nicht angemeldet at
dedlfix
Marc Reichelt
at
Manuel B.
Manuel B.
at
Moin @ All,
ich versuche mal die Details so knapp als möglich zu halten.
Ich habe eine Intranet Applikation (PHP) programmiert mit DB Anbindung.
Seit ein paar Tagen löscht jemand Daten aus der DB über ein ungeschütztes Admin Menü. (Wer den Link weiß der hat auch Zugriff)
Ich habe nun versucht den PC Namen via gethostbyaddr() heraus zu finden. Leider musste ich feststellen, das derjenige über einen Proxy kommt. Also - kein PC Name.
Das Admin Menü möchte ich solange "ungeschützt" lassen bis ich den/die erwischt habe.
Welche Möglichkeiten habe ich den Verursacher innerhalb des Firmennetzes zu lokalisieren? Das Problem ist der Proxy.
BTW: Die erwähnte Applikation ist verantwortlich für die in Rechnugstellung von 20.000,00 Euro im Monat, also kein Pappenstiel.
Und durch die Manipulation arbeitet die SW fehlerhaft.
Danke & regds
Mike©
Hi Mike©!
Versuch´s mal mit der MAC-Adresse.
http://www.php-resource.de/forum/showthread/t-42390.html
MfG Hopsel
Moin!
Versuch´s mal mit der MAC-Adresse.
Blödsinn. Die MAC-Adresse wird genau die sein, welche von dem direkt dem Server vorgelagerten Router kommt. Denn MAC-Adressen sind wirklich nur für das lokale Netz relevant und werden NICHT über Router hinweg übertragen.
Ist deinem Link aber auch zu entnehmen.
- Sven Rautenberg
Moin Sven,
Ist deinem Link aber auch zu entnehmen.
ich hatte das auch so heraus gelesen, aber da hier mehr auf dem Verursacherprinzip (Ich) geritten wird, als vielmehr etwas zu meinem Problem bei zu tragen, habe ich mir Kommentare erspart.
regds
Mike©
Moin!
ich hatte das auch so heraus gelesen, aber da hier mehr auf dem Verursacherprinzip (Ich) geritten wird, als vielmehr etwas zu meinem Problem bei zu tragen, habe ich mir Kommentare erspart.
Naja, du hast selbst "Intranet" geschrieben. Das ist per Definition ein abgeschlossenes und mit besonderem Sicherheitsbonus versehenes lokales Netzwerk.
Das, was aber tatsächlich zu sein scheint, dürfte ein Extranet sein, also eine über das Internet (und deshalb auch diverse öffentliche Proxys und Anonymizer) erreichbare, eigentlich nur per Authentifizierung/Login zugängliche Webapplikation - bei der der Programmierer (vermutlich vertragswidrig oder auftragswidrig) eine ungesicherte Hintertür eingebaut hat, die ihm jetzt um die Ohren fliegt - und wenn's wirklich rauskommt, ggf. auch arbeitsrechtliche Konsequenzen oder Schadenersatzforderungen zur Folge haben könnte.
Du willst Informationen, wer dahinter steckt? Vermutlich ist derjenige nicht dumm, er nutzt jetzt schon anonymisierende Proxys, also wird er vermutlich auch Maßnahmen ergreifen, die seine Entdeckung durch andere Wege verhindern.
Als Idee: Baue in die Admin-Seite ein 1x1-Pixel-Bild ein (darf in Natura natürlich größer sein, sollte aber nicht unbedingt auffallen). Warte den Zugriff des Angreifers ab und scanne danach alle Browsercaches der möglichen Verdächtigen nach der Existenz dieses Bildes.
ActiveX oder VBScript würde ich ebenfalls nicht einfach deswegen ausschließen, weil's standardmäig deaktiviert sein könnte. Da muß ja nicht zwingend ein Mitarbeiter werkeln, bzw. nicht zwingend von seinem Firmenrechner aus.
- Sven Rautenberg
Hallo Sven.
Als Idee: Baue in die Admin-Seite ein 1x1-Pixel-Bild ein (darf in Natura natürlich größer sein, sollte aber nicht unbedingt auffallen). Warte den Zugriff des Angreifers ab und scanne danach alle Browsercaches der möglichen Verdächtigen nach der Existenz dieses Bildes.
Wenn er--wie von dir vermutet--schlau genug ist, wird er mit Sicherheit seinen Browsercache nach dem Zugriff leeren.
Oder aber er hat ihn bereits vorher deaktiviert.
Einen schönen Donnerstag noch.
Gruß, Ashura
Hallo!
Wenn er--wie von dir vermutet--schlau genug ist, wird er mit Sicherheit seinen Browsercache nach dem Zugriff leeren.
Oder aber er hat ihn bereits vorher deaktiviert.
Wenn es sich aber im bekannte Proxies handelt, kann man es evtl. über den entsprechenden Admin herausbekommen, wie bereits mehrfach vorgschlagen wurde.
Als Abwandlung von Svens Idee mit dem Bild, könnte man das Bild auch von einem echten Internet-Webserver einbinden, dann würde es evtl. direkt abgerufen und man hätte die IP. Allerdings ist das dann vermutlich wieder ein Proxy, aber anhand der IP / des Hostnamens kann man schonmal sagen wo der Zugriff ungefähr herkommt. Evtl. kann man es so auf eine Geschäftsstelle oder sogar eine Abteilung eingrenzen. Wenn der Proxy dann noch den X-Forwarded-For Header sendet, kommt man evtl. schon an die IP des Rechners hinter dem Proxy.
Der bessere Weg ist IMHO aber, die entsprechenden Admins zu kontaktieren.
Grüße
Andreas
Moin Andreas,
Der bessere Weg ist IMHO aber, die entsprechenden Admins zu kontaktieren.
Das ist nicht möglich, der Proxy kann wahlweise in Prag, Ami Land, Malysia oder sonstwo sitzen. Er wird dynamisch gewählt.
regds
Mike©
echo $begrüßung;
Das ist nicht möglich, der Proxy kann wahlweise in Prag, Ami Land, Malysia oder sonstwo sitzen. Er wird dynamisch gewählt.
Aber irgendwer muss doch die Oberaufsicht über alle Proxys/Rechenzentren/IT haben. Zumindest der Wechselmechanismus muss doch was zentrales sein, oder?
echo "$verabschiedung $name";
Hallo Mike©,
Der bessere Weg ist IMHO aber, die entsprechenden Admins zu kontaktieren.
Das ist nicht möglich, der Proxy kann wahlweise in Prag, Ami Land, Malysia oder sonstwo sitzen. Er wird dynamisch gewählt.
Ich hasse Proxies.
Und das nicht nur aus diesem Grund - vor allem weil wir in der Schule damals auch einen Proxy hatten, der die Seiten immer zwischengespeichert und dann nie die aktuellsten, sondern die alten Seiten angezeigt hat.
Auch FTP oder HTTPS war über diesen Proxy nicht möglich. *grrr*
;-)
Grüße
Marc Reichelt || http://www.marcreichelt.de/
Moin Sven,
Das, was aber tatsächlich zu sein scheint, dürfte ein Extranet sein, also eine über das Internet (und deshalb auch diverse öffentliche Proxys und Anonymizer) erreichbare, eigentlich nur per Authentifizierung/Login zugängliche Webapplikation - bei der der Programmierer (vermutlich vertragswidrig oder auftragswidrig) eine ungesicherte Hintertür eingebaut hat, die ihm jetzt um die Ohren fliegt - und wenn's wirklich rauskommt, ggf. auch arbeitsrechtliche Konsequenzen oder Schadenersatzforderungen zur Folge haben könnte.
Nein, der Programmierer bin ich, die Hintertür habe ich selbst programmiert. Wir reden hier vom Gelb Konzern. 1000 Firewalls. Ein Angriff von aussen ist aus technischer Seite ausgeschloßen. Es muss definif ein interner Angriff sein, und der Benutzer ist auch meines Erachtens nach unbedarft. Kein Hacker.
regds
Mike©
Hallo.
Nein, der Programmierer bin ich, die Hintertür habe ich selbst programmiert. Wir reden hier vom Gelb Konzern. 1000 Firewalls. Ein Angriff von aussen ist aus technischer Seite ausgeschloßen. Es muss definif ein interner Angriff sein, und der Benutzer ist auch meines Erachtens nach unbedarft. Kein Hacker.
Hat Herr Zumwinkel Enkel?
MfG, at
Moin,
Hat Herr Zumwinkel Enkel?
*ROFL*
regds
Mike©
Hi Sven!
Blödsinn.
Bleib sachlich.
