Toyota Supra - Forum - Einzelnen Beitrag anzeigen

suprafan · 15.08.2003, 02:00

na ich denk mal meistens läufts doch so:
jemand findet eine sicherheitslücke in einem stück software.
wenn er ein bisschen verantwortungsbewusst ist (die meisten sind das zum glück), nimmt er zuerst kontakt mit dem software-hersteller auf und informiert ihn über die lücke; um dem ganzen noch etwas mehr nachdruck zu verleihen, schickt er vielleicht noch einen exploit mit.
man liest in bugtraq und konsorten aber oft genug sätze wie "vendor was informed 3 weeks ago, no response.". also geht man an die öffentlichkeit, um wenigstens die user dieser software zu warnen und eventuelle workarounds zu beschreiben (port xxx dicht machen, daemon xxx deaktivieren o.ä.). anhand der informationen, die der entdecker rausgeben _musste_ (um den usern hilfestellung zu geben), werden sich nun haufenweise scriptkiddies und cracker mit niederen motiven daran machen, den hintergrund der lücke nachzuvollziehen und aus profilierungssucht oder was auch immer, einen exploit zu schreiben. ab hier gerät das ganze mehr oder weniger außer kontrolle.

neulich bei der bekanntgabe des bugs im cisco-IOS ist auch kurze zeit später ein exploit aufgetaucht...
nur in diesem fall wurde von Cisco schnell genug reagiert und es kam zeitgleich mit der bekanntgabe der sicherheitslücke ein patch raus, nur dadurch ist der GAU wohl ausgeblieben.

aber allgemein zum thema server-hacking:
es muss nicht immer an standard-software liegen, oft hängts auch an fehlerhaften scripten, die vom website-betreiber selber geschrieben wurden.
so bin ich vor 1 jahr auch an meinen jetzigen hauptjob gekommen, is ne nette anekdote

ich hab bei ner firma mal aus langeweile ein bisschen auf deren homepage rumgespielt und das ding auf herz und nieren geprüft, und tatsächlich ne möglichkeit gefunden, mittels gefälschter cookies an sensible informationen über beliebige dort registrierte user zu kommen (jahreseinkommen, besitz von grundstücken etc.).
hab das dem admin mal gemailt, zusammen mit einer erklärung zum hintergrund; tja, die haben mich dann kurze zeit später als freien mitarbeiter angeheuert

aber das war noch harmlos im vergleich zu andern sachen die ich im laufe meiner internet-zeit (ganze 5,5 jahre, wow) so erlebt hab. da könnt ich stories erzählen dass es einen aus den socken haut.... teilweise schreit einem auf internet-seiten echt die dummheit (oder eben einfach unwissenheit) der "programmierer" entgegen

15.08.2003, 02:00	#20
suprafan Captain Slow Registriert seit: Feb 2003 Ort: Bodensee (D) Beiträge: 10.060 iTrader-Bewertung: (18)	na ich denk mal meistens läufts doch so: jemand findet eine sicherheitslücke in einem stück software. wenn er ein bisschen verantwortungsbewusst ist (die meisten sind das zum glück), nimmt er zuerst kontakt mit dem software-hersteller auf und informiert ihn über die lücke; um dem ganzen noch etwas mehr nachdruck zu verleihen, schickt er vielleicht noch einen exploit mit. man liest in bugtraq und konsorten aber oft genug sätze wie "vendor was informed 3 weeks ago, no response.". also geht man an die öffentlichkeit, um wenigstens die user dieser software zu warnen und eventuelle workarounds zu beschreiben (port xxx dicht machen, daemon xxx deaktivieren o.ä.). anhand der informationen, die der entdecker rausgeben _musste_ (um den usern hilfestellung zu geben), werden sich nun haufenweise scriptkiddies und cracker mit niederen motiven daran machen, den hintergrund der lücke nachzuvollziehen und aus profilierungssucht oder was auch immer, einen exploit zu schreiben. ab hier gerät das ganze mehr oder weniger außer kontrolle. neulich bei der bekanntgabe des bugs im cisco-IOS ist auch kurze zeit später ein exploit aufgetaucht... nur in diesem fall wurde von Cisco schnell genug reagiert und es kam zeitgleich mit der bekanntgabe der sicherheitslücke ein patch raus, nur dadurch ist der GAU wohl ausgeblieben. aber allgemein zum thema server-hacking: es muss nicht immer an standard-software liegen, oft hängts auch an fehlerhaften scripten, die vom website-betreiber selber geschrieben wurden. so bin ich vor 1 jahr auch an meinen jetzigen hauptjob gekommen, is ne nette anekdote ich hab bei ner firma mal aus langeweile ein bisschen auf deren homepage rumgespielt und das ding auf herz und nieren geprüft, und tatsächlich ne möglichkeit gefunden, mittels gefälschter cookies an sensible informationen über beliebige dort registrierte user zu kommen (jahreseinkommen, besitz von grundstücken etc.). hab das dem admin mal gemailt, zusammen mit einer erklärung zum hintergrund; tja, die haben mich dann kurze zeit später als freien mitarbeiter angeheuert aber das war noch harmlos im vergleich zu andern sachen die ich im laufe meiner internet-zeit (ganze 5,5 jahre, wow) so erlebt hab. da könnt ich stories erzählen dass es einen aus den socken haut.... teilweise schreit einem auf internet-seiten echt die dummheit (oder eben einfach unwissenheit) der "programmierer" entgegen __________________ Wer nichts weiß, muss alles glauben.