Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Patscherkofel: Gondelbahn mit…

Ich bin immer wieder verwundert.

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Ich bin immer wieder verwundert.

    Autor: luarix 19.04.18 - 12:39

    Gibt es inzwischen tatsächlich derart viele Stümper unter den Entwicklern?

  2. Re: Ich bin immer wieder verwundert.

    Autor: krakos 19.04.18 - 12:44

    luarix schrieb:
    --------------------------------------------------------------------------------
    > Gibt es inzwischen tatsächlich derart viele Stümper unter den Entwicklern?

    Nicht immer sinds die Entwickler sondern die Auftraggeber.
    Es ist das gleiche übel wie beim testen: Kostet Geld, bringt mehr Arbeit, wird nicht verstanden. Also weg damit.

  3. Re: Ich bin immer wieder verwundert.

    Autor: DooMRunneR 19.04.18 - 12:54

    Alle wollen sie Webservices für ihre Steuerungen und dann baut man Scada-Zeug mit Node.JS Müll und holt sein zeug via NPM rein, das ist jetzt nicht auf die Firma im Artikel bezogen, aber ich kanns mir gut vorstellen, dass es da auch nicht anders lauft.

    Jedenfalls suchen Steuerungshersteller überall JavaScript Entwickler....

    Es ist mir ein Rätsel warum alle Hersteller auf diesen Zug springen und warum man den betreibern verkauft "sie müssten unbedingt ihr zeug auch vom handy oder tablet aus steuern können". Damit hat irgendeine Firma mal angefangen und alle meinen nun, sie müssten das ebenfalls anbieten. Ich kann mich noch erinnern wie so zeug nur auf VxWorks oder QNX Boxen lief, bei denen die ganzen Interfaces noch ohne Webserver auskamen.



    1 mal bearbeitet, zuletzt am 19.04.18 12:59 durch DooMRunneR.

  4. Re: Ich bin immer wieder verwundert.

    Autor: Orwell84 19.04.18 - 13:00

    Oh, da hat jemand aber Ahnung ...

    Als ob es an der Technologie liegt, ob ein Webservice sicher oder nicht ist. Wie viele Webservices auf Java-basis habe ich leider schon sehen müssen, die vor Lücken nur so strotzten.

    Mal ganz davon abgesehen, dass fehlendes TLS mit JavaScript mal gar nichts zu tun hat.

  5. Re: Ich bin immer wieder verwundert.

    Autor: DooMRunneR 19.04.18 - 13:16

    Wo hab ich gesagt, dass es an der Technologie liegt? Node.js user der sich nun beleidigt fühlt? Das war ein Worst Case beispiel wie ich es schon gesehen habe. Ich habe explizit erwähnt, dass ich nicht weiß, wie das in diesem Fall gemacht wurde.
    Es geht ums Prinzip, wo man sich echt fragen muss, warum so zeug übers Web Bedienbar sein muss.

  6. Re: Ich bin immer wieder verwundert.

    Autor: tommihommi1 19.04.18 - 13:30

    wenn kein https und tls verwendet wird, http header injections und XSS gehen, dann liegt es definitiv an den Entwicklern, nicht den Auftraggebern.

  7. Re: Ich bin immer wieder verwundert.

    Autor: Herr Braumeister 19.04.18 - 13:43

    https://www.commitstrip.com/en/2018/03/22/basic-functionality/?

  8. Re: Ich bin immer wieder verwundert.

    Autor: emuuu 19.04.18 - 13:51

    So wie ich den Artikel lese ist nicht mal eine Authentication geschweige denn Authorization implementiert.

    Sorry aber wenn ich der dümmste, unterbezahlteste und budgeloseste Entwickler der Welt wäre, selbst dann würde ich doch noch denken "Vielleicht sollten die Steuerung der Gondelanlage nur authorisierte Benutzer benutzen können"?!?!

    Und mit der Kostenfrage können die mir auch nicht kommen. Nehmen wir IdentityServer4: Ein einzelner Entwickler braucht ca. einen Tag um eine grundlegende Funktionalität herzustellen. Nebenbei besteht IdSvr noch auf https. gg no r3

  9. VPN und fertig

    Autor: Mingfu 19.04.18 - 13:59

    DooMRunneR schrieb:
    --------------------------------------------------------------------------------
    > Alle wollen sie Webservices für ihre Steuerungen

    Das ist auch vollkommen in Ordnung. Das sollte schließlich die kompatibelste Art von Interface sein, die auch in Zukunft funktioniert, ohne dass man dann dafür irgendwelche Uralt-Systeme stehen lassen muss, weil die Oberfläche nirgends sonst mehr läuft.

