> > > > Eine Milliarde Opfer vor drei Jahren: Yahoo gesteht den nächsten Hacker-Angriff

Eine Milliarde Opfer vor drei Jahren: Yahoo gesteht den nächsten Hacker-Angriff

DruckenE-Mail
Erstellt am: von

YahooWann genau Yahoo zum letzten Mal für positive Schlagzeilen gesorgt, dürften spontan vermutlich nur eingefleischte Fans des Unternehmens wissen. Daran wird sich mit hoher Wahrscheinlichkeit so schnell auch nichts ändern. Denn in der Nacht musste der einstige Internet-Gigant erneut einen Hack-Angriff vermelden. Angesichts dessen Umständen wirkt die im September mitgeteilte Attacke regelrecht harmlos. Dabei war die schon ein herber Schlag für das Vertrauen in das Unternehmen.

Denn nicht nur, dass vom letzten Angriff mehr als 500 Millionen Nutzerkonten betroffen waren, zwischen Angriff und Meldung seitens Yahoo vergingen mehr als eineinhalb Jahre. Zugriff sollen die Angreifer unter anderem auf Email-Adressen, Telefonnummern, Geburtsdaten und Passwort-Hashes gehabt haben. Vermutet wird von Yahoo bis heute, dass es sich dabei um eine von einem nicht genannten Staat unterstützte Aktion gehandelt habe.

Relevante Daten waren nicht verschlüsselt

Wer hinter der nun bekanntgegebenen Attacke steckt, scheint man noch nicht wissen. Dabei fand dieses bereits 2013 und somit vor etwa drei Jahren statt. Noch schlimmer als das sehr späte Mitteilen: Betroffen waren nach eigenen Angaben rund eine Milliarde Nutzerkonten. Fest steht laut Yahoo, dass der illegale Zugriff erneut auf Email-Adressen, Geburtsdaten, Telefonnummern und Passwort-Hashes stattfand, allerdings auch auf die von den Nutzern eingerichteten Sicherheitsfragen und -antworten. Letztere sollen zudem unverschlüsselt gespeichert gewesen sein.

Alle Betroffenen sollen informiert werden und müssen laut Yahoo ihr Passwort sowie die Sicherheitsfragen und -antworten ändern. Das gilt aber nicht nur für diejenigen, die einen sogenannten Yahoo-gebrandeten Dienst wie Yahoo Mail, Yahoo Finance oder Yahoo Answers nutzen. Denn auch für die nicht gebrandeten Angebote wie Flickr oder Tumblr konnte der Yahoo-Account verwendet werden.

Wie die noch unbekannten Täter Zugang zum System erhalten haben, ist laut Yahoo noch nicht geklärt. Was auch daran liegen kann, dass das Unternehmen der Attacke nicht einmal selbst auf die Spur gekommen ist. Stattdessen sei man im November von einer Strafverfolgungsbehörde kontaktiert worden. Diese hätte von Dritten Daten erhalten, die man dem Unternehmen zuordnen konnte. Dass der Angriff von 2014 mit dem nun eingestandenen zusammenhänge, glaubt Yahoo nicht.

Zugangs-Cookie konnte unbemerkt gefälscht werden

Zusätzlich räumt man nun ein, dass es in diesem und im vergangenen Jahr ebenfalls Attacken gegeben habe. Dabei sei es den Angreifern aber vermutlich nicht um einen Zugriff auf komplette Datenbanken gegangen. Denn es wurden ganz gezielt nur Konten einiger Nutzer als Ziel gewählt, ausgenutzt wurde dabei eine eklatante Sicherheitslücke. Denn Yahoo erlaubt das automatische Einloggen ohne Eingabe der Zugangsdaten, wenn ein entsprechender Cookie vorhanden ist. Der ist allerdings so ausgelegt, dass der benötigte Inhalt vorausberechnet und der Cookie somit gefälscht werden kann.

Dafür sei es zwar nötig, Wissen über Yahoo-eigene Software zu haben, auf genau solche sollen Angreifer vermutlich aber bereits vor einiger Zeit Zugriff gehabt haben.

Social Links

Ihre Bewertung

Ø Bewertungen: 5

Tags

Kommentare (28)

#19
customavatars/avatar202850_1.gif
Registriert seit: 06.02.2014
Im sonnigen Süden
Admiral
Beiträge: 10015
Zitat black-avenger;25153756
Weil das nicht vergleichbar ist, schon im Grundsatz nicht. Bei einem Hauseinbruch ist es meine eigene Schuld, keine gesicherten Fenster oder Sicherheits-Schließzylinder eingebaut zu haben.