Ich wollte nur helfen und hatte exakt 37,45 Sekunden um den Link zu finden diesen Post zu verfassen...
MfG Hopsel
Moin!
Blödsinn.
Bleib sachlich.
Ich wollte nur helfen und hatte exakt 37,45 Sekunden um den Link zu finden diesen Post zu verfassen...
Bleib du mal sachlich. Niemand hat dich gezwungen, Support in Rekordzeit zu leisten - insbesondere keinen, der fachlich falsch ist.
- Sven Rautenberg
Hi Sven!
Bleib du mal sachlich.
Bin ich doch.
Niemand hat dich gezwungen, Support in Rekordzeit zu leisten - insbesondere keinen, der fachlich falsch ist.
Das wäre auch sehr ungewöhnlich.
Ich war tatsächlich der festen Überzeugung, dass mein Vorschlag fachlich korrekt war und hätte ihn selber so ausprobiert ... und wäre auf die Schnauze gefallen.
Aber dafür gibt es dieses Forum und es ist wichtig, dass Fehler korrigiert werden. Und dafür bin ich dir dankbar.
MfG Hopsel
hi,
Welche Möglichkeiten habe ich den Verursacher innerhalb des Firmennetzes zu lokalisieren? Das Problem ist der Proxy.
sendet der proxy irgendwelche info über den anforderer der ressource mit, oder ist er ein vollkommen anonymer?
HTTP-header mitloggen und auswerten.
BTW: Die erwähnte Applikation ist verantwortlich für die in Rechnugstellung von 20.000,00 Euro im Monat, also kein Pappenstiel.
und so etwas "verwaltest" du durch ein
ungeschütztes Admin Menü. (Wer den Link weiß der hat auch Zugriff)
...?
gruß,
wahsaga
echo $begrüßung;
sendet der proxy irgendwelche info über den anforderer der ressource mit, oder ist er ein vollkommen anonymer?
HTTP-header mitloggen und auswerten.
Da es ein PHP-Script ist, sollte das Aufzeichnen des Inhalts von $_SERVER reichen.
Ich glaube mich zu erinnern, da schon mal einen entsprechenden Eintrag (irgendwas mit forwarded for) gesehen zu haben.
echo "$verabschiedung $name";
Hallo!
(Wer den Link weiß der hat auch Zugriff)
das ist schlecht.
Ich habe nun versucht den PC Namen via gethostbyaddr() heraus zu finden. Leider musste ich feststellen, das derjenige über einen Proxy kommt. Also - kein PC Name.
Wenn es ein Intranet ist, dann besorg Dir vom Admin des Proxys entsprechende Informationen. Evtl. wird da was geloggt, evtl. wird auch die originale IP-Adresse in die HTTP Header geschrieben.
Das Admin Menü möchte ich solange "ungeschützt" lassen bis ich den/die erwischt habe.
ob das so eine gute Idee ist?
Welche Möglichkeiten habe ich den Verursacher innerhalb des Firmennetzes zu lokalisieren? Das Problem ist der Proxy.
Und durch die Manipulation arbeitet die SW fehlerhaft.
Nein, die Software arbeitet fehlerhaft weil der Programmierer Mist gebaut hat.
Grüße
Andreas
Moin nochmal,
BTW: Die erwähnte Applikation ist verantwortlich für die in Rechnugstellung von 20.000,00 Euro im Monat, also kein Pappenstiel.
Sorry, Tippfehler: Es nicht 20.000 sondern 20 MIO
regds
Mike©
Hallo Mike©!
Sorry, Tippfehler: Es nicht 20.000 sondern 20 MIO
Ja dann lohnt es sich ja erst recht. :-/
Sperre gefälligst das Admin-Menü. Überleg mal, der Knallkopp kommt
auf die Idee, die gesamte DB zu löschen, wenn er sich entsprechend
weitergebildet hat. Willst du das riskieren?
℆, ℒacℎgas
Hallo Mike©,
Welche Möglichkeiten habe ich den Verursacher innerhalb des Firmennetzes zu lokalisieren? Das Problem ist der Proxy.
Ich würde schon mal auf jeden Fall in dem entsprechenden Netzwerk Ethereal ein paar Stunden mitlaufen lassen, um den Netzwerkverkehr aufzuzeichnen - du hast doch Zugriff darauf, oder?
Wenn der Angreifer nämlich hinter einem Proxy sitzt, wird es schwer ihn herauszufinden - außer natürlich über die Log-Datei des Proxys. Das wäre die zweite Anlaufstelle.
Dann nützt es dir noch vielleicht ein wenig, bestimmte Informationen aufzuzeichnen, wie z.B. Referrer und vor allem der User-Agent (ich weiß, das kann man alles manipulieren).
Sammle alle Informationen, die du bekommen kannst - bestenfalls noch gleich wer wann an welchem Rechner saß.
Diese Informationen musst du dann natürlich vertraulichst behandeln!
Durch die Kombination der Informationen kannst du später den Angreifer eventuell ermitteln. Und der User-Agent ist dabei nicht zu verachten, der gibt im Normalfall nämlich noch eine Menge Informationen über das System mit aus...
Grüße
Marc Reichelt || http://www.marcreichelt.de/
Hallo,
wieso, der User macht nichts falsch, er macht genau das was er _darf_!
ich würde am liebsten noch viel weiter ausholen, aber ich tue es nicht, weil es viel eigene Erfahrun und Ärger mit schlechten Programmierern wiedergibt.
wer scheisse programmiert wird scheisse ernten.
gruss
Moin,
wer scheisse programmiert wird scheisse ernten.
Diese Diskussion ist müssig, denn es bringt mich in der Sache nicht weiter. Noch dazu ist es nicht "scheisse" programmiert, sondern nur "fahrlässiger" Weise nicht geschützt. Aber das ist dann wieder mein Problem.
regds
Mike©
Hallo,
es tut mir leid, ich hab mich dazu hinreissen lassen, ich wollte dich damit keineswegs beleidigen. Du hast Recht, jeder muss seine eigenen Fehler machen, damit er daraus lernen kann ;)
also schadensbegrenzung: das was ich dir vorschlagen wollte, hast du schon gemacht, nämlich die löschungen einfach nicht auszuführen. falls ihr ein intranet besitzt indem der ie verwendet wird, und deine seite activex ausführen darf, könntest du damit eine ganze menge anstellen auf dem computer des aufrufenden. Beachte aber deine Firmenpolicy, kann nämlich sein, dass du dich da auf rechtliches Glatteis begibst.
gruss
Moin Eternius,
falls ihr ein intranet besitzt indem der ie verwendet wird, und
Yep, aus den Gegebenheiten darf/kann die Applikation nur im IE laufen
Beachte aber deine Firmenpolicy
Nun, ich achte bedingt darauf und möchte mich dazu nicht näher ausslassen. Wie bereits angedeutet: Es ist ein Weltkonzern.
regds
Mike©
Ahoi Mike© ,
Wie bereits angedeutet: Es ist ein Weltkonzern.
fängt nicht rein zufällig mit Micro an und hört mit soft auf? *SCNR*
MfG
Moin,
fängt nicht rein zufällig mit Micro an und hört mit soft auf? *SCNR*
Nö, fängt gelb an und hört mit drei Buchstaben auf.
regds
Mike©
Moin @ All,
damit ich nicht allen einzel Antworten muss, fasse ich hier zusammen.
Der Knallkopf Programmierer bin natürlich ich. Die Personen, welche ich den Admin Link mittgeteilt habe sollten vertraunswürdig sein.
( Man lernt nie aus )
Das Netz ist ein weltweites Netz, und obwohl derjenige direkt neben mir sitzen könnte, kommt er über einen Proxy im Amy Land.
Das ist so wahrscheinlich nicht beabsichtigt. Wir haben verschiedene Netze verknüpft und so kann ich den "Netzbereich" schon eingrenzen. Das wa's aber auch. Selbst wenn es nur eine mögliche Person in diesem Bereich gibt, kann ich es nicht beweisen.
Das betreffende Programm im Admin Bereich habe ich manipuliert. Es gaukelt dem Anwender nun vor das der Befehl ausgeführt würde. In Wirklichkeit sendet es mir Infos.
regds
Mike©
Hallo!
Naja, alles in allem würde ich die ganze Situation eigentlich mit "you get what you pay for" zusammenfassen, allerdings ergibt das zusammen mit angeblichen 20 Mio im Monat nicht mehr besonders viel Sinn...
Wenn irgendjemand hier 20 Mio EUR im Momant für irgendwas bekommt, sollte er doch wohl in der Lage sein das Probleme zur Not mit externer Hilfe zu beheben.