    Nur würde ich solche Dinge ausschließlich in einem VPN laufen lassen. Damit kann man die Sicherheitsproblematik nämlich ganz gut außen vorlassen und muss diesen Steuerungs-Webservice nicht mühsam gegen alle möglichen und umöglichen Angreifer absichern, was ziemlich schnell in die Hose gehen kann.

  10. Re: VPN und fertig

    Autor: Ingwar 19.04.18 - 14:17

    Mingfu schrieb:
    --------------------------------------------------------------------------------
    > Nur würde ich solche Dinge ausschließlich in einem VPN laufen lassen. Damit
    > kann man die Sicherheitsproblematik nämlich ganz gut außen vorlassen und
    > muss diesen Steuerungs-Webservice nicht mühsam gegen alle möglichen und
    > umöglichen Angreifer absichern, was ziemlich schnell in die Hose gehen
    > kann.

    Nein kann man nicht. Was passiert denn wenn der VPN Tunnel falsch konfiguriert wird, weil Jemand sich nicht auskennt, oder aber was umstellt, oder ein Firmware Update schief geht? :)
    Aus der Haftung zu kommen und zu sagen "Wir haben normalerweise ein VPN davor, was aber zum Zeitpunkt X nicht richtig konfiguriert war" ist nunmal nicht seriös.
    Wie oft wurden denn schon Daten auf diese Weise abgegriffen? Konkret weil z.B. Webserver falsch konfiguriert wurden, oder Buckets von S3 im Internet erreichbar waren? ;)

  11. Re: VPN und fertig

    Autor: Mingfu 19.04.18 - 14:38

    Ingwar schrieb:
    --------------------------------------------------------------------------------
    > Nein kann man nicht. Was passiert denn wenn der VPN Tunnel falsch
    > konfiguriert wird, weil Jemand sich nicht auskennt, oder aber was umstellt,
    > oder ein Firmware Update schief geht? :)

    Wenn ein Computersystem falsch konfiguriert wird, "weil jemand sich nicht auskennt" hat man so oder so ein Problem. Da nützt dann auch ein sonst wie sicherer Webservice nichts, wenn das System deswegen kompromittiert ist.

    > Aus der Haftung zu kommen und zu sagen "Wir haben normalerweise ein VPN
    > davor, was aber zum Zeitpunkt X nicht richtig konfiguriert war" ist nunmal
    > nicht seriös.

    Doch, das ist durchaus seriös. Zum einen ist es so, dass ohne das VPN der Service dann gar nicht erreichbar sein sollte - Fehlkonfigurationen würden also im Regelfall dafür sorgen, dass gar nichts geht. Zum anderen ist es deutlich einfacher ein VPN sicher zu konfigurieren als einen kompletten Webserver inklusive der darauf laufenden Anwendungen gegen alle möglichen Angriffe abzusichern. Wer also schon beim VPN versagt, der hat ohnehin ganz andere Probleme...

    > Wie oft wurden denn schon Daten auf diese Weise abgegriffen? Konkret weil
    > z.B. Webserver falsch konfiguriert wurden, oder Buckets von S3 im Internet
    > erreichbar waren? ;)

    Falsche Konfigurationen sind immer fatal.

  12. Re: Ich bin immer wieder verwundert.

    Autor: burzum 19.04.18 - 14:42

    DooMRunneR schrieb:
    --------------------------------------------------------------------------------
    > Alle wollen sie Webservices für ihre Steuerungen und dann baut man
    > Scada-Zeug mit Node.JS Müll und holt sein zeug via NPM rein, das ist jetzt
    > nicht auf die Firma im Artikel bezogen, aber ich kanns mir gut vorstellen,
    > dass es da auch nicht anders lauft.
    >
    > Jedenfalls suchen Steuerungshersteller überall JavaScript Entwickler....

    Nur weil die Node.js verwenden heißt noch lange nicht das das Zeug online sein muß oder gar über HTTP erreichbar. Node.js alleine ermöglicht ja Offline-Applikationen.

