Klingelstreich im Jahr 2006 Marc Ruef | 01.03.2006 Eigentlich gibt es nur eine Sache, die mich wirklich in Rage versetzen kann: Menschen mit einem leicht bösartigen Charakterzug (z.B. Egoismus), die aufgrund ihrer Dummheit vornehmlich lächerlich wirken. Ein gutes Beispiel sind all jene Leute, die sich beim Einsteigen in die Bahn vordrängeln, obschon es offensichtlich war, dass man durch diesen Akt der Egozentrik keinen merkbaren Vorteil für sich erstehlen konnte. Tja, aber das sind halt die Blüten, die eine Leistungsgesellschaft mitunter so treibt. Es war Mittwoch Morgen und ich loggte mich gerade auf der Administrations-Schnittstelle der Webseite ein um zu sehen, welche neuen Aufgaben auf mich warten würden. In einer kleinen Übersicht wird mir beispielsweise präsentiert, welche Registrierungs-Mails noch nicht beantwortet wurden oder welche Foren-Posts als "anstössig" deklariert sind. Ein zentrales Element ist die Darstellung der neuen Uploads. Diese, vorwiegend Text-Dokumente, muss ich sodann manuell freischalten. Bevor ich dies tue, lese ich sie mir gründlich durch, um sie in die richtige Kategorie verschieben, mit einer aussagekräftigen Beschreibung versehen und angemessen bewerten zu können. Ein Prozess, der vom Zeitaufwand nicht zu unterschätzen ist, denn pro Dokument kann dies dann doch mal 1 bis 2 Stunden in Anspruch nehmen. Das Freischalten neuer Titel braucht deswegen manchmal bis zu 3 Wochen. Als ich mir die neuesten Uploads so ansah bemerkte ich, dass dort ein neuer Benutzer ein Dokument mit dem Namen 123.txt hinaufgeladen hatte. Dieser nicht gerade durch seine Aussagekräftigkeit glänzende Dateiname machte mich neugierig. Als ich die Datei herunterlud und öffnete sah ich, dass es sich eigentlich nicht um ein simples ASCII-Dokument handelte. Stattdessen stemmten sich mir unschön und jeglichen Standards widersprechende HTML-Tags entgegen. Die kurze Interpretation dessen liess mich erkennen, dass es sich hierbei um einen Defacement-Versuch handelte. Der Benutzer versuchte die Filter-Einstellungen für die Upload-Funktion zu umgehen und so eine aktive HTML-Seite auf den Server zu laden. Ein direkter Aufruf dieser würde seinen Erfolg beweisen und ihm unter Umständen im Freundes-Kreis Anerkennung bringen. Seine Bemühungen waren aber ungemein dilletantisch. So war ihm nicht bewusst, dass ein direkter Dateizugriff auf frisch hochgeladene Dateien ohne die Freischaltung eines Administrators nicht ohne weiteres möglich ist. Die ganze Aktion war also wirklich für die Katz. Der Spieltrieb in mir war geweckt - Wenigstens für 5 Minuten. So stellte ich Nachforschungen an und bemerkte, dass er den gleichen Trick schon bei verschiedenen Webseiten anzuwenden versuchte. Vor allem ezforum.org fiel ihm immerwieder durch diesen simplen Trick zum Opfer. Seine Auflistung (http://abazanlarhackteam.sitemynet.com/hack/) der "Hacks" ist genauso langweilig wie sein Vorgehen ansich. Desweiteren konnte ich herausfinden, dass der junge Herr, der sich selbst FirsT_CLass nennt, aus der Türkei stammt und mit ADSL unterwegs ist (Turk Telekom ADSL-Alcatel, Ankara). Per Zufall bin ich auf ein Foto (http://abazanlarhackteam.sitemynet.com/hack/new/myphoto.png) von ihm gestossen, das ihn als halbstarken in der Küche seines vermeintlichen Elternhauses zeigt. So sieht also jemand aus, der sich als FirsT_CLass bezeichnet. Lustigerweise scheint er einen ähnlichen schwarzen Rollkragen-Pulli wie ich zu besitzen. Man könnte sagen, dass es sich hier um einen elektronischen Klingelstreich im Jahr 2006 handelt. Nur mit dem Unterschied, dass die Aktion stümperhaft durchgeführt wurde. Dem jugen Mann empfehle ich deshalb vorerst bei den wirklichen Klingelstreichen an der Haustür zu bleiben. Dort kann man wenigstens nichts falsch machen. Oder er setzt sich zuerst nocheinmal mit Content-Types, ihren Kompatibelitäten und Einschränkungen auseinander. Dann klappts vielleicht auch mit dem Upload. In diesem Sinne: Ho çakal!