Grüße
Andreas
Moin Andreas,
Naja, alles in allem würde ich die ganze Situation eigentlich mit "you get what you pay for" zusammenfassen, allerdings ergibt das zusammen mit angeblichen 20 Mio im Monat nicht mehr besonders viel Sinn...
Das habe ich so nicht wirklich verstanden!
Was Du mit angeblich? Es sind 20 MIO was zu Beweisen hier nicht von Nöten ist.
Wenn irgendjemand hier 20 Mio EUR im Momant für irgendwas bekommt, sollte er doch wohl in der Lage sein das Probleme zur Not mit externer Hilfe zu beheben.
Ich befürchte das Du die Situation als solche nicht wirklich verstanden hast. Das kann aber auch mein Fehler bei der Erklärung gewesen sein.
Das erwähnte Programm dient dazu es zu ermöglichen dem Kunden die von "uns" verauslagten Kosten in Rechnung zu stellen. "Wir" bezahlen die anfallenden Zollkosten beim Zoll und wollen das vom Kunden zurück.
regds
Mike©
Hallo!
Ich befürchte das Du die Situation als solche nicht wirklich verstanden hast.
stimmt.
Das erwähnte Programm dient dazu es zu ermöglichen dem Kunden die von "uns" verauslagten Kosten in Rechnung zu stellen. "Wir" bezahlen die anfallenden Zollkosten beim Zoll und wollen das vom Kunden zurück.
Wie auch immer. Ich dachte es wäre eine INTRANET-Anwendung, da sollte es sich eigentlich verhindern lassen, dass da fremde Leute von irgendwelchen Proxies am anderen Ende der Welt überhaupt drauf zugreifen können. Für mich hört sich das alles eher nach einer INTERNET-Anwendung an. Wenn jetzt fremde Leute unbefugt Zugriff auf sensible Daten erhalten, weil der Programmierer ein ungeschütztes Admin-Interface eingebaut hat, ist das fahrlässig, vermutlich sogar grob fahrlässig - mit allen damit verbundenen Kosequenzen (Haftung, Schadensersatz...).
Wenn derjenige der auf Dein Admin-Menü zugegriffen hat nicht ganz blöd ist, hast Du keine Chance herauszubekommen, wer das ist - da hilft Dir auch alles loggen nichts.
Wenn Du weißt aus welchem Netz er kommt, könnte man vielleicht mit viel Glück in diesem Netzwerk herausfinden, ob sich jemand zu dem Proxy der auf die Applikation zugreift verbindet, allerdings kann man auch über meherere Proxies gehen. Wenn die Kommunikation zwischen besagtem Client und dem ersten Proxy unverschlüsselt abläuft, könnte man evtl. auch hier Hinweise finden. Aber wie gesagt, die Chancen sind vermutlich gering. Wenn Du die Personen eingrenzen kannst, könnte man versuchen entsprechend Logs bzgl. deren IPs genauer zu durchleuchten. Aber abgesehen von Datenschutzproblemen, braucht man sehr viel Glück um etwas zu finden. Abgesehen davon sollten Dir da die entsprechenden Administratoren der in Frage kommenden Netze besser helfen können - oder auch nicht.
Du beschwerst Dich, dass nur auf dem "Verursacherprinzip geritten wird", aber wundert Dich das bei solchen Ausagen:
Gab es einen besonderen Grund das Admin Menü nicht zu schützen?
Ja, es stammt noch aus der Entwicklungsphase und ist nur wenigen bekannt.
Dieses Admin Tool diente mir in der Entwicklungsphase und ist heute immernoch eine Hintertür für mich.
Die Personen, welche ich den Admin Link mittgeteilt habe sollten vertraunswürdig sein.
( Man lernt nie aus )
Seit ein paar Tagen löscht jemand Daten aus der DB über ein ungeschütztes Admin Menü. (Wer den Link weiß der hat auch Zugriff)
BTW: Die erwähnte Applikation ist verantwortlich für die in Rechnugstellung von 20.000,00 Euro im Monat, also kein Pappenstiel.
Sorry, Tippfehler: Es nicht 20.000 sondern 20 MIO
Ich habe eine Intranet Applikation (PHP) programmiert mit DB Anbindung.
Das Netz ist ein weltweites Netz, und obwohl derjenige direkt neben mir sitzen könnte, kommt er über einen Proxy im Amy Land.
Grüße
Andreas
Moin Andreas,
Wie auch immer. Ich dachte es wäre eine INTRANET-Anwendung, da sollte es sich eigentlich verhindern lassen, dass da fremde Leute
Nope, es sind keine Fremden. Es ist ein interner Mitarbeiter. Die Verküpfung der Netze lässt einen solchen Zugriff über die weltweiten Proxies zu. Ist die entsprechende IP Range nicht für den direkten Zugriff freigegeben, wird automatisch über den ( Firmen internern weltweit irgendwo stehenden Proxy geroutet )
regds
Mike©
Moin!
Wie auch immer. Ich dachte es wäre eine INTRANET-Anwendung, da sollte es sich eigentlich verhindern lassen, dass da fremde Leute
Nope, es sind keine Fremden. Es ist ein interner Mitarbeiter. Die Verküpfung der Netze lässt einen solchen Zugriff über die weltweiten Proxies zu. Ist die entsprechende IP Range nicht für den direkten Zugriff freigegeben, wird automatisch über den ( Firmen internern weltweit irgendwo stehenden Proxy geroutet )
Dann gibt es zwei Möglichkeiten:
1. Du nimmst den Telefonhörer in die Hand und telefonierst mal mit dem zuständigen Admin dieses Proxys, ob der dir nicht aus den Logfiles entsprechende Angaben rausfiltern könnte.
2. Du nimmst den Telefonhörer in die Hand und telefonierst mal mit deinem Vorgesetzten oder Auftraggeber, zeigst ihm diese Sicherheitslücke an und schlägst vor, dass der zur Ermittlung des Täters beim Proxy-Admin nachfragt und sich die Logfileauszüge geben läßt.
- Sven Rautenberg
Moin Sven,
Dann gibt es zwei Möglichkeiten:
Du nimmst den Telefonhörer in die Hand und telefonierst mal mit dem zuständigen Admin dieses Proxys, ob der dir nicht aus den Logfiles entsprechende Angaben rausfiltern könnte.
Du nimmst den Telefonhörer in die Hand und telefonierst mal mit deinem Vorgesetzten oder Auftraggeber, zeigst ihm diese Sicherheitslücke an und schlägst vor, dass der zur Ermittlung des Täters beim Proxy-Admin nachfragt und sich die Logfileauszüge geben läßt.
In der Theorie korrekt, aber ich hatte bereits erwähnt das die Proxies, je nach Auslastung, weltweit dynamisch wechseln :-(
regds
Mike©
Moin!
In der Theorie korrekt, aber ich hatte bereits erwähnt das die Proxies, je nach Auslastung, weltweit dynamisch wechseln :-(
Aber wenn der Zugriff erfolgt ist, dann weißt du, welcher Proxy es war, und kannst den zuständigen Admin kontaktieren.
- Sven Rautenberg
Hallo!
In der Theorie korrekt, aber ich hatte bereits erwähnt das die Proxies, je nach Auslastung, weltweit dynamisch wechseln :-(
Das ändert nichts daran, dass es hierfür Logdaten gibt. Sowas ist kein Einzelfall dass von intern Anwender irgendwelche unerlaubten Dinge getrieben werden - Du hast es dem "Angreifer" nur sehr einfach gemacht. Der Vorteil eines solchen Unternehmensnetzes gegenüber dem Internet besteht ja unter anderem darin, dass man Kontrolle über alle Server/Proxies/Router hat, entsprechend lässt sich theoretisch jeglicher Datenverkehr nachvollziehen. Allerdings kann nicht jeder der dämliche Fehler in einem PHP-Script macht mal eben daherkommen und sämtliche Logs durchleuchten (lassen). Aber die Möglichkeit wird es geben - nur können wir Dir hier dabei vermutlich nicht wirklich weiterhelfen - das musst Du mit Deinen entsprechenden Ansprechpartnern klären.
Welche Proxys involviert waren weißt Du ja aus Deinen Logfiles.
Und wie gesagt - DU hast evtl. auch den X-FORWARDED-FOR Header im Request der die IP enthält für die der Request weitergeleitet wurde.
Grüße
Andreas
Mal kurz ein kleine, aber vielleicht nicht unwichtige Frage, warum war bzw. ist es ja immernoch, das Admin Menü ungeschützt?
Gab es einen besonderen Grund das Admin Menü nicht zu schützen?
Hallo kai!
Mal kurz ein kleine, aber vielleicht nicht unwichtige Frage, warum
war bzw. ist es ja immernoch, das Admin Menü ungeschützt?