    Und Node.js ist einfach und schnell aufzusetzen und zu nutzen. Auch wenn ich JS eher hasse als liebe finde ich ist es keine schlechte Wahl als Technologie hier.

    Außerdem ist es nicht der Job des Entwicklers die Server und anderes Netzwerkzeug aufzusetzen. Ein Kumpel der Admin ist kümmert sich genau darum: Deployments und Sicherheit. Die Entwickler liefern nur die Software und die Spec was sie für eine Umgebung braucht.

    emuuu schrieb:
    --------------------------------------------------------------------------------
    > So wie ich den Artikel lese ist nicht mal eine Authentication geschweige
    > denn Authorization implementiert.

    War wohl nicht gewünscht oder spezifiziert? :)

    > Sorry aber wenn ich der dümmste, unterbezahlteste und budgeloseste
    > Entwickler der Welt wäre, selbst dann würde ich doch noch denken
    > "Vielleicht sollten die Steuerung der Gondelanlage nur authorisierte
    > Benutzer benutzen können"?!?!

    OK, du implementierst das Zeug also, verbrauchst dafür wegen mir auch nur 1h und am Ende kriegst du von oben eine vor den Latz geknallt warum du ein nicht angefragtes Feature implementiert hast?

    Worst Case wäre ja das dem Entwickler das aufgefallen ist, er es gemeldet hat, der Teamleiter es nach oben gereicht hat und der Verkäufer es dem Kunden dargelegt hat, der es aber abgelehnt hat? Es gibt halt Unternehmen wo Entwickler nur produzieren aber nicht mitdenken sollen. Und ehrlich, wenn die Bezahlung stimmt wäre es mir scheißegal. :) Zur eigenen Sicherheit die Bedenken schriftlich einreichen und dann der Dinge seinen Lauf lassen.

    Common Sense und Realität gehen leider nicht immer konform. :)

    > Und mit der Kostenfrage können die mir auch nicht kommen. Nehmen wir
    > IdentityServer4: Ein einzelner Entwickler braucht ca. einen Tag um eine
    > grundlegende Funktionalität herzustellen. Nebenbei besteht IdSvr noch auf
    > https. gg no r3

    Das ist immerhin ein Tag, bei nur 120¤ Euro sind das schon mal 960¤. Das dürfte jetzt den Kohl nicht fett machen bei einer Gondelanlage. ;) Wenn du aber einen Erbsenzähler hast und du das einfach so implementiert hast dürfte es Ärger geben.

    --------------------------------------------------------------------------------

    Ich bin auch der Meinung das die Lücke hier mehr als peinlich ist, denke aber nicht das die Schuld bei den Entwicklern oder der gewählten Technologie zu suchen ist.

    Ash nazg durbatulûk, ash nazg gimbatul, ash nazg thrakatulûk agh burzum-ishi krimpatul.



    2 mal bearbeitet, zuletzt am 19.04.18 14:44 durch burzum.

  13. Re: Ich bin immer wieder verwundert.

    Autor: Anonymer Nutzer 19.04.18 - 15:02

    > Das ist immerhin ein Tag, bei nur 120¤ Euro sind das schon mal 960¤. Das
    > dürfte jetzt den Kohl nicht fett machen bei einer Gondelanlage. ;) Wenn du
    > aber einen Erbsenzähler hast und du das einfach so implementiert hast
    > dürfte es Ärger geben.
    man muss hier dazu sagen, dass dies ein öffentliches projekt ist und damit die übliche freunderlwirtschaft und ebenso die übliche inkompetenz zuschlägt.

  14. Re: Ich bin immer wieder verwundert.

    Autor: Trockenobst 19.04.18 - 15:33

    luarix schrieb:
    --------------------------------------------------------------------------------
    > Gibt es inzwischen tatsächlich derart viele Stümper unter den Entwicklern?

    "Also, damit das wirklich sicher ist, brauchen sie ein, zwei Inder, 24/7h Support, die brauchen Passwörter. Die Kunden draußen bekommen auch Pass...."

    "Wieso brauchen wir das? Das kostet doch sicherlich 1.000¤nde im Monat!"

    "Sie machen mehrere 100.000¤ im Jahr...."

