Cracker? Die meisten Netze sind offen. - Universität kassiert Spende zum Kampf ge...


«  Re: Die... <====== ======>  Re: Erfahrungen mit...»

Es ist ja ganz nett, wenn eine Uni jetzt für IDS-Forschung Geld
bekommt. Es ist in diesen schwierigen Zeiten immer nett, wenn noch
Kohle in die Forschung geht. Deshalb will ich das gar nicht
kritisieren.

Aber für die Sicherheitsprobleme in großen Behörden und großen
Unternehmen wird das genau gar nichts bringen.

Denn Stand der Dinge ist dort meist, dass Windows-Rechner betrieben
werden, bei denen sogar oft die Benutzer lokale administrative Rechte
haben. Und wenn auch noch so dicht die "Internetverbindungsfirewall"
(diesen Un-Begriff prägte das BSI) gemacht wird, gegen Angriffe, die
von innen gestartet werden (von innen ausgelöst oder durch z.B.
trojanische Pferde) hilft das gar nichts. Von den Side-Doors ins Netz
an der "Firewall" vorbei mal noch ganz zu schweigen, was man da so
sieht, ist mehr als erschreckend.

Typisches Beispiel: ein großer Paketdienstleister erbat von mir ein
Angebot, sie hätten sich eine "Firewall" gekauft für 0,5 Mio. EUR
(SUN + FW1, anscheinend kann man auch gleich so viel Geld dafür
ausgeben). Daraufhin wollten sie von mir einen Penetrationstest. Auf
gut Deutsch, wirf Deine "Toolz" an, und bestätige, dass wir eine gute
Investition gemacht haben.

Statt das zu verkaufen, bat ich um ein Gespräch. Ich fuhr also ins
zentrale Rechenzentrum. Dort reiste ich per Zug/Taxi an, hatte meinen
Hut auf, so dass ich zusammen mit dem ins Gesicht gezogenen Schal auf
keiner Kamera zu erkennen war. Ich stieg direkt an der Pforte aus.
Ich nuschelte meinen Namen. Prompt bekam ich eine
Zugangsberechtigungskarte auf den (falschen) Namen "Brix"
ausgestellt. => Keine Prüfung, ist die Person überhaupt eingeladen.

Ich ging bis zum Eingang vor. Dort wartete ich, bis jemand mir die
Tür aufhielt, dann ging ich rein. Ich hatte den Zeitpunkt auch so
abgepasst, dass rechts am Empfang gerade mehrere Leute die
Empfangsdame ablenkte. Ich bog nach links ab, und ging in das erste
Büro, in dem keiner war. Dort fand ich einen Windows-Rechner
eingeschaltet und angemeldet vor, der ein CD-ROM-Laufwerk hatte.

Ich setzte meinen Hut ab, ging zurück zur Anmeldung, und ging in das
Gespräch.

Dem Sicherheitsbeauftragten des zentralen Rechenzentrums erzählte
ich, was ich eben versucht hatte. Ich fragte ihn, welche
Sicherheitssysteme zwischen dem Windows-Rechner in diesem Büro und
seinen SUN-Servern waren. Er meinte: keine. Ich fragte ihn, wie seine
SUN-Server denn installiert und konfiguriert wären. Er meinte, die
Standardinstallation von Slowlaris.

Er fragte mich: "was wäre das schlimmste, was uns jetzt hätte
passieren können?"
Diese Frage wohlgemerkt vom Sicherheitsbeauftragten des zentralen
Rechenzentrums eines der großen Paketdienstleister (ich sage nicht
welcher, und nicht welches Land).

Ich fragte ihn, was es für sein Unternehmen für eine Auswirkung
hätte, wenn ich den Bandlaufwerkstreiber seines Backup-Systems
austausche durch einen, der hart verschlüsselt, und wenn ich dann
nach einem halben Jahr die Platten lösche und den Schlüssel
wegschmeisse.

Er meinte daraufhin, das könne ich bereits nach vier Wochen machen,
ohne Computer wüssten sie von keinem Päckchen mehr, was damit sei,
dann könnten sie den Laden zumachen.

Den Penetrationstest für die "Internet-Verbindungs-Firewall" lehnte
ich ab. Ich habe keine Lust, für diese prima Sicherheitslösung einen
Persilschein auszustellen.

Einen anderen Auftrag erhielt ich von diesem Unternehmen nicht. Wie
hätte man dem Vorstand die halbe Million erklären sollen für
sinnlosen Unfug? Das Budget war schon verbraucht.

In diesem Sinne: wenn Forschungsgelder in IDS gesteckt werden, ist
das nett, denn an Unis gehen derzeit viel zu wenig Gelder.

Aber dass das ernsthaft irgend etwas an der Sicherheitsmiesere
ändert, sei doch dahingestellt. Denn von solchen Geschichten könnte
ich viele erzählen (oder auch nicht, weil man über Kunden nicht
spricht im Sicherheitsbereich).

Und ich möchte wetten, so wie mir geht es vielen oder sogar allen in
dem Sektor. Keiner spricht davon, weil Diskretion dazugehört. Ich
habe das hier mal wenigstens für eine Andeutung eines Nicht-Kunden
gebrochen. Wer wissen will, welcher Paketdienstleister wo das war,
der kann das gerne gegen eine Stillschweigevereinbarung wissen.

