Alle Zugangsdaten mit Paßwörtern (Passwörtern) der Universitätsbibliothek Augsburg im Klartext

Ich habe heute Hinweise entdeckt, die darauf hindeuten, dass bei den Rechnern der Universitätsbibliothek Augsburg alle Zugangsdaten und Klarnamen aller Bibliotheksbenutzer mit Paßwörtern (Passwörtern) und Zuordnung im Klartext gespeichert werden.

Daraus folgt, dass zumindest jeder Bedienstete der Bibliothek, der die passenden Rechte in einem oder mehreren der Rechnersysteme der Universitätsbibliiothek Augsburg hat, und selbstverständlich jeder mit Administrationsrechten (Superuser, root, adm, ...) für die Server der Bibliothek alle Zugangsdaten aller Bibliotheksbenutzer im Zugriff hat und jederzeit beliebig benutzen, und damit auch mißbrauchen, kann.

Also:  Jede dieser Personen kann sich gegenüber den öffentlichen Rechnersystemen der Universitätsbibliothek Augsburg jederzeit als jeder beliebige andere Bibliotheksbenutzer ausgeben, indem er einfach fremde Zugangsdaten irgendeiner anderen Benutzerin oder eines beliebigen anderen real existierenden Benutzers benutzt, um sich dort anzumelden.

Ich stieß auf einige veröffentlichte (world-readable) Logdateien des pam-Systems auf den Servern.  Diese Logs enthalten mit Zuordnung unter anderem:

Anmeldezeit (Einloggzeit)
Benutzername
Paßwort (Paszwort, Passwort) unverschlüsselt im Klartext (!)
Zuordungsschlüssel des Benutzers in einer Authentifizierungsdatenbank (unsicher)
und weitere Daten für jeden erfolgreichen Login-Prozess

sowie alle Daten für jeden fehlgeschlagenen Login-Prozess
Eingegebener Benutzername
Grund des Fehlschlagens der Anmeldung
usw.

Ich habe mich zunächst sehr gewundert, als ich in einer der Log-Dateien auf mein eigenes Paßwort stieß, das ich beim OPAC der UBA und damit auch gleichzeitig zum Rechnerzugang in der UBA benutze.

Dann schaute ich mir die Dateien etwas genauer an, suchte nach meinen und nach anderen Einloggprozessen.  Danach änderte ich mein Passwort und schaute nochmal in diesen Dateien nach, ob das auch kein Zufall wäre, dass diese Zeichenkombination dort so auftauchte.

Dann stand nach dem neuen Einloggen mit dem neuen anderen Paßwort in der aktuellen Log ein neuer Eintrag mit meinem neuen geänderten Passwort im Klartext.

Also stehen sogar im öffentlich verfügbaren Log alle Passwörter aller Einloggvorgänge aller Benutzer im Klartext.

Desweiteren wurde heute überdeutlich, wofür es schon früher immer wieder Indizien gab, nämlich dass Administratoren in der Universitätsbibliothek Augsburg Benutzer im Detail überwachen, welche Befehle mit welchen Parametern sie eingeben und welche Programme sie benutzen, anstatt ihre Arbeit zu machen und ein sinnvolles Sicherheitskonzept zu implementieren.  Möglicherweise überwachen sie auch sämtliche von jedem Benutzer erhaltenen Ausgaben der aufgerufenen Programme und die Bildschirminhalte der Benutzer.  Scheinbar haben sie sonst nichts zu tun, bzw. wollen sonst nichts (sinnvolles) tun.

In den letzten Tagen bis heute haben sie die Rechte einiger Programme, deren Benutzung in keiner Weise sicherheitsrelevant ist, so eingestellt, dass deren Nutzung, anders, als im System vorgesehen, für die allgemeinen Benutzer (world, other) gesperrt ist.  Das Motiv für solche Einstellungen von Programmrechten kann nur Verschleiherung und Verdeckung sein.

So wurden die executable und readable - Flags für other (world) folgenden Programmen entzogen, nachdem ich diese als einfacher Systembenutzer benutzt hatte und damit auf Missstände, Anomalieen in der Bibliothek gestoßen war:

/usr/bin/last
/usr/bin/top
/usr/bin/htop

Das Verhalten macht den Eindruck, dass ein Administrator (oder mehrere) in der Bibliothek etwas verschleiern oder verdecken möchte(n).

So stieß ich einmal mit Benutzung von last, ohne danach zu gesucht zu haben, auf einen Log-Eintrag, der besagte, dass sich ein Ortsbenutzer zu einer Zeit, in der die Bibliothek geschlossen war (Am Samstag, den 21.03.2015, ca. 05:05 Uhr - 05:15 Uhr, soweit ich mich erinnere), über einen Terminal-PC in der Zentralbibliothek am Server der Zentralbibliothek eingeloggt hatte.

In der Folgezeit schaute ich, neugierig geworden, immer wieder mal mit dem Programm /usr/bin/last im Log nach.

Nach den, zum Teil extrem unsinnigen, Aktionen, wie dem Entzug der Lese- und Ausführrechte von ganz normalen Programmen für Normalbenutzer der Rechnersysteme (other, world) seitens der Administratoren oder eines Administrators der Server ist wohl am ehesten davon auszugehen, dass vermutlich doch nicht ein Ortsbenutzer in der Bibliothek übernachtet hat, um sich dann lediglich in der Frühe mal eben für schlappe zehn Minuten über einen Terminal-PC am Zentralbibliotheksserver einzuloggen, sondern dass schlicht ein Administrator, oder ein anderer, der die Zugangsdaten alle lesen kann, oder jemand, der so jemanden gut kennt und der selbst in der Bibliothek beschäftigt ist, die Benutzerdaten eines Ortsbenutzers benutzt hat zu einer Zeit, zu der die Bibliothek für normale Benutzer, nicht aber für deren Beschäftigte, geschlossen ist.

Die Einstellung der Rechte der pam-Log-Dateien ist teilweise so in Ordnung und richtig, aber keinesfalls deren Zustandekommen Jahrzehnte nach der Systeminstallation und -einrichtung erst durch Überwachung von Benutzeraktivitäten normaler und eingeschränkter (Orts-)Benutzer.

Die Speicherung der Paßwörter der Bibliotheksbenutzer im Klartext, so dass sie jeder Administrator und sonstige mit den Daten befasste Leute einfach lesen können, ist ein Skandal.