    "Wer will denn ein Karussel von der Ferne stoppen? Diese Art von Schaden machen?"

    "Vielleicht ein Spinner? Wollen sie das Risiko tragen?"

    "Welches Risiko? Sie denken sich hier Sachen aus!"

    "Eine Malware hat ein Krankenhaus in England für Wochen außer gefecht gesetzt..."

    "Ja, die hatten sicherlich Streit mit irgendem. Wer macht denn sowas zum Spass"

    "Der Untergrund testet Dinge. Die finden einen offenen Port und..."

    "Ja, wer bezahlt die denn dafür? Das ist ja superkriminell!"

    "Soll ich ihnen mehr Beispiele zeigen?"

    "Alles Sonder- und Einzelfälle die sie mir hier auftischen!"

    "Ich schreibe das so in den Bericht, dass sie dafür sorgen..."

    "Ich sorge mich um gar nichts. Und sie schreiben das auch nicht in den Bericht, sonst suche ich mir eine andere Firma die nicht solche abstrusen Sachen behauptet!!!"

  15. Re: Ich bin immer wieder verwundert.

    Autor: DooMRunneR 19.04.18 - 16:12

    burzum schrieb:
    --------------------------------------------------------------------------------
    > Nur weil die Node.js verwenden heißt noch lange nicht das das Zeug online
    > sein muß oder gar über HTTP erreichbar. Node.js alleine ermöglicht ja
    > Offline-Applikationen.
    >
    > Und Node.js ist einfach und schnell aufzusetzen und zu nutzen. Auch wenn
    > ich JS eher hasse als liebe finde ich ist es keine schlechte Wahl als
    > Technologie hier.

    Ein System welches keine Verifizierung/Signing für die Pakete aus dem NPM-pool bereitstellt für die Entwicklung von Steuerungssystemen zu verwenden ist meiner Ansicht nach fahrlässig, ganz egal wie schön toll und einfach das doch alles ist.

    Node.JS in Verbindung mit NPM ist ein Security-Nightmare von astronomischen Ausmaß.

    https://hackernoon.com/im-harvesting-credit-card-numbers-and-passwords-from-your-site-here-s-how-9a8cb347c5b5

  16. Re: Ich bin immer wieder verwundert.

    Autor: capricious 19.04.18 - 16:47

    Ich denke mal eher, dass es nicht vorgesehen ist die ganze Anlage in ein öffentliches Netz zu hängen.
    Das Dashboard sieht ja eher aus, als würde es eines Betriebskonsole darstellen.
    Sprich auf irgendwelchen Touchscreens direkt für den Bahnbetrieb angezeigt.

    Da würde ich mir auch keine Gedanken über gesonderte Authentifizierung machen. Das sollte durch das Betriebssystem entsprechend abgedeckt sein.

    Wichtig ist eben, dass die Netzwerksicherheit und physische Zugangssicherheit gewährleistet ist.

    Wenn man nun aus technischer Unkenntnis, Schlamperei oder Kostengründen auf ein entsprechendes Netz verzichtet, dann hat hier wohl die technische Abnahme der Anlage versagt.

    Kurzum es ist falsch, dass man das irgendwelchen Softwareentwicklern oder bestenfalls dem Hersteller anlastet. Das Problem ist, dass das nicht kontrolliert wird und die Bahn in Betrieb gehen darf.

  17. Re: Ich bin immer wieder verwundert.

    Autor: burzum 19.04.18 - 18:44

    DooMRunneR schrieb:
    --------------------------------------------------------------------------------
    > Ein System welches keine Verifizierung/Signing für die Pakete aus dem
    > NPM-pool bereitstellt für die Entwicklung von Steuerungssystemen zu
    > verwenden ist meiner Ansicht nach fahrlässig, ganz egal wie schön toll und
    > einfach das doch alles ist.

    Das sollte dem Entwickler bzw. Entwicklungsleiter bekannt sein und entsprechend Vorsorgen. Wir spiegeln alle Packages die wir nutzen in einem eigenen Repository, schon alleine für den Fall das Packages verschwinden.

    https://help.github.com/articles/about-security-alerts-for-vulnerable-dependencies/

    Ist auch nett, schon klar darinnen nicht alles landet, es hilft aber da es den Kram automatisiert und man eine Email bekommt.