VB.
weitere Thesen : re etwas ot bessere 5mp kamera olympus p  ...;hnlichen Entscheidung, und ich tendire zur
Minolta.

Der manuelle, direkte zoom erlaubt sehr schnelle und doch präzise
zooms, und der fokusring am Objektiv (nicht manuell, ...  re wie hoch ist denn die auflösung   ...ers gefragt: Bis zu welcher Größe des Papierabzugs sind Kleinbild
> und Digital"film" äquivalent? Das ist natürlich eine sehr schwierigere unsinn nokia schockt anleger mit umsa  ...April 2004 19:05
> > 2. gibts genug Handys mit denen man einfach nur telefonieren kann.
> > Übersehen?
re entwicklung geht völlig am bedar  ...>> 1. Inakzeptabel kurze Einsatzdauer wegen viel zu hohem
> Stromverbrauch. Mit einer herkömmlichen Kamera kann ich mühelos...  und was ist mit teelefonieren etech macr  ... man würde ein Super-Duper
polyphon-flash-wap-spiele-organizer-web kamera-Handy nehmen, und dann
alle diese Funktionen einfach weglassen. Jaja, einfach weglassen. Was
bleibt &u...  re toshiba oder pentax egal pentax bring  ... Juli
> > [...] Selbst
> > bei meiner Olympus E-10 (4 MPixel) ist bei dieser
> > Ausgabegrö&szl...  re an die berufsdemonstranten cccfoebud   ...br>> Ich komme urspruenglich aus Arnstadt - aber sich über eine
> Video-Kamera in einem normalen Geschäft aufzuregen ist ja wohl v...  medienblockade der giftgaseinsatz in mos  ...> Gute Idee - nur brauchts ja heute nur eine DV darm mini kamera / Digitaler
> Fotoapperat / Micro, ein Notebook, Uplink (Handy, Telefon, od...  ich lasse mir heute noch o2 mahnt sauers  ... sollte man ein prächtiges Exemplar von
jedem Gegenstand, die sie für "Loop" in das Patent eingetragen haben,
schön und tief in den A...... Aber diese Dinge erst richtig...  re heise love aldi aldi bringt 2 megapix  ...r>27. November 2001 15:49
27. November 2001 15:39
> > > [x] Du hast diesen Artikel gar nicht gelesen
> > Ich habe den Ar...  dann gibt es entweder ein impeachment wa  ...e. ein watergate mit ein paar tausend toten
amerikanern allerdings, die nur sterben mußten, weil bush und seine
ölfreunde richtig geld verdienen wollten. das kommt nicht mal...  fotodrucker mit tinte hp startet imageka  ...benötigt Durchschläge mit dem Laser am
besten und billigsten.
für einen Fardruck reicht mein uralter Lexmark 2030, mit
selbstaufgefüllten Patronen.
Und Fotos?...  re graue theorie toshiba mit echten 4 me  ...>> Da haste vollkommen Recht.
>
> Ich habe eine 2,1 Mio handy kamera und mache mit der reichlich Bilder,re die groessten schwaechen der digicams  ...
18. August 2004 20:06
>
> > ich will es nicht entfernen, ich will fertige bilder aus der cam.
> ...  re das s 65 ist doch gar nicht soo schle  ... so einige Handy´s besessen.

Es fing mit einem Phillips an, das echt gut war, aber dann kam
"Nokia" in Mode, mit dem 5110. Dann habe ich folgende Nokia-Handys
besessen: 51...  re auflösung analoger spitzen spieg  ...mal die unten angeführten Beiträge zu Gemüte geführt.
Die meisten zeugen von fundiertem Sachverstand.
Ist aber kein Wunder, die c´t ist ja nicht gerade als di...  habe mich auch gewundert der etwas ander  ...br>> Mancher sagt mir nach, ich sei schnell mit dem ignorieren. Ich sehe
> das ja anders und finde mich viel zu nachsichtig, aber was ist da...  re wie krank muss die macht sein bayerns  ...

27. September 2001 11:10:
>
27. September 2001
> 11:07:
> >
re saugeil smarte projektion concord kam  ...
10. August 2004 18:01
>
> > Schon mal was von dem physikalischen Phänomens des
> > S-C-H-A-...  ich hab genug von windows xp microsoft h  ...ry....:
Bisher waren meine Erfahrungen mit XP eigentlich ganz gut (und ja ich
kenn auch andere betriebssysteme, inklusive Solaris und Linux und
Hp-UX und AIX).

Aber was mir a...  re unverständlich dass die im mobil  ...r>OK SnaPsi wollte ja wohl offensichtlich trollen, aber ich versuch das
ganze mal trotzdem auf ne vernünftige Ebene zu heben.

> Ich denke, es gibt genü...  null toleranz für die medien flugze  ...br>14. April 2004 17:00
>
> > Am besten war noch der Spiegel-Redakteur in der Diskussionsrunde:
> ><...  re identifizierung jeglicher polizistinn  ...>
10. Oktober 2003 11:59
>
> > > Ach, ist das dein Diskussionsstil? Im übrigen hast du meinen
© 2005 Uwe | Design by Andreas Viklund