|
warum leckt sich ein hund an den eiern? weil er's kann! :D
tja, script-kiddies halt... :rolleyes: |
@ Hund: kenn ich -> gut +g+
@ Scriptkiddies: Die konnt ich noch nie leiden, aba: eigentlich sind ja die "Profis" dran schuld, weil die solche Scripte geschrieben haben und so "unverantwortungsvoll" damit umgegangen sind, wenn sie wissen, was man damit anrichten kann... und dasses genügend Scriptkiddies auf dieser Welt gibt, sollte mittlerweile auch zu den echten Crackern durchgekommen sein... |
tja, der ewige konflikt: information für alle vs. sicherheitsbedenken.
wenn eine lücke nicht irgendwann bekannt gemacht wird, hat auch keiner die chance, sein system zu sichern um zu verhindern dass ein böswilliger cracker irgendwann auf die gleiche lücke stößt und im großen stil zu seinem vorteil ausnutzt (profit/ideologische albernheiten/blinde zerstörungswut etc.). oft ist ein kursierender exploit ja sogar nötig, um den ein oder anderen software-hersteller (ich will jetz keine namen nennen :p) überhaupt erst dazu zu bewegen, die lücke zu schließen. die meisten schäden werden auch wohl dadurch angerichtet, dass viele admins einfach nicht rechtzeitig die aktuellen patches einspielen oder sich nicht gut genug über sicherheitslücken informieren. letztes jahr kursierte doch irgendein wurm, der eine über 12 monate alte sicherheitslücke in windows ausgenutzt hat... aber wir sind schon wieder way off topic... :) |
Ja, aber um auf Sicherheitslücken hinzuweisen braucht man keine Software, die derartigen Schaden anrichtet... da reicht nen dezenter Showhack, in dem man einfach mal zeigt, dass es scheiße ist, was da am Laufen ist und dass man sich auf die und die Weise eben Zugang verschaffen kann - und dann ab mit den Beweisen dafür zu allen PC-Zeitschriften und meintwegen Radio/TV
und die großen Cracker müssen die Programme dafür nicht veröffentlichen, sondern lediglich Ergebnisse ihrer Privathacks - und dann können die Admins und Konzerne auch drauf reagieren und jeder spielt sich Patches ein... und die kleinen Scriptkiddies haben keinen Zugang mehr zu solchen "bösen" Progs und können nix dummes mehr damit anstellen ^^ +g+ Offtopic is was feines ^^ Aba irgendwie gehörts ja mit zum Thema, weil -> Site wurde gehackt und is sinnlos +g+ |
na ich denk mal meistens läufts doch so:
jemand findet eine sicherheitslücke in einem stück software. wenn er ein bisschen verantwortungsbewusst ist (die meisten sind das zum glück), nimmt er zuerst kontakt mit dem software-hersteller auf und informiert ihn über die lücke; um dem ganzen noch etwas mehr nachdruck zu verleihen, schickt er vielleicht noch einen exploit mit. man liest in bugtraq und konsorten aber oft genug sätze wie "vendor was informed 3 weeks ago, no response.". also geht man an die öffentlichkeit, um wenigstens die user dieser software zu warnen und eventuelle workarounds zu beschreiben (port xxx dicht machen, daemon xxx deaktivieren o.ä.). anhand der informationen, die der entdecker rausgeben _musste_ (um den usern hilfestellung zu geben), werden sich nun haufenweise scriptkiddies und cracker mit niederen motiven daran machen, den hintergrund der lücke nachzuvollziehen und aus profilierungssucht oder was auch immer, einen exploit zu schreiben. ab hier gerät das ganze mehr oder weniger außer kontrolle. neulich bei der bekanntgabe des bugs im cisco-IOS ist auch kurze zeit später ein exploit aufgetaucht... nur in diesem fall wurde von Cisco schnell genug reagiert und es kam zeitgleich mit der bekanntgabe der sicherheitslücke ein patch raus, nur dadurch ist der GAU wohl ausgeblieben. aber allgemein zum thema server-hacking: es muss nicht immer an standard-software liegen, oft hängts auch an fehlerhaften scripten, die vom website-betreiber selber geschrieben wurden. so bin ich vor 1 jahr auch an meinen jetzigen hauptjob gekommen, is ne nette anekdote :) ich hab bei ner firma mal aus langeweile ein bisschen auf deren homepage rumgespielt und das ding auf herz und nieren geprüft, und tatsächlich ne möglichkeit gefunden, mittels gefälschter cookies an sensible informationen über beliebige dort registrierte user zu kommen (jahreseinkommen, besitz von grundstücken etc.). hab das dem admin mal gemailt, zusammen mit einer erklärung zum hintergrund; tja, die haben mich dann kurze zeit später als freien mitarbeiter angeheuert :D aber das war noch harmlos im vergleich zu andern sachen die ich im laufe meiner internet-zeit (ganze 5,5 jahre, wow) so erlebt hab. da könnt ich stories erzählen dass es einen aus den socken haut.... teilweise schreit einem auf internet-seiten echt die dummheit (oder eben einfach unwissenheit) der "programmierer" entgegen :dusel: |
| Alle Zeitangaben in WEZ +2. Es ist jetzt 20:17 Uhr. |
Powered by vBulletin® Version 3.6.7 (Deutsch)
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
2003-4ever by Boostaholic / Suprafan / Antibrain