groot aantal computers van het Colgate concern.De techniek.Via via hebben we op de vax in België (RNDLG) een login gekregen, zoals dat altijd gaat, een login met lage privileges, maar goed genoeg voor ons doel, want het enige wat wij nodig hebben is de gebruikerslijst en de nodelist. Nadat wij deze naar ons toe gehaald hadden zagen wij dat de gebruikerslijst een groot aantal potentieel kraakbare logins bevatte, en wonder boven wonder vond Colgate het ook nodig om zelfs een van deze logins full-privs te geven. Nadat wij enigszins van deze stomme fout bijkwamen, en we in gedachten de systeembeheerder hartelijk bedankten vervolgden we onze weg in het systeem. Uit ervaring was gebleken dat als we geen bewijs zouden hebben, Colgate ons nooit zou geloven als we dit vertelden, dus we besloten om overal, en uit elke node een logfile te gaan bijhouden (enkele fragmenten bijgevoegd).We ontdekten zelfs met AUTHORIZE (een programma wat normaliter alleen door de systeembeheerder mag worden gestart) dat de systeembeheerder zelf zijn password al ongeveer een jaar niet heeft veranderd, wat natuurlijk zoals je zult begrijpen erg stom is. Maar ok, dat is nog niets vergeleken met de andere fouten in het systeem. Zo bleek het dus mogelijk om de verschillende files zoals de userlist en de nodelist via de komputer in belgie van verschillende komputers over de hele wereld af te halen zonder dat wij daar een login hadden. Op deze manier vergaarden wij dus informatie over gebruikers van systemen, over de eventuele interessante info en over de netwerk mogelijkheden. Dit zou dus gewoonweg niet mogen, want in principe staat en valt je bedrijf met de computer, en op deze manier is het voor |
de concurrent heel simpel om de eventuele concurrentie van Colgate te peilen. Nog erger zou het zijn als er in dit geval veel persoonlijke gegevens zouden uitlekken, die in dit geval beperkt bleven tot de uitgaven aan salarissen en dat soort dingen. Toch is het een kwalijke zaak want wie weet wat er met uw informatie gebeurt in het bedrijf waar u werkt. Hoe wordt uw salaris bijgehouden? Ik wil echter nog een ding zeggen tegen systeembeheerders, denk nooit dat uw systeem veilig is want misschien leest u volgende maand een artikel over uw systeem. "Never say never again". [Uit de door de heer C. bijgevoegde stapel print-outs het volgende] Een telex…… september 15, 1988 subject: pott competitive activity for your information, please note that the uk company has identified a market research placement test of xxxx liquid in a 1 litre, handled bottle. product description is: - 1 litre dishwasher cream endorsements include: "xxxx is recommended for dishwashing machines, including hoover, indesit, and zanussi" i bring this to your attention for the obvious reason of increased competitive activity within the region (further demonstrated by xxxx's recent expansion of xxx liquid add in switzerland). perhaps more of note is the focus and ability of yyy to secure such a wide range of manufacturers' endorsements -- an area we should continue to actively pursue. please keep me advise of any/all competitive developments in your markets as |