Wieso wäre das auch dann deine "Schuld"?!
Jedenfalls moralisch bin ich nicht dafür verantwortlich wenn mir jemand Schaden zufügt (und rechtlich meistens auch nicht. Höchstens bei eher miesen Versicherungen.). Ob ich es leicht gemacht habe, oder nicht, ist nebensächlich...
Verantwortlich ist einzig der, der Schaden verursacht.

Was ich sagen will ist, so ziemlich jedes System ist leider irgendwo angreifbar. Mathematisch könnte man zwar was anderes theoretisch erreichen, aber in der Praxis so selten der Fall. Im Endefekt kann man darum nicht sagen dass der kleine Dienst Y sicherer wäre als der große Dienst X, weil der größere Dienst in aller Regel mehr "Anreiz" bietet und darum viel eher, auf verschiedenste Weise angegriffen wird...

@fdsonne
Also von Cloud Services o.ä. Abstand zu halten kann ich nicht wirklich stichhaltig nachvollziehen und das ist für die breite Masse auch unmöglich.
Mit _keinem_ einzigen, einzelnen meiner Accounts irgendwo könnte mir irgendwer wirklich zu seinem Gunsten nennenswert schaden. Nichtmal der Bank account oder paypal, weil erstere für Geldabhebungen noch zusätzlich gesichert sind (Tan, etc.) und PP ja die Funktion hat unberechtigten Zugriff zu melden (wobei mir PP natürlich leid tut wenn sie Geld verlieren. Ist mit meinen Accounts zum Glück noch nicht passiert).
Selbst mit dem Mail account könnte man höchstens Spam versenden, aber dieses Problem gab es schon sehr lange vor der Cloud. Ebenso (spear-)Phishing.

Was bleibt ist Analyse zwecks Werbung, aber kein Werbeanbieter wird irgendwo auf einen Banner o.ä. verzichten, nur weil sie zu wenig Informationen über den Nutzer haben. D.h. Werbung gibts sowieso und mir ist personalisierte eigentlich sogar lieber als irgend ein Zufall. Auf Werbebanner klicke ich so oder so sehr, sehr selten, geschweige denn was dann zu kaufen.

Aus diesem Gründen juckt mich solch eine Meldung wie hier nicht wirklich und lässt mich auch keinen Untergang heraufbeschwören.

Wenn man unbedingt reagieren will, dann bin ich viel eher dafür, mehr in die aktive Bekämpfung von digitalen Verbrech*ern/Hackern zu investieren. Es darf prinzipiell einfach nicht sein dass man als Web-Anbieter, bzw. im Web generell allem selbstständig schutzlos ausgeliefert ist. Ist man schließlich im physischen Leben auch nicht (und bevor gleich der nächste den Untergang durch Diktaturen Prohezeit: Trotz Polizei haben wir in den meisten Ländern keinen unangemessenen Verlust an Freiheit. Also ist das prinzipiell möglich..).

Es gab allerdings bekanntlich grad in letzter Zeit ein paar Erfolge gegen Hackergruppen. Immer mehr Polizeibehörden von Staaten haben Abteilungen für solche Sachen (wobei ich ehrlich gesagt nicht weiss ob die Deutsche Variante wirklich so auf Zack ist wie die in "Who Am I").
Hoffentlich geht das weiter.