    Dagegen das ein Package böswillig eingeschleusten Code hat ist man nur dann geschützt wenn man das Zeug komplett selber reviewed. Viel Spaß dabei. :) Aber Grundsätzlich hast du mit dem Signing natürlich recht.

    > Node.JS in Verbindung mit NPM ist ein Security-Nightmare von astronomischen
    > Ausmaß.

    https://github.com/RedpointGames/pkgsign

    Interessenhalber, welche Packagemanager in anderen Sprachen liefern denn signierte Packages aus?

    composer hättes auch nötig. :( https://github.com/composer/composer/issues/4022

    Ash nazg durbatulûk, ash nazg gimbatul, ash nazg thrakatulûk agh burzum-ishi krimpatul.

  18. Re: Ich bin immer wieder verwundert.

    Autor: DooMRunneR 20.04.18 - 10:46

    burzum schrieb:
    --------------------------------------------------------------------------------
    > DooMRunneR schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Ein System welches keine Verifizierung/Signing für die Pakete aus dem
    > > NPM-pool bereitstellt für die Entwicklung von Steuerungssystemen zu
    > > verwenden ist meiner Ansicht nach fahrlässig, ganz egal wie schön toll
    > und
    > > einfach das doch alles ist.
    >
    > Das sollte dem Entwickler bzw. Entwicklungsleiter bekannt sein und
    > entsprechend Vorsorgen. Wir spiegeln alle Packages die wir nutzen in einem
    > eigenen Repository, schon alleine für den Fall das Packages verschwinden.
    >
    > help.github.com
    >
    > Ist auch nett, schon klar darinnen nicht alles landet, es hilft aber da es
    > den Kram automatisiert und man eine Email bekommt.
    >
    > Dagegen das ein Package böswillig eingeschleusten Code hat ist man nur dann
    > geschützt wenn man das Zeug komplett selber reviewed. Viel Spaß dabei. :)
    > Aber Grundsätzlich hast du mit dem Signing natürlich recht.
    >
    > > Node.JS in Verbindung mit NPM ist ein Security-Nightmare von
    > astronomischen
    > > Ausmaß.
    >
    > github.com
    >
    > Interessenhalber, welche Packagemanager in anderen Sprachen liefern denn
    > signierte Packages aus?
    >
    > composer hättes auch nötig. :( github.com

    PKGSIGN gibts seit 3 Monaten... toll...

    Du hast dir deine Frage bezüglich den Packetmanagern schon selbst beantwortet, denn bis auf billiges hash checking gibt es eine brauchbare PKI auch nicht bei pip oder cpan, und nun sind wir wieder bei dem punkt ganz vorne, ich kann mich noch an Zeiten erinnern wo so zeug mit VXWorks und C++ gemacht wurde, aber dazu ist man sich ja heutzutage zu bequem, lieber ordentlich zeug aus Drittquellen laden.

    Mir ist es ja komplett wurst mit was DU DEIN zeug machst, aber bei Anlagensteuerungen hört sich der Spaß dann schon auf, und dann schreit wieder die Industrie rum....



    1 mal bearbeitet, zuletzt am 20.04.18 10:47 durch DooMRunneR.

  19. Re: Ich bin immer wieder verwundert.

    Autor: Orwell84 20.04.18 - 14:53

    "NodeJS Müll" ist schon eine ziemlich eindeutige Aussage und ziemlich unmissverständlich, ansonsten hättest du was von "Web Service Müll" geschrieben und dich nicht direkt auf eine spezifische Technologie bezogen.

  20. Re: Ich bin immer wieder verwundert.

    Autor: berritorre 20.04.18 - 15:59

    Wir reden hier von einem fertigen System von Doppelmayr. Die dürften so ziemlich der Weltmarktführer in Sachen Gondeln sein.

    Es ist ja nicht so, dass da ein kleine Klitsche einen grossen Auftrag an Land gezogen hat. Sondern ein etablierter Seilbahnhersteller hat ein Produkt verkauft, das so auf der Website beschrieben wird und als "sicher" beworben wird.

    Wie da solche Fehler auftauchen können ist kaum erklärbar. Das gleiche System soll ja auch bei anderen Bahnen verwendet werden. Also bei solchen Produkten erwarte ich schon, dass zumindest die basis passt. Lücken und Fehler kann es immer geben, aber das hier ist ja ein ganzes offenes Scheunentor.

