***WARNUNG***:请大家赶紧修改---RUB---的登陆密码
An alle Internetnutzerinnen und -nutzer der RUB,
am Sonntag ist es einem Angreifer gelungen, in den
zentralen Mailserver der RUB einzudringen und sich
unberechtigt Zugriff auf die Mailboxen und die Passwortdatei
zu verschaffen.
Wir fordern alle Benutzer auf, dringendst und umgehend
ihr Passwort zu ändern.
Dies kann über folgendes Webinterface geschehen:
https://homepage.ruhr-uni-bochum.de/loginID
-------- Weitere Informationen zu dem Vorfall ---------------
Am Sonntag ist das Rechenzentrum, der Datenschutzbeauftragte
und die IT-Sicherheitsbeauftragte der RUB auf dem Wege eines
anonymen Drohbriefes auf ein Sicherheitsloch im zentralen
Mailserver aufmerksam gemacht worden. Das Sicherheitsloch
bestand im Betriebssystem Solaris des Servers.
Auf den Servern des Rechenzentrums werden jeweils zeitnah die
Sicherheitspatches der Hersteller eingespielt. Leider
gab es gegen die oben genannte Sicherheitslücke, die
am 28. Juni 2005 seitens SUN der Öffentlichkeit bekannt
gemacht worden ist, noch keinen Patch. Inzwischen ist das
Loch auf anderem Wege (von Hand) gestopft worden.
Leider konnte sich der anonyme Angreifer durch Ausnutzung
des Sicherheitslochs unberechtigt Zugang zu allen Mailboxen
sowie zur Passwortdatei des Servers verschaffen.
Die Passworte sind nur in verschlüsselter Form
abgespeichert. Jedoch ist es relativ leicht möglich, einfach zu
erratende Passworte über Passwortcracker zu ermitteln.
Wir fordern daher dringend alle Benutzer auf, ihr Passwort möglichst
umgehend zu ändern.
Dies kann über folgendes Webinterface geschehen:
https://homepage.ruhr-uni-bochum.de/loginID
Emails in den Mailboxen sind im allgemeinen im Klartext gespeichert.
Dies lässt sich beispielsweise durch Nutzung von PGP (Pretty Good Privacy)
verhindern( http://www.bsi-fuer-buerger.de/schuetzen/07_03.htm).
Das Rechenzentrum bedauert diesen Vorfall. Leider sind aber auch
Administratoren, die mehr als 100 Server zu pflegen haben, "nur"
Menschen.
Auch wenn eine Sicherheitslücke besteht, so ist es strafbar
diese einfach auszunutzen. Das heißt, die Universität wird
Strafanzeige gegen den Angreifer erstatten.
Datenschutzbeauftragter und die Personalräte der RUB sind
benachrichtigt.
Mit freundlichem Gruß
Brigitte Wojcieszynski
Zentrale IT-Sicherheitsbeauftragte der RUB
Rektoratsstabsstelle IT-Sicherheit (NA 03/248)
Ruhr-Universität Bochum
D-44780 Bochum
Tel. Sekretariat: Frau Heising (0234/32 24001)
Tel.: 0234/32 23409
FAX: 0234/32 14214
Email: ITSB@rub.de
PGP-Key: http://pgpkeys.pca.dfn.de
------
Welch triste Epoche, in der es leichter ist, ein Atom zu zertruemmern, als
ein Vorurteil. <Albert Einstein>
------
[ Last edited by ad-hoc on 2005-7-4 at 21:39 ] |