Gab es einen besonderen Grund das Admin Menü nicht zu schützen?
Ich befürchte, es war ein zu immanter Glaube an das menschliche
Vertrauen ;-)
℆, ℒacℎgas
Ich befürchte, es war ein zu immanter Glaube an das menschliche
Vertrauen ;-)
Da würde ich eher sagen der naive Glaube...
yo,
Ich befürchte, es war ein zu immanter Glaube an das menschliche
Vertrauen ;-)
Da würde ich eher sagen der naive Glaube...
steckt nicht schon im wort glaube die naivität mit drinne ?
Ilja
Hi,
steckt nicht schon im wort glaube die naivität mit drinne ?
Jap. Genauso wie im Wort "Unglaube" die Ignoranz drin steckt.
Der Yeti
Hallo.
steckt nicht schon im wort glaube die naivität mit drinne ?
Jap. Genauso wie im Wort "Unglaube" die Ignoranz drin steckt.
Wahrscheinlich sogar tiefer als du meinst.
MfG, at
Moin,
»» Mal kurz ein kleine, aber vielleicht nicht unwichtige Frage, warum war bzw. ist es ja immernoch, das Admin Menü ungeschützt?
Weil ich denjenigen schnappen möchte. (Das betreffende Programm ist entschärft)
Gab es einen besonderen Grund das Admin Menü nicht zu schützen?
Ja, es stammt noch aus der Entwicklungsphase und ist nur wenigen bekannt.
regds
Mike©
Moin nochmal,
zur Erläuterung: Dieses Admin Tool diente mir in der Entwicklungsphase und ist heute immernoch eine Hintertür für mich.
Wenn sich ein User anmeldet, wird er in der DB gespeichert. Damit nicht mehrere User an den gleichen Daten arbeiten wird der zu bearbeitende Bereich geschützt. Geht nun eine Session verloren, kann man den User über dieses Admin Tool aus der DB löschen. Der Angreifer löscht jedoch die User obwohl er noch Online ist. Somit ist die Info über seinen Arbeitsbereich futsch, und es kommt zu Überschneidungen. Soviel zum Hintergrund.
Mike©
Hi,
ich verstehe immer noch nicht richtig, warum du es nicht bereits in der Entwicklungsphase z.B. per .htaccess geschützt hast ... wenn es um 20 Mio. geht, würde ich eher paranoid als leichtsinnig werden.
Zum Thema vertrauenswürdige Mitarbeiter: Vielleicht hat Angreifer ja auch auf anderem Wege Wind von der URL bekommen. Ist zwar unwahrscheinlich, aber vielleicht hat er einfach rumprobiert oder er snifft den Unternehmensnetzwerkverkehr (waseinwort) mit.
Aber genug auf dir rumgehackt. Zum Problem: Wenn der Proxy nichts rausrückt (z.B. über X-FORWARDED-FOR), bleibt dir nur der Gang zum Proxybetreiber. Der sollte die Infos noch haben und vielleicht rückt er sie dann ja raus. Ansonsten sehe ich da keine Möglichkeit.
Der Yeti
Hi Yeti!
wenn es um 20 Mio. geht, würde ich eher paranoid als leichtsinnig werden.
Ich denke, Mike aber auch...
MfG Hopsel
Moin Hopsel,
wenn es um 20 Mio. geht, würde ich eher paranoid als leichtsinnig werden.
Yep, man lernt nie aus. Und wenn ich diesen Wich... erwische..... muss ich mir an die eigene Nase fassen *HEUL*
regds
Mike©
Hallo.
Und wenn ich diesen Wich... erwische.
"Wichtel"?
MfG, at
Hi,
Ich denke, Mike aber auch...
Ich würd aber schon in der Entwicklungsphase jedes nur theoretisch bestehende Sicherheitsloch auf jeden Fall stopfen.
Aber wer den Schaden hat, spottet jeder Beschreibung ...
Der Yeti
Moin,
Ich würd aber schon in der Entwicklungsphase jedes nur theoretisch bestehende Sicherheitsloch auf jeden Fall stopfen.
Aber wer den Schaden hat, spottet jeder Beschreibung ...
nicht dramatisieren. Ich hab's ja schon im Griff. Ich will nur diesen Basta... erwischen.
regds
Mike©
Hi,
nicht dramatisieren. Ich hab's ja schon im Griff. Ich will nur diesen Basta... erwischen.
Kannst du denn nachvollziehen, was gelöscht wurde (z.B. durch irgendwelche Zolldokumente)? Dann war's wohl nur ein heilsamer Schock (würde ich dir wünschen).
Ist klar, dass du den Typ dingfest machen willst. Aber wie gesagt, wird sehr schwer bis unmöglich.
Der Yeti
Moin,
Kannst du denn nachvollziehen, was gelöscht wurde (z.B. durch irgendwelche Zolldokumente)? Dann war's wohl nur ein heilsamer Schock (würde ich dir wünschen).
Ich weiß ganz genau was gelöscht wurde. Eben nur aktuelle Usereinträge, keine kritischen Daten. Die Löschung der Usereinträge zieht nur programmtechnische Fehlabläufe nach sich.
Ist klar, dass du den Typ dingfest machen willst. Aber wie gesagt, wird sehr schwer bis unmöglich.
Darauf kannst Du einen lassen, ich werde Sie/Ihn finden *KNIRSCH*
regds
Mike©
Hallo.
Ich will nur diesen Basta... erwischen.
"Bastaufwickler"?
MfG, at
Moin,
ich verstehe immer noch nicht richtig, warum du es nicht bereits in der Entwicklungsphase z.B. per .htaccess geschützt hast ... wenn
schön wäre es. Man hat mir nur den IIS an die Hand gegeben. Also kein .htaccess. Und selbst wenn, ich habe diese Hintertür anscheinend selbst zum Scheunentor gemacht.
Aber genug auf dir rumgehackt. Zum Problem: Wenn der Proxy nichts rausrückt (z.B. über X-FORWARDED-FOR), bleibt dir nur der Gang zum Proxybetreiber. Der sollte die Infos noch haben und vielleicht rückt
Keine Chance. Durch das weltweite Netz, ist der Proxy jedesmal ein ein anderer. Das Routing wird jeweils dynamisch erstellt.
regds
Mike©
Hi,
schön wäre es. Man hat mir nur den IIS an die Hand gegeben. Also kein .htaccess. Und selbst wenn, ich habe diese Hintertür
anscheinend selbst zum Scheunentor gemacht.
Stimmt. Das ist Mist. Aber man kann doch auch PHP-Skripten selbst die HTTP-Authentifizierung beibringen. Egal, eh zu spät.
Keine Chance. Durch das weltweite Netz, ist der Proxy jedesmal ein ein anderer. Das Routing wird jeweils dynamisch erstellt.
Ah, ich dachte es geht um ein relativ kleines Intranet, aber wenn es da auch noch mehrere Proxies gibt ... ei ei ei.
Wenn deine Seite beim User in der Local Intranet-Zone läuft, kannst du mal ein paar böse ActiveX-Spielereien ausprobieren. Z.B. liefert folgendes Skript den Benutzernamen:
<script type="text/javascript">
var wScript = new ActiveXObject("WScript.Network");
// in wScript.UserName steht dann der aktuelle Loginname
</script>
Der Yeti
Moin,
<script type="text/javascript">
var wScript = new ActiveXObject("WScript.Network");
// in wScript.UserName steht dann der aktuelle Loginname
</script>
No way. Die Standard Images haben per default ActiveX deaktiviert :-(
regds
Mike©
echo $begrüßung;
schön wäre es. Man hat mir nur den IIS an die Hand gegeben. Also kein .htaccess. Und selbst wenn, ich habe diese Hintertür anscheinend selbst zum Scheunentor gemacht.
Na und? Das ist keine Ausrede. Auch der IIS kann Basic Authentication und wenn dir das Einloggen zu umständlich ist, dann gibt es noch NTLM (passende Umgebung vorausgesetzt).
echo "$verabschiedung $name";
Hi,
Na und? Das ist keine Ausrede. Auch der IIS kann Basic Authentication und wenn dir das Einloggen zu umständlich ist, dann gibt es noch NTLM (passende Umgebung vorausgesetzt).
Riiichtig! Das ist die Lösung: Schalte einfach ne Authentifizierung per NTLM davor und wenn die Seite für ihn in der Local Intranet Zone ist, schickt er automatisch seinen Benutzernamen (und evt. auch Passwort?!?) mit.