Zitat fdsonne;25153471
PS: das Thema Verschlüsslung, wurde ja explizit auch in der News erwähnt, hätte wohl genau gar nix geändert an der Situation. Warum? Wenn wer soweit in die Innereien eines Systems reinkommt, wäre es mindestens mal äußerst Warscheinlich, die entsprechenden Schlüssel ebenso abzugreifen. -> wieder so ein Thema, wo es am Verständnis krankt aus meiner Sicht. Verschlüsslung bedingt nunmal einem Schlüssel. Und entweder das System soll mit den Daten was anfangen können -> dann brauch es den Schlüssel oder eben nicht. Ein Mailanbieter oder allgemein, ein Anbieter von Accounts, würde seine Arbeit aber gar nicht machen können, wenn er nicht den richtigen Schlüssel hätte.
Ein Webdienst kann allerdings durchaus mehrere Schichten haben die es zu knacken gilt bzw. die Systeme können einfach getrennt sein.
Musste bislang noch nichts derartiges entwickeln, aber ich würde so vorgehen bestimmte Daten auf einen separaten Dienst zu lagern oder zumindest den entsprechenden Entschlüsselungsvorgang dort durchzuführen. Dann kann das System nämlich analysieren ob Zugriffe ungewöhnlich sind. Z.B. ist es extrem unwahrscheinlich dass auf einmal Millionenen, oder gar alle Accounts binnen kurzer Zeit, die Rückstellfunktion verwendet und die Antworten auf die Geheimfragen braucht...
Natürlich ist sowas keine absolute Lösung, aber es erhöht die benötigte Komplexität eines erfolgreichen Angriffs weiter (was leider so ziemlich das einzige ist was man tun kann..).
#20
customavatars/avatar44491_1.gif
Registriert seit: 08.08.2006
Weinböhla (Sachsen)
Moderator
Beiträge: 32349
Weil es einen Unterschied zwischen der Schuldfrage des Täters und der Schuldfrage des "Opfers" gibt. Ersteres ist zweifelsfrei was komplett anderes als letzteres.
Meist bzw. idR. ist es bspw. so, dass dir Dienstleister gewisse Thematiken zusichern, speziell in Verbindung mit Datenschutzthemen... Kann er das dann nicht liefern, ist er nunmal Mode. Das wissen auch die Dienstleister und sie bewegen sich dort auf ziemlich dünnem Eis, weil es eben keine 100% Sicherheit geben kann und wird.
Weswegen von dieser Seite her dein Beispiel mit dem Einbruch in dein eigenes privates Eigentum schon nicht passt. Denn es wird nur dir geschadet und nicht Dritten, denen du gewisse Sicherheiten gegenüber bescheinigst.

Was das Cloudzeug angeht, keine Ahnung, was bei dir "nennenswert schaden" ist. Ein mehr oder weniger nennenswerter Schaden kommt schon dadurch auf, dass du dich dann der Bürokratie unterwerfen darfst, den Spaß rückzuabwickeln. Denn DU bist in der Nachweispflicht, zumindest idR. Wenn bspw. mit deiner Identität im Netz irgendwas angestellt wird -> ich hatte jüngst erst den Fall wo Bekannte von mir sich ggü. der Schufa erklären durften. Das war nichtmal Datenklau oder sowas, sondern einfach nur "Zufall" weil Jemand mit dem selben Namen im selben Ort zufälligerweise auf die selbe Straße gezogen ist, wo Bekannte von mir mal wohnten und da irgendwo was durcheinander gekommen ist. Blöd das "der" Andere dann halt für Schufa Einträge gesorgt hat -> Stehste dann das nächste mal im Autohaus und bekommst gesagt, ist nicht, weil xyz... Wäre das für dich "nennenswert schaden"? Für mich schon...
Oder dir mausen se das Auto, weil du vllt so nen schicken neuen Benz fährst, der sich mal ganz elegant via SmartPhone App aufsperren lässt und damit keinerlei Einbruchsspuren hinterlassen werden -> ebenso kannste das Ding damit orten. Hängt alles am Account und du wirst fast schon dazu gezwungen, das nutzen zu müssen! -> obwohl das für mich keinen sichtbaren Grund außer "Nice to Have" dazu gibt...

PS: den letzten Part musst du aber mal erklären... Wieso bin ich im physischen Leben nicht schutzlos ausgeliefert? Wer schützt mich denn? Ich sehe da Niemanden... Wer mausen will, kann mausen, wer Schaden anrichten will, kann auch das. Einzig der Part, dass es im physischen Leben möglicherweise mehr Erfolg gibt, die Täter zu finden und es entsprechend zu ahnden spricht in diese Richtung. Aber das ist ziemlich dünn, das Argument. Sobald da das nicht EU Ausland ins Spiel kommt, ist da auch ziemlich schnell Ende mit Erfolg.

Zitat DragonTear;25153895
Ein Webdienst kann allerdings durchaus mehrere Schichten haben die es zu knacken gilt bzw. die Systeme können einfach getrennt sein.
Musste bislang noch nichts derartiges entwickeln, aber ich würde so vorgehen bestimmte Daten auf einen separaten Dienst zu lagern oder zumindest den entsprechenden Entschlüsselungsvorgang dort durchzuführen. Dann kann das System nämlich analysieren ob Zugriffe ungewöhnlich sind. Z.B. ist es extrem unwahrscheinlich dass auf einmal Millionenen, oder gar alle Accounts binnen kurzer Zeit, die Rückstellfunktion verwendet und die Antworten auf die Geheimfragen braucht...
Natürlich ist sowas keine absolute Lösung, aber es erhöht die benötigte Komplexität eines erfolgreichen Angriffs weiter (was leider so ziemlich das einzige ist was man tun kann..).