    Die grösste Frechheit ist allerdings die Aussage des Pressesprechers. Da überlegt man sich dann doch zweimal, ob man wirklich in eine Bahn von Doppelmayr steigen soll oder nicht.

  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Max Weishaupt GmbH, Schwendi bei Ulm
  2. WERTGARANTIE Group, Hannover
  3. SEITENBAU GmbH, Konstanz, Berlin, Köln
  4. Friedrich-Alexander-Universität Erlangen-Nürnberg, Erlangen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 4,99€
  2. (bei PCs, Monitoren, Equipment & Co. sparen)
  3. 99,90€ statt 124,90€
  4. 149,90€ statt 179,90€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Raumfahrt: Großbritannien will wieder in den Weltraum
Raumfahrt
Großbritannien will wieder in den Weltraum

Die Briten wollen eigene Raketen bauen und von Großbritannien aus starten. Ein Teil des Geldes dafür kommt auch von Investoren und staatlichen Investitionsfonds aus Deutschland.
Von Frank Wunderlich-Pfeiffer

  1. Raumfahrt Cubesats sollen unhackbar werden
  2. Landspace Chinesisches Raumfahrtunternehmen kündigt Raketenstart an
  3. Raumfahrt @Astro_Alex musiziert mit Kraftwerk

Stromversorgung: Das Märchen vom Blackout durch Elektroautos
Stromversorgung
Das Märchen vom Blackout durch Elektroautos

Die massenhafte Verbreitung von Elektroautos stellt das Stromnetz vor neue Herausforderungen. Doch verschiedenen Untersuchungen zufolge sind diese längst nicht so gravierend, wie von Kritikern befürchtet.
Ein Bericht von Friedhelm Greis

  1. Elektroautos Bundesrechnungshof hält Kaufprämie für unwirksam
  2. Ladekabel Startup Ubitricity gewinnt Klimaschutzpreis in New York
  3. TU Graz Der Roboter als E-Tankwart

Raumfahrt: Boeing und SpaceX kämpfen mit dem Regulierungschaos der Nasa
Raumfahrt
Boeing und SpaceX kämpfen mit dem Regulierungschaos der Nasa

Die neuen Raumschiffe von Boeing und SpaceX verspäten sich und werden wohl erst 2020 mit Crew fliegen. Die Aufsichtsbehörde der US-Regierung sieht einen Teil der Schuld beim Chaos im Nasa-Management.
Von Frank Wunderlich-Pfeiffer

  1. Parker Solar Probe Sonnen-Sonde der Nasa erfolgreich gestartet
  2. Parker Solar Probe Nasa verschiebt Start seiner Sonnen-Sonde
  3. Raumfahrt Die neuen Astronauten für SpaceX und Boeing

  1. Politische Werbung: Google veröffentlicht Datenbank aller Werbekunden
    Politische Werbung
    Google veröffentlicht Datenbank aller Werbekunden

    Die großen IT-Konzerne haben mehr Transparenz bei politischer Werbung versprochen. Nach Facebook zeigt nun auch Google die Herkunft der Anzeigen. Der beste Kunde ist nicht gerade ein Freund des Silicon Valleys.

  2. Bundesnetzagentur: Kaum noch Chancen für viertes Mobilfunknetz
    Bundesnetzagentur
    Kaum noch Chancen für viertes Mobilfunknetz

    National Roaming scheitert wohl an der Bundesnetzagentur. Diese hat schwerwiegende rechtliche Bedenken, weil es keine beträchtliche Marktmacht der Betreiber gebe.

  3. Contracts: Sniper Ghost Warrior 4 ohne offene Welt
    Contracts
    Sniper Ghost Warrior 4 ohne offene Welt

    Die Community und die Entwickler selbst waren mit der offenen Welt in Sniper Ghost Warrior 3 nicht ganz zufrieden, in der Fortsetzung Contracts wird nun alles kompakter. Spieler sind darin als Söldner mit dem Scharfschützengewehr in Sibirien unterwegs.


  1. 17:42

  2. 17:29

  3. 16:37

  4. 16:20

  5. 16:09

  6. 15:50

  7. 15:16

  8. 15:00