Der Yeti
Moin,
Na und? Das ist keine Ausrede. Auch der IIS kann Basic Authentication und wenn dir das Einloggen zu umständlich ist, dann gibt es noch NTLM (passende Umgebung vorausgesetzt).
Habe ich jetzt hier schon tausend Mal geschrieben, das es nicht um meine Fahrlässigkeit geht? Das mitlerweile bekannt und Fakt.
regds
Mike©
echo $begrüßung;
Habe ich jetzt hier schon tausend Mal geschrieben, das es nicht um meine Fahrlässigkeit geht? Das mitlerweile bekannt und Fakt.
Ja hast du. Ich erlaubte mir die Kritik ja auch nur, weil ich wenigstens noch ein kleines Bisschen zu wahsagas Antwort hinzugefügen konnte. Aber ohne die Daten die dir die Proxies (freiwillig oder per Logfile) rausrücken, wirst du nicht weiterkommen.
Du könntest höchstens noch einen Keks versenden und den dann unternehmensweit suchen gehen. Nein, ich glaube nicht, dass dieser Vorschlag sehr praktikabel ist.
Andererseits dienst du jetzt hier als Beispiel, was man alles verkehrt machen kann und da darf es doch auch erlaubt sein, den Mitlesenden zu sagen, wie es besser geht, oder? :-)
Nimm es also bitte nicht persönlich.
echo "$verabschiedung $name";
Moin,
Nimm es also bitte nicht persönlich.
Nope, kein Problem. Wer doof ist muss sich auch anmalen lassen ;-)
regds
Mike©
Hallo.
Wer doof ist muss sich auch anmalen lassen ;-)
Und du bist da ja noch verhältnismäßig gut weggekommen.
MfG, at
Moin
wie kann ich eine Falle einbauen, denn ich glaube das der entsprechende User unbedarft ist. Das ist kein crack.
regds
Mike©
Hi,
ganz dreist wäre eine Phishing-Seite. Du bietest zusätzlich zum bisherigen Adminmenü auch noch Links auf die beliebtesten Intranetapplikationen an und simulierst deren Verhalten dann, sicherst dir so seine Zugangsdaten.
Der Yeti
Moin!
ganz dreist wäre eine Phishing-Seite. Du bietest zusätzlich zum bisherigen Adminmenü auch noch Links auf die beliebtesten Intranetapplikationen an und simulierst deren Verhalten dann, sicherst dir so seine Zugangsdaten.
Naja, ist ja auch absolut unauffällig, wenn sich an einer lange vergessenen Hintertürapplikation plötzlich das Menü verändert, oder? :)
- Sven Rautenberg
Hallo Mike,
warum willst du eigentlich unbedingt diesen Typen stellen? Wenn Du ihn anschwärzt, wird zwangsläufig Dein "Versäumnis" auch public.
Es ist ja sicher sehr löblich zu seinen Fehlern zu stehen, gerade wenn dadurch Schaden entstanden sein sollte. Wenn aber kein Schaden entstanden ist, wäre mein erster Reflex wohl: Sicherheitslücke schliessen und freuen, das alles nochmal gut gegangen ist. Und mir wäre dann auch egal, wer versucht hat, die Sicherheitslücke auszunutzen.
Weiterhin wäre ich wohl extrem vorsichtig, irgendwelche Angaben ins Internet (z.B. dieses Forum) zu stellen, die mich im Zweifel belasten könnten. Falls sich zufällig einer Deiner direkten oder entfernteren Kollegen hier umtut, könnten ihn Deine Aussagen durchaus interessieren.
Gruß
Henk
Moin,
warum willst du eigentlich unbedingt diesen Typen stellen? Wenn Du ihn anschwärzt, wird zwangsläufig Dein "Versäumnis" auch public.
cih kann ihn gar nicht anschwärzen, aus den bekannten Gründen, aber ich werde Sie/Ihn zu Rechenschaft ziehen. Die Ursachenforschung kostete mich 3 Tage meines Urlaubs *JA SELBST SCHULD*
regds
Mike©
echo $begrüßung;
ich kann ihn gar nicht anschwärzen, aus den bekannten Gründen,
Du meinst, weil ihr neulich das Schwarz gegen ein Rot getauscht habt? :-)
echo "$verabschiedung $name";
Moin
Du meinst, weil ihr neulich das Schwarz gegen ein Rot getauscht habt? :-)
Nein leider wurde Rot auf Weiß ersetzt durch Rot auf Gelb :-(
Und es steht fast jeden Tag vor Eurer Tür!
regds
Mike©
echo $begrüßung;
Du meinst, weil ihr neulich das Schwarz gegen ein Rot getauscht habt? :-)
Nein leider wurde Rot auf Weiß ersetzt durch Rot auf Gelb :-(
Und es steht fast jeden Tag vor Eurer Tür!
Aus meiner Sicht wurde Schwarz auf Gelb durch Rot auf Gelb ersetzt.
echo "$verabschiedung $name";
Hallo.
Aus meiner Sicht wurde Schwarz auf Gelb durch Rot auf Gelb ersetzt.
Aus meiner Sicht war es früher blau auf Gelb.
MfG, at
Moin,
Aus meiner Sicht war es früher blau auf Gelb.
Yep die wurden zur gleichen Zeit gekauft. Aus 3 Firmen wurde 1 Marke gemacht.
regds
Mike©
Hallo.
Aus meiner Sicht war es früher blau auf Gelb.
Yep die wurden zur gleichen Zeit gekauft. Aus 3 Firmen wurde 1 Marke gemacht.
Wobei das ja nur der letzte Farbwechsel war. Hierzulande hatte ich noch mit dem Wechsel von Schwarz/Grün/Orange auf Weiß zu Schwarz/Orange auf Weiß und später zu Blau auf Gelb sowie anderswo von Gelb auf Blau zu Blau auf Gelb zu tun. Lustigerweise sieht man die Logos teilweise noch immer, obwohl der erste Wechsel immerhin bereits über zweieinhalb Jahrzehnte zurückliegt.
MfG, at
Moin,
aber ich werde Sie/Ihn zu Rechenschaft ziehen.
Und wie soll das genau aussehen?
Ich finde übrigens, das Du ruhig ein wenig "devoter" autreten könntest.
Jeder hier hat sicher schon Fehler gemacht, ich auch, aber wer solche Scheunentore offen stehen lässt, muss sich auch nicht wundern, wenn dann jemand mal guckt, was geht...
Henk
Moin,
Ich finde übrigens, das Du ruhig ein wenig "devoter" autreten könntest.
*ROFL* Wen ich den ehrlichen Verursacher finde, werde ich um Verzeihung bitten das ich ihm die Möglichkeit geschaffen haben.
Devote genug?
regds
Mike©
Moin,
Wie Du meinst,
jeder auf seine Weise...
Gruß
Henk
Sup!
Du baust aktive Inhalte ein, die beim Aufruf der Seite Verbindung mit Deinem Server aufnehmen und den "Angreifer" so verraten.
Mit etwas Glück benutzt der Angreifer den IE und lasche Sicherheitseinstellungen - dann kannst Du ggf. das folgende Skript einbauen:
<html>
<head>
<title>test</title>
<script language="VBScript">
<!--
Function GetIPAddress
' This function retrieves the IP Address from the registry
' It gets it from the CurrentControlSet, so even when using DHCP
' it returns the correct IP Address
' Declare variables
Dim key
Dim cTempIPAddress
Dim cIPAddress
dim cIPAddressKey
Set oSh = CreateObject("WScript.Shell")
cInterfacesKey="HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TCPIP\Parameters\Interfaces"
cNICSearch="HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkCards\4\ServiceName"
' First check which network card to use
cNicServiceName=oSh.RegRead(cNICSearch)
' Now read the IP Address from that card
cIPAddressKey=cInterfaceskey + cNicServiceName+"\IPAddress"
cTempIPAddress=oSh.RegRead (cIPAddresskey)
' Split the items in the var tempIPAddress to the octets in array IPAddress
cIPAddress=split (cTempIPAddress(0),".",4)
' the IP addresss is now readable from ipaddress
' for example, to read the first octet, use: FirstOctet=IPAddress(0)
GetIPAddress=cIPAddress
End Function
-->
</script>
<script language="JScript">
<!--
function VBArrayTaker(vbarray){
var a = new VBArray(vbarray);
var b = a.toArray();
var i;
var text = "";
for (i = 0; i < 4; i++)
{
text = text + b[i] + ".";
}
document.getElementById("ausgabe").value=text;
}
-->
</script>
</head>
<body>
<input type="text" name="ausgabe" value="NULL">
TESTSEITE
<h2>TEST</h2>
<script language="JScript">
<!--
VBArrayTaker(GetIPAddress());
-->
</script>
</body>
</html>
Der Wert "4" in Zeile
cNICSearch="HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkCards\4\ServiceName"
ist geraten und möglicherweise eher 1 - nur bei mir war es zufällig 4. Mit etwas VBScript-Kenntnissen müsste man das Skript so aufbohren können, dass es alle Möglichkeiten durchgeht und alle vergebenen IPs der Maschine aufzeichnet.