Das bringt dir aber nix... Wie oben erwähnt, da ist Jemand bis in die tiefsten Innereien eingedrungen. Wenn du also bis ganz unten ins System rein kommst, warum solltest du dann nicht noch die Tür links oder rechts im (bildlich gesehen) Keller aufmachen und den Spaß von dort ebenso noch mitnehmen?
Verhaltensanalysen kann man natürlich machen, sind sogar recht sinnvoll, aber decken (vom Prinzip her) auch nicht alles ab, denn sie basieren einzig und allein darauf, dass eben das Verhalten im/am System überwacht wird. Wenn der Angriff geschickt erfolgt, merkt man das schlicht gar nicht... Normal dürfte da noch hinzu kommen, der reine Angriff dürfte bei Ausnutzung quasi unbekannter Lücken effektiv gar nicht bermerkt werden -> damit hat der Täter gewissermaßen alle Zeit der Welt sich soweit ins System reinzubringen, bis er eben all das hat, was er haben will. Die Verhaltensanalyse wird möglicherweise erst dann zuschlagen, wenn Daten fließen, wenn überhaupt.

Es ist und bleibt doch ein Katz und Maus Spiel, wo eben die Maus idR das Opfer ist. Denn die Katze ist idR mindestens einen Schritt vorraus. Speziell dann, wenn man gezielt Sicherheitslücken ausnutzt, die der Maus selbst noch gar nicht bekannt sind -> und damit idR überhaupt nicht bemerkt wird, das ein Einbrüch stattgefunden hat.

Was die Trennung der Systeme angeht, ganz sicher kannst du davon ausgehen, dass dies der Fall ist. Nur wie gesagt, was bringt es? Es bringt nur eine Pseudosicherheit die bestenfalls die Jenigen abschreckt, die nicht wissen, was sie tun. Das ist ähnlich wie dem Einbrecher an der Tür drauf hinzuweisen, dass die Eingangstür abgeschlossen ist/wäre. -> will er rein, kommt er rein... Und wenn nicht über die Tür, dann übers Fenster oder wie auch immer.
#21
customavatars/avatar202850_1.gif
Registriert seit: 06.02.2014
Im sonnigen Süden
Admiral
Beiträge: 10015
Zitat fdsonne;25153991
Weil es einen Unterschied zwischen der Schuldfrage des Täters und der Schuldfrage des "Opfers" gibt. Ersteres ist zweifelsfrei was komplett anderes als letzteres.
Meist bzw. idR. ist es bspw. so, dass dir Dienstleister gewisse Thematiken zusichern, speziell in Verbindung mit Datenschutzthemen... Kann er das dann nicht liefern, ist er nunmal Mode. Das wissen auch die Dienstleister und sie bewegen sich dort auf ziemlich dünnem Eis, weil es eben keine 100% Sicherheit geben kann und wird.
Weswegen von dieser Seite her dein Beispiel mit dem Einbruch in dein eigenes privates Eigentum schon nicht passt. Denn es wird nur dir geschadet und nicht Dritten, denen du gewisse Sicherheiten gegenüber bescheinigst.

Darum erwähnte ich den Pasus mit der IT-Security und du bekräftigst das ja selbst - dies ist ein thema wo es garnicht möglich ist, dass der Anbieter absolut sicher ist...


Zitat fdsonne;25153991
Was das Cloudzeug angeht, keine Ahnung, was bei dir "nennenswert schaden" ist. Ein mehr oder weniger nennenswerter Schaden kommt schon dadurch auf, dass du dich dann der Bürokratie unterwerfen darfst, den Spaß rückzuabwickeln. Denn DU bist in der Nachweispflicht, zumindest idR. Wenn bspw. mit deiner Identität im Netz irgendwas angestellt wird -> ich hatte jüngst erst den Fall wo Bekannte von mir sich ggü. der Schufa erklären durften. Das war nichtmal Datenklau oder sowas, sondern einfach nur "Zufall" weil Jemand mit dem selben Namen im selben Ort zufälligerweise auf die selbe Straße gezogen ist, wo Bekannte von mir mal wohnten und da irgendwo was durcheinander gekommen ist. Blöd das "der" Andere dann halt für Schufa Einträge gesorgt hat -> Stehste dann das nächste mal im Autohaus und bekommst gesagt, ist nicht, weil xyