayern.de/tbs/tb33

Ein Schüler bekam den Auftrag zum Pentesting und nahm Anlauf und landete dann als Domänen-Admin für seine Schule und mit Zugriff auf Nachbarschulen.

Dann ging der Stress erst los.

Bild: Screenshot aus dem Jahresbericht des Datenschutzbeauftragten: "Dem Schüler, dessen Lehrer zugleich die Rolle des Datenschutzbeauftragten der Schule bekleidete, gelang bei seinem Pentest ein erfolgreicher Angriff: Durch einen nicht ausreichend sicher konfigurierten LDAP-Dienst konnte er Zugriff auf das "historisch gewachsene" pädagogische Netzwerk erhalten. Unsichere Praktiken der Systemadministration (etwa in Scriptdateien im Klartext gespeicherte Zugangsdaten oder einfach zu erratende Passwörter für privilegierte Accounts) waren "Altlasten", die wohl wiederholt übersehen worden waren. Der Schüler konnte seine Systemrechte schrittweise bis hin zum Domänen-Administrator ausbauen (sog. Privilege Escalation) und in der Folge einen Vollzugriff auf die Systeme und Dateien innerhalb der Domäne des pädagogischen Netzes erlangen. Er fand heraus, dass sich dieses Netz nicht nur auf seine Schule beschränkte, sodass der Schüler schließlich auch auf Daten weiterer Schulen zugreifen konnte."
Synapsenkitzler 🌻

@mathias @BayLfD
"Auch mit konkreten Maßnahmen zur Stärkung der Sicherheit seines IT-Systems zögerte der Betreiber zunächst, obwohl die Lücke eklatant erschien (...)."
Gibt es keinen Vertrag mit dem Dienstleister der ihn zur EInhaltung von (hoffentlich gut definierten) Sicherheitsstandards verpflichtet?

Sep 17, 2024, 11:40 AM·Public·Web
1boost·6favorites
ExploreLive feeds
About