Halali - Fröhliche Hacker-Jagd.
Gruesse,
Bio
Sup!
Ehm... das Feld muss natürlich dann wiederum "hidden" sein und die Seite muss unauffällig ein Skript von Dir in einem IFrame nachladen oder so, dass die IP aufnimmt und speichert.
Gruesse,
Bio
Moin
Ehm... das Feld muss natürlich dann wiederum "hidden" sein und die Seite muss unauffällig ein Skript von Dir in einem IFrame nachladen oder so, dass die IP aufnimmt und speichert.
No prob. Die Applikation ist die meine ( oder Meine) egal ich bin in diesem Falle der Master :-)
regds
Mike©
Ahoi Bio,
Mit etwas Glück benutzt der Angreifer den IE und lasche Sicherheitseinstellungen - dann kannst Du ggf. das folgende Skript einbauen:
ich hab das ganze mal kopiert und bei mir lokal geöffnet. im textfeld
bleibt bei mir NULL stehen, sowohl im IE als auch FF, was ist falsch?
MfG
Sup!
Aktiviere das Skript-Debugging bzw. die JS-Console und sieh' selbst?
Gruesse,
Bio
Ungetestete Idee.
Du schreibst per JS nen Cookie mit der IP des Browsers. Eigentlich soillte JS ja die IP des Rechners auslesen und nicht des Proxies. Diesen Cookie kannst du dann auslesen.
Das Senden der IP per JS (popup oder so) dürfte zu auffällig sein.
Hallo,
und wie kommt man per js an die IP?
gruss
Moin,
und wie kommt man per js an die IP?
Danke der Nachfrage ;-)
Mike©
Sup!
Mit VBScript kriegt man sie: https://forum.selfhtml.org/?t=112756&m=714368
Gruesse,
Bio
Moin Bio,
https://forum.selfhtml.org/?t=112756&m=714368
da sage ich nur: " HALALI" wenn nix mehr geht werde ich das so implemetieren.
regds
Mike©
und wie kommt man per js an die IP?
Sorry, mein Fehler. Aber wie schon erwähnt, mit VDScripbt gehts. Gehts evtl. auch per JScript? Weiss leider nicht, wieweit JScript ins System eingreifen kann, da nie benutzt.
Hi,
ich versuche mal die Details so knapp als möglich zu halten.
Naja, ich bin gerade durch den Thread und könnte Dich innerhalb Deiner Firma schon mit hoher Wahrscheinlichkeit identifizieren und mit ein wenig Glück sogar das beschriebene Hintertürchen finden. "Knapp" ist also relativ und da auf das, was Du gerade anstellst durchaus ein paar Jahre Knast stehen könnten solltest Du schonmal die Nummer vom Anwalt griffbereit halten. Ich weiß nicht, ob Du Angreifer oder Angegriffener bist -- also mal für beides, wenn auch ohne Gewähr:
Es wurde ein ungesicherter Zugang eingerichtet, mit vollem Wissen darüber das es unsicher ist. Das ist schonmal grob fahrlässig. Dann läßt man den, wenn auch entschärften Zugang offen, das ist Vorsatz. Da es um die Verzollung geht, gehe ich mal davon aus, das Zugriff auf Kundendaten besteht. D.h. es ist eine grob fahrlässige bzw sogar vorsätzliche Verletzung des Datenschutzes. Dann wird auch noch versucht alles unter den Tisch zu kehren: fristlose Kündigung wg Betruges. Dazu kommt noch die Veröffentlichung in einem frei zugänglichem Forum, das könnte man mit etwas bösem Willen als Versuch werten, den Aktienkurs des Unternehmens zu beeinflussen. Apropos Aktien: meines wenigen Wissens nach, ist für diesen Vorfall eine Kurzmeldung nach Aktienrecht erforderlich, die natürlich nicht erfolgte, da alles unter den Tisch gekehrt wurde. Das kostet das Unternehmen normalerweise ein hübsches Stängchen Geld. Sollte es eine Dependance in Kalifornien/USA geben ist auch dort der evt Datenverlust öffentlich anzuzeigen.
Der Angreifer kommt mit ein wenig Glück glimpflich dabei weg, wenn er Anfangs zu Recht Zugriff hatte und nicht sorgfältig über das Ende der Zugriffserlaubnis informiert wurde. Den Unsinn mit der Löschung könnte man mit Gewerkschaftshilfe sogar noch als simple Blödheit darstellen, der Angreifer dürfte also mit einem hellblauem Auge davonkommen.
Und das auch nur wenn er erwischt wird. Erwischt werden scheint er aber mit reinen Bordmitteln nicht zu können, deshalb kannst Du entweder alles sorgfältig unter den Tisch kehren und darauf hoffen, das sich kein Aktionär mit größerem Paket hierhin verirrt oder allen Mut zusammennehmen und dem Vorgesetztem berichten. Es gehört wahrscheinlich nicht viel Glück dazu, das ein Mitglied des mittleren Managementes hier mitliest, deshalb dürfte Deine Meldung noch jungfräulich sein. Bist Du jedoch der Angreifer hast Du Dir mit Deinem Posting hier evt den Zugang versaut.
Es ist doch immer wieder herzerfrischend mitzubekommen wie mit anderer Leute Geld umgegangen wird.
so short
Christoph Zurnieden
Moin Christoph,
Naja, ich bin gerade durch den Thread und könnte Dich innerhalb Deiner Firma schon mit hoher Wahrscheinlichkeit identifizieren und mit ein wenig Glück sogar das beschriebene Hintertürchen finden. "Knapp" ist also relativ und da auf das, was Du gerade anstellst durchaus ein paar Jahre Knast stehen könnten solltest Du schonmal die Nummer vom Anwalt griffbereit halten. Ich weiß nicht, ob Du Angreifer oder Angegriffener bist -- also mal für beides, wenn auch ohne Gewähr:
zunächst mal, es ist meine Applikation welche angeriffen wird. Also bin ich schon mal nicht der ANgreifer. Der Datenverlust besteh darin, das eingeloggte User aus einer temporären Tabelle gelöscht werden. Das war's dann auch schon mit dem Datenverlust. Dieses Löschen der User bringt lediglich den Prozess durcheinander.
Zugriff auf Kunden- oder Zolldaten bestehen und bestanden zu keiner Zeit.
regds
Mike©
Hi,
zunächst mal, es ist meine Applikation welche angeriffen wird. Also bin ich schon mal nicht der ANgreifer.
Das ist weder logisch und schon mal gar nicht beweisbar. Lediglich Indizien weisen daraufhin, das Du mit etwas höherer Wahrscheinlichkeit der Angegriffene bist. Es spielt aber auch für das Problem rein gar keine Rolle.
Der Datenverlust besteh darin, das eingeloggte User aus einer temporären Tabelle gelöscht werden. Das war's dann auch schon mit dem Datenverlust. Dieses Löschen der User bringt lediglich den Prozess durcheinander.
Das darf nicht passieren, die Software ist somit fehlerhaft und zu reparieren.
Zugriff auf Kunden- oder Zolldaten bestehen und bestanden zu keiner Zeit.
Kannst Du das beweisen?
Es ist immer sehr gefährlich lokale von externen Sicherheitslücken zu unterschieden. Auch ein "Honeypot" sollte tunlichst auf einer vom restlichem Netz getrennten Maschine laufen. Du kannst nie mit Sicherheit wissen, ob nicht doch noch irgendwo eine Lücke besteht und mußt daher davon ausgehen.
Aber davon ab scheinst Du ja in "guter" Gesellschaft zu sein, denn fehlende und/oder schwierig zu bedienende Zugriffskontrolle (Du hast ja schließlich Schwierigkeiten den Angreifer zu identifizieren!) ist auch eine Sicherheitslücke, die Netzwerktechniker sind also auch nicht besser als Du.
so short
Christoph Zurnieden
Moin,
Das ist weder logisch und schon mal gar nicht beweisbar. Lediglich Indizien weisen daraufhin, das Du mit etwas höherer Wahrscheinlichkeit der Angegriffene bist. Es spielt aber auch für das Problem rein gar keine Rolle.
Du gibst mir Rätsel auf. Warum sollte ich meine eigene SW sabotieren. Macht aus meiner Sicht keinen SInn.
Das darf nicht passieren, die Software ist somit fehlerhaft und zu reparieren.
Nein. Die SW ist OK, was ich nicht programmiert habe kann auch nicht funktionieren.
Zugriff auf Kunden- oder Zolldaten bestehen und bestanden zu keiner Zeit.
Kannst Du das beweisen?
Nein. Jedenfalls gibt es keinen Zugriff über das Admin Menü, welches hier zur Diskussion steht. Einen direkten Zugriff auf die DB kann ich weder ausschließen noch verhindern. Ist auch nicht mein Job als Programmierer.
Es ist immer sehr gefährlich lokale von externen Sicherheitslücken zu unterschieden. Auch ein "Honeypot" sollte tunlichst auf einer vom restlichem Netz getrennten Maschine laufen. Du kannst nie mit Sicherheit wissen, ob nicht doch noch irgendwo eine Lücke besteht und mußt daher davon ausgehen.
Das wiederum ist auch nicht Sache des Programmieres. Right?
Aber davon ab scheinst Du ja in "guter" Gesellschaft zu sein, denn fehlende und/oder schwierig zu bedienende Zugriffskontrolle (Du hast ja schließlich Schwierigkeiten den Angreifer zu identifizieren!) ist auch eine Sicherheitslücke, die Netzwerktechniker sind also auch nicht besser als Du.
Als Resume kann ich nur vermuten, das Du den Thread nur überflogen hast. Es gibt mehr als genug Details, welche deine bisherigen Aussagen mehr als hinfällig machen.
So long
Mike©
Hallo!
Als Resume kann ich nur vermuten, das Du den Thread nur überflogen hast. Es gibt mehr als genug Details, welche deine bisherigen Aussagen mehr als hinfällig machen.
Nein, nicht wirklich.
Grüße
Andreas
Moin,
Nein, nicht wirklich.
Na dann :-) Die neueste Erkenntniss ist, das der "Angreifer" über das interne VPN "CISO" kommt.
regds
Mike©
Hi,
Das ist weder logisch und schon mal gar nicht beweisbar. Lediglich Indizien weisen daraufhin, das Du mit etwas höherer Wahrscheinlichkeit der Angegriffene bist. Es spielt aber auch für das Problem rein gar keine Rolle.
Du gibst mir Rätsel auf.
Ja, das habe ich fast schon befürchtet *sigh*
Warum sollte ich meine eigene SW sabotieren. Macht aus meiner Sicht keinen SInn.
Aus meiner Sicht gäbe es da schon den einen oder anderen Grund. Zudem meinte ich das auch nicht, denn schon die Frage, ob Du Angreifer oder Angegriffener bist kann nicht mit Sicherheit geklärt werden. Zumindest nicht ohne größeren Aufwand. Wie ich aber schon sagte: es spielt keine Rolle.
Das darf nicht passieren, die Software ist somit fehlerhaft und zu reparieren.
Nein. Die SW ist OK, was ich nicht programmiert habe kann auch nicht funktionieren.
Du sagtest, das die Eingriffe den Prozess _verwirren_. Das darf einfach nicht sein, da hast Du nicht sauber genug programmiert. Ein gutes Programm darf sich von solchen Lapalien nicht irritieren lassen.
Zugriff auf Kunden- oder Zolldaten bestehen und bestanden zu keiner Zeit.
Kannst Du das beweisen?
Nein.
Das war eine rhetorische Frage, die Antwort kennen viele.
Jedenfalls gibt es keinen Zugriff über das Admin Menü, welches hier zur Diskussion steht. Einen direkten Zugriff auf die DB kann ich weder ausschließen noch verhindern. Ist auch nicht mein Job als Programmierer.
Eine recht merkwürdige Berufsauffassung. Dein Programm steht nicht alleine da sondern muß mit einer Vielzahl anderer Programme auskommen unter anderem auch -- ich habe es nicht mehr ganz erinnerlich: war doch PHP, oder? -- mit dem Interpreter Deines Scripts.
Du kannst nie mit Sicherheit wissen, ob nicht doch noch irgendwo eine Lücke besteht und mußt daher davon ausgehen.
Das wiederum ist auch nicht Sache des Programmieres. Right?
Oh doch, genau das ist sie.
Als Resume kann ich nur vermuten, das Du den Thread nur überflogen hast. Es gibt mehr als genug Details, welche deine bisherigen Aussagen mehr als hinfällig machen.
Bisher habe ich nur Unterstützung dafür gefunden.
Dein Verhalten ist aber auch recht typisch für einen Arbeitnehmer in einem Riesenbetrieb. Dieser Betrieb ist einfach zu groß jeden zu kennen, ja sogar zu groß ihn überhaupt nur zu überblicken: ein völlig anonymer Moloch. Da baut man sich gerne mal ein eigenes Nest, da interessiert einen nicht mehr was außerhalb vorgeht. Da wird dann "Ist nicht mein Ressort/Aufgabe/Pflicht/habensieauchdasFormular38bausgefüllt" leicht zu einem stehendem Ausdruck. Wenn man dann einmal Mist gebaut hat ist die Größe des Betriebes und vor allem seine Anonymität wieder sehr nützlich einen zwar Unbekannten aber auf jeden Fall Schuldigen zu finden.
Du hantierst mit Millionenbeträgen als ob es nur Deine Mich-Hund-Hobby-Seite wäre. Du läßt die Haustür offenstehen, irgendein Witzbold wischt Dir dauernd die Tafel mit der Einkaufsliste aus deshalb weißt Du nicht mehr was Du einkaufen mußt, drehst Dich wild im Kreise anstatt nochmal in den Kühlschrank zu schauen, was fehlt und fragst dann die Nachbarschaft wie man besagten Witzbold fangen kann. Hinweisen das dafür doch die Polizei zuständig wäre ignorierst Du, wahrscheinlich deshalb, weil sie die ganz unangenehme Frage stellen könnten, warum denn die Haustür sperrangelweit offensteht.
Wenn Du dieses Gleichnis -- was zwar keines ist, aber egal -- nicht verstanden hast, dann nochmal im Klartext:
Klingel deinen Vorgesetzten an und laß es den normalen Weg gehen, statt selber mit dem Nudelholz Wache zu stehen.
Du hast Glück, das ich kein gelbes Paket im Depot habe und nur sehr selten Kunde bin.
so short
Christoph Zurnieden
Moin,
Du sagtest, das die Eingriffe den Prozess _verwirren_. Das darf einfach nicht sein, da hast Du nicht sauber genug programmiert. Ein gutes Programm darf sich von solchen Lapalien nicht irritieren lassen.
OK, agreed.
Du kannst nie mit Sicherheit wissen, ob nicht doch noch irgendwo eine Lücke besteht und mußt daher davon ausgehen.
Das wiederum ist auch nicht Sache des Programmieres. Right?
Oh doch, genau das ist sie.
OK
Dein Verhalten ist aber auch recht typisch für einen Arbeitnehmer in einem Riesenbetrieb. Dieser Betrieb ist einfach zu groß jeden zu kennen, ja sogar zu groß ihn überhaupt nur zu überblicken: ein völlig anonymer Moloch. Da baut man sich gerne mal ein eigenes Nest, da interessiert einen nicht mehr was außerhalb vorgeht. Da wird dann "Ist nicht mein Ressort/Aufgabe/Pflicht/habensieauchdasFormular38bausgefüllt" leicht
Ganz und gar nicht. Ich bin eben nicht der Bürokrat, aber das vordert man von mir seit der Übernahme.
Du hantierst mit Millionenbeträgen als ob es nur Deine Mich-Hund-Hobby-Seite wäre. Du läßt die Haustür offenstehen, irgendein
Das Admin Tool ist für Leute gedacht, welches es auch brauchen, wie z.Bsp: HelpDesk. (Ja es ist mein Fehler, dass es zugänglich war)
Du hast Glück, das ich kein gelbes Paket im Depot habe und nur sehr selten Kunde bin.
Dto.
regds
Mike©
Hi,
Ganz und gar nicht. Ich bin eben nicht der Bürokrat, aber das vordert man von mir seit der Übernahme.
Achso, Übernahme, ja, dabei ist der Weg am Anfang ein anderer. Erklärt aber natürlich auch, warum Du den üblichen Weg nicht beschreiten möchtest.
Du hantierst mit Millionenbeträgen als ob es nur Deine Mich-Hund-Hobby-Seite wäre. Du läßt die Haustür offenstehen, irgendein
Das Admin Tool ist für Leute gedacht, welches es auch brauchen, wie z.Bsp: HelpDesk. (Ja es ist mein Fehler, dass es zugänglich war)
Ja, eine Begründung gibt's immer >;->
Du hast Glück, das ich kein gelbes Paket im Depot habe und nur sehr selten Kunde bin.
