Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Verbraucherministerin: Unternehmen…

Eigene Erfahrungen ...

  1. Thema

Neues Thema Ansicht wechseln


  1. Eigene Erfahrungen ...

    Autor: Peter Maier 10.12.12 - 21:13

    Aus eigener Erfahrung weiß ich, dass Unternehmen - wenn sie auf Sicherheitslücken hingewiesen werden - überhaupt GAR nicht reagieren.

    Eine Dankesmail, in der auf das knappe Budget hingewiesen wird, ist noch das höchste der Gefühle.

    Ich habe es aufgegeben, Firmen über irgendetwas zu informieren.

    Vor einiger Zeit habe ich aus Jux und Dallerei verschiedene Crawler programmiert, die nach Sicherheitslücken suchen, und pro Sekunde ungefähr ein bis zwei Treffer erzielt, die wirklich gravierende Löcher aufzeigten. (Kleinigkeiten wie XSS habe ich ignoriert, da die sowieso auf den meisten Seiten vorhanden sind.)

    Bei meinen Recherchen ist mir folgendes aufgefallen:

    - Chinesische Webseiten sind mit gaaaaanz weitem Abstand die unsichersten. Dort gibt es auch so eine Art "immobilienscout24" mit vielen vielen Millionen eingetragenen Nutzern, und Vollzugriff auf die Datenbank.

    - Bei ca. 20% der deutschen Seiten gibt es eklatante Sicherheitslöcher. (Primitive Angriffe ausgenommen ... würde man die mit einrechnen, wäre es deutlich mehr.)

    - Seiten aus Japan waren die Sichersten, mit nur ca. 5% Anfälligkeit.

    - Wenn sich große Firmen, kleinere einverleiben bzw. diese Übernehmen, werden i.d.R. die IT-Systeme zusammen geschaltet. Das muss schnell gehen, und in der Regel kann man dann über die unsicheren Seiten des kleinen Unternehmens, auf die Datenbanken des (eigentlich für sich sicheren) großen Unternehmens zugreifen. So geschehen vor 2 Jahren, nachdem eBay eine kleine Firma aufgekauft hat, und indirekt bzw. unfreifwillig nahezu sämtliche internen Datenbanken über deren Website "veröffentlicht" hat. (eBay hat ein halbes Jahr gebraucht, um das Loch zu schließen, aber immerhin haben sie reagiert)

    - Wenn man XSS und "manipulierbare Preise in online-Shops" mit dazu rechnet, komme ich inkl. SQL-Injection, möglichem Defacing, Admin-Zugriff und den üblichen Verdächtigen auf ca. 80% angreifbare Seiten, weltweit verteilt.

    Also zusammenfassend kann man sagen: Es INTERESSIERT die Führungsetagen einen Dreck, ob die gesamte Kundendatenbank im Internet abrufbar ist, ob sich beliebiger Code auf die Homepage einbauen lässt, und so weiter.

    Ich habe mich bestimmt bei ca. 100 Firmen gemeldet, ca. 20 Mails sind zurück gekommen, passiert ist in KEINEM Fall etwas.

    Wie gesagt, ich habe es aufgegeben ... und "richtige" Kriminelle haben natürlich auch ihre selbstgebauten Crawler, die alles abgreifen, was sie zwischen die Finger bekommen.

    Zum Schluss noch eine Frage an die Leute, die das hier lesen: Wie sehen eure persönlichen Erfahrungen aus? Gab es jemals eine Firma, die wirklich schnell und vernünftig reagiert hat? :)

    PS: Noch als Anmerkung für diejenigen, die gleich wieder "Hackerparagraph" schreien ... ich habe meine Experimente damals in einem Land gemacht, in dem es so etwas nicht gibt. Also locker bleiben! :)

  2. Re: Eigene Erfahrungen ...

    Autor: MArc. 10.12.12 - 22:15

    Peter Maier schrieb:
    > PS: Noch als Anmerkung für diejenigen, die gleich wieder "Hackerparagraph"
    > schreien ... ich habe meine Experimente damals in einem Land gemacht, in
    > dem es so etwas nicht gibt. Also locker bleiben! :)

    Es reicht nicht aus, wenn lediglich der Zombie-Server/Proxy im anderen Land steht. :D

  3. Re: Eigene Erfahrungen ...

    Autor: Peter Maier 11.12.12 - 08:27

    MArc. schrieb:
    --------------------------------------------------------------------------------
    > Peter Maier schrieb:
    > > PS: Noch als Anmerkung für diejenigen, die gleich wieder
    > "Hackerparagraph"
    > > schreien ... ich habe meine Experimente damals in einem Land gemacht, in
    > > dem es so etwas nicht gibt. Also locker bleiben! :)
    >
    > Es reicht nicht aus, wenn lediglich der Zombie-Server/Proxy im anderen Land
    > steht. :D

    Ich bin kein Zombie, und ich bin beruflich die Hälfte des Jahres im Ausland. (Also physisch!) Sorry, wenn das so missverständlich rüberkam. :)

  4. Re: Eigene Erfahrungen ...

    Autor: Weltfrieden5000 11.12.12 - 09:04

    Sicherheit möchten alle gern, aber nur weil es sich gut auf den Versammlungen macht und man was zu erzählen hat. Ansonsten steht Geld diesem Wunsch im Wege...