Dto.
"Dto"? Sind wir hier beim Glücksrad? Mußt Du die Vokale etwa kaufen? ;-)
Es war aber auch mehr ein Hinweis darauf, das ein Shareholder nicht unbedingt rational handelt, den interessiert nur der kurzfristige Kursgewinn und wenn er auch nur vermutet das den irgendetwas negativ beeinflussen könnte -- und Gerüchte sind geradezu prädestiniert für derartige Einflußnahme -- dann ist das Geschrei sofort groß und dann rate mal, wessen Kopf zuerst rollt.
so short
Christoph Zurnieden
Moin,
Es war aber auch mehr ein Hinweis darauf, das ein Shareholder nicht unbedingt rational handelt, den interessiert nur der kurzfristige Kursgewinn und wenn er auch nur vermutet das den irgendetwas negativ beeinflussen könnte -- und Gerüchte sind geradezu prädestiniert für derartige Einflußnahme -- dann ist das Geschrei sofort groß und dann rate mal, wessen Kopf zuerst rollt.
Seien wir ehrlich; Es ist sehr unwahrscheinlich das ein betroffender Shareholder != Kleinaktionär die Situation anhand dieses Threads auch nur annähernd hinterreißt. Ohne das auch nur im Ansatz begründen zu können oder auch zu wollen, meine Kopf wird es definitiv nicht sein.
Und wenn ich diesen "Angreifer" zu fassen bekomme, werde ich .........*GRMPF*....OK, ihn mir zur Brust nehmen und die Füße ruhig halten.
regds
Mike©
Hi,
Seien wir ehrlich; Es ist sehr unwahrscheinlich das ein betroffender Shareholder != Kleinaktionär die Situation anhand dieses Threads auch nur annähernd hinterreißt.
Die betroffene Firma ist eindeutig identifizierbar falls Du nicht gelogen hast.
Ohne das auch nur im Ansatz begründen zu können oder auch zu wollen, meine Kopf wird es definitiv nicht sein.
Ja, mein Frage, das Du _raten_ kannst, wessen Kopf rollt war durchaus wörtlich zu nehmen, so sicher ist das in so einem Betrieb nämlich nicht mehr. (Auch wenn's dann meistens doch wieder nur die Kleinen trifft)
Und wenn ich diesen "Angreifer" zu fassen bekomme, werde ich .........*GRMPF*....OK, ihn mir zur Brust nehmen und die Füße ruhig halten.
Du könntest das natürlich auch mit sehr viel Effet an die große Glocke hängen, denn Du kannst ja einen Schuldigen benennen. Dabei darf man aber wirklich nicht auf's Maul gefallen sein und muß auf jeden Fall auch richtig laut werden können. Ansonsten könnte doch noch jemand auf die Idee kommen und nachfragen ;-)
Aber Du solltest auch noch den Grund erfahren, warum ich mich überhaupt so derart exaltierte. Ich betreibe es beruflich, die Datensicherheit. Zwar noch nicht allzulange, ein paar Jahre nur, aber recht erfolgreich und bei vielen verschiedenen Firmen. Da kann man naturgemäß allerhand erleben, da kräuseln sich einem die Fußnägel, ich kann Dir sagen! ;-)
Schlimm ist dazu, das dort Daten riskiert werden, die essentiell sind, und zwar wörtlich: sind die weg oder gar korrumpiert ist die Existenz akut bedroht oder sogar unweigerlich hinüber. Aufgrund schierer Inkompetenz -- woher sollen sie's auch wissen? -- finden sich dann in einem 10 Mann Betrieb Software für einige 10.000 EUR und einige Sicherheitslöcher, die noch größer sind. Nicht nur, das die einzigen drei Rechnerplätze der Chef (keine Ahnung davon, rein zu Representationszwecken und vielleicht noch für Mail und Surfen), die Sekretärin (der eine Brief mal hin und wieder) und der Buchhalter (der macht den _ganzen_ Rest) innehaben -- denn die restliche sieben montieren Fenster o.ä. -- nein, der ganze Kram ist auch nicht abgesichert, denn das war ja bei der Installation der "Standardsoftware" nicht gefragt. Mit ein wenig Unglück sind sporadische Kenntnisse über Datensicherheit vorhanden, dann sieht's noch schlimmer aus. All das geschieht jedoch aus Unwissenheit und weil sie der Softwarevertreter über den Tisch gezogen hat, das regt mich schon lange nicht mehr auf, da stumpft man mit der Zeit ab. Wenn es jedoch in voller Kenntnis geschieht, geh' ich immer noch auf die Palme.
Und zwar deutlich schneller, als man es meiner Statur zutrauen würde ;-)
Also: nix für ungut, danke.
so short
Christoph Zurnieden
Moin Christoph,
Die betroffene Firma ist eindeutig identifizierbar falls Du nicht gelogen hast.
*GRMPF* Was soll jetzt das schon wieder?
Ja, mein Frage, das Du _raten_ kannst, wessen Kopf rollt war durchaus wörtlich zu nehmen, so sicher ist das in so einem Betrieb nämlich nicht mehr. (Auch wenn's dann meistens doch wieder nur die Kleinen trifft)
Es wird gar kein Kopf rollen.
Du könntest das natürlich auch mit sehr viel Effet an die große Glocke hängen, denn Du kannst ja einen Schuldigen benennen. Dabei darf man aber wirklich nicht auf's Maul gefallen sein und muß auf jeden Fall auch richtig laut werden können. Ansonsten könnte doch noch jemand auf die Idee kommen und nachfragen ;-)
Ich werde die Sache nicht an die Glocke hängen. Meine anfängliche Wut ist etwas verraucht. Ich habe diese Attacke persönlich genommen.
Nein, der Grund dafür ist nicht das man mich auch zur Verantwortung ziehen könnte, denn das würde nicht passieren. (Diese Aussage bedarf keiner weiteren Diskussion)
Aber Du solltest auch noch den Grund erfahren, warum ich mich überhaupt so derart exaltierte. Ich betreibe es beruflich, die Datensicherheit. Zwar noch nicht allzulange, ein paar Jahre nur,
Ahhh, jetzt ja.
Also: nix für ungut, danke.
Habe ich kein Problem mit ;-) Du hast durchaus interessante Aspekte aufgetan.
regds
Mike©
Hallo Mike© ,
BTW: Die erwähnte Applikation ist verantwortlich für die in Rechnugstellung von 20.000,00 Euro im Monat, also kein Pappenstiel.
*kopfschüttel*
Wenigstens hast du jetzt gelernt, dass es böse Menschen gibt, und dass die auch nicht zögern es zu zeigen. Wo Löcher sind, da sind auch Ratten.
Grüße aus Barsinghausen,
Fabian
hallo mike,
eigentlich wollt ich erst garnet anworten.. aber irgendwie brennt es mir auf den fingern.
wenn du selbst lücken deines systems kennst und sie nicht schließt bist du selbst schuld und auch voll und ganz selbst schuldig. denn du kannst nicht davon ausgehen das ein "otto-normalo" den unterschied zwischen wichtig/unwichtig einschätzen wird, unabhängig davon ob er den unterschied kennt. schuld bist damit nur du und nicht ein anderer der ja freien zugriff hat und somit nichts unrechtes getan hat -> er hat nirgends unerlaubt zugegriff.
du solltest lieber froh sein, die lücke endlich als "lücke" erkannt zu haben um sowas hoffentlich in zukunft zu vermeiden.
*kopfschüttel* Chris
Hallo.
eigentlich wollt ich erst garnet anworten.. aber irgendwie brennt es mir auf den fingern.
Das ließe sich vermutlich besser mit Wasser und Seife beheben.
*kopfschüttel*
Ja, aber über diese Phase sind die anderen Beteiligten bereits lange hinaus. Schuldzuweisungen und -eingeständnisse tragen zu keiner Lösung bei.
Und beim nächsten Mal: Hände waschen und Finger von der Tastatur. Die wird sonst nur veräzt.
MfG, at
Moin at,
Ja, aber über diese Phase sind die anderen Beteiligten bereits lange hinaus. Schuldzuweisungen und -eingeständnisse tragen zu keiner Lösung bei.
Danke, ich hätte es nicht besser formulieren könne, oder gar wollen.
Wenn ich den "Angreifer" namentlich kenne, werde ich auch die Absicht wissen. Jugenlicher Leichtsinn, oder böswille Absicht.
Bis dahin ist das Thema wahrscheinlich soweit erstmal "ausgelutscht".
regds
Mike©