    ...bisher ist da auch noch nie was passiert, warum jetzt Geld anfassen und es besser machen?

    So offensichtlich der Grundgedanke vieler Firmen.

    Aber wir warten ab, bis es knallt...dann kann man nahe jeden Preis diktieren :-)

  5. Re: Eigene Erfahrungen ...

    Autor: Anonymer Nutzer 11.12.12 - 12:23

    Peter Maier schrieb:
    --------------------------------------------------------------------------------
    > Wie gesagt, ich habe es aufgegeben ... und "richtige" Kriminelle haben
    > natürlich auch ihre selbstgebauten Crawler, die alles abgreifen, was sie
    > zwischen die Finger bekommen.
    >
    > Zum Schluss noch eine Frage an die Leute, die das hier lesen: Wie sehen
    > eure persönlichen Erfahrungen aus? Gab es jemals eine Firma, die wirklich
    > schnell und vernünftig reagiert hat? :)

    Same here - ich hab mir im ebay eine Cisco ASA fürs LAB geschossen... tja, sogar das VPN war noch funktionsfähig.

    Auf Hinweis an den Anbieter bekam ich nur die Antwort das man das Gerät im Kundenauftrag verkaufe und es die Käuferpflicht wäre, die Daten zu löschen...

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. DATA MODUL AG, München
  2. Dataport, verschiedene Standorte
  3. LOTTO Hessen GmbH, Wiesbaden
  4. Höchstleistungsrechenzentrum Universität Stuttgart HLRS, Stuttgart

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (aktuell u. a. Acer One 10 Tablet-PC für 279,00€, Asus Zenforce Handy für 279,00€, Deepcool...
  2. 799,00€ (Bestpreis!)
  3. 1.199,00€
  4. (u. a. Paperwhite 6 Zoll für 89,99€, Der neue Kindle mit integriertem Frontlicht für 59,99€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Atari Portfolio im Retrotest: Endlich können wir unterwegs arbeiten!
Atari Portfolio im Retrotest
Endlich können wir unterwegs arbeiten!

Ende der 1980er Jahre waren tragbare PCs nicht gerade handlich, der Portfolio von Atari war eine willkommene Ausnahme: Der erste Palmtop-Computer der Welt war klein, leicht und weitestgehend DOS-kompatibel - ideal für Geschäftsreisende aus dem Jahr 1989 und Nerds aus dem Jahr 2019.
Ein Test von Tobias Költzsch

  1. Retrokonsole Hauptverantwortlicher des Atari VCS schmeißt hin

Internetprovider: P(y)ures Chaos
Internetprovider
P(y)ures Chaos

95 Prozent der Kunden des Internetproviders Pyur bewerten die Leistung auf renommierten Bewertungsportalen mit der Schulnote 6. Ein Negativrekord in der Branche. Was steckt hinter der desaströsen Kunden(un)zufriedenheit bei der Marke von Tele Columbus? Ein Selbstversuch.
Ein Erfahrungsbericht von Tarik Ahmia

  1. Bundesnetzagentur Nur 13 Prozent bekommen im Festnetz die volle Datenrate

Mädchen und IT: Fehler im System
Mädchen und IT
Fehler im System

Bis zu einem gewissen Alter sind Jungen und Mädchen gleichermaßen an Technik interessiert. Wenn es dann aber um die Berufswahl geht, entscheiden sich immer noch viel mehr junge Männer als Frauen für die IT. Ein wichtiger Grund dafür ist in der Schule zu suchen.
Von Valerie Lux

  1. IT an Schulen Intelligenter Stift zeichnet Handschrift von Schülern auf
  2. 5G Milliardenlücke beim Digitalpakt Schule droht
  3. Medienkompetenz Was, Ihr Kind kann nicht programmieren?

  1. Mailinglisten: Yahoo Groups wird deutlich eingeschränkt
    Mailinglisten
    Yahoo Groups wird deutlich eingeschränkt

    Mit kurzer Vorwarnzeit wird der Service Yahoo Groups massiv eingeschränkt. Bald können keine neuen Dateien mehr hochgeladen werden, bestehende Daten werden größtenteils im Dezember gelöscht.

  2. Hyperloop: rLoop kauft Reste von Arrivo
    Hyperloop
    rLoop kauft Reste von Arrivo

    Im Dezember vergangenen Jahres hat das Hyperloop-Unternehmen Arrivo Insolvenz angemeldet. Das Startup rLoop hat das geistige Eigentum übernommen und will die Projekte weiterführen.

  3. Dapr: Microsoft legt Runtime für verteilte Anwendungen offen
    Dapr
    Microsoft legt Runtime für verteilte Anwendungen offen

    Mit der Open-Source-Runtime Dapr, der Distributed Application Runtime, will Microsoft das Entwickeln von Anwendungen mit Microservice-Architekturen vereinfachen.


  1. 15:29

  2. 14:36

  3. 13:58

  4. 12:57

  5. 12:35

  6. 12:03

  7. 11:50

  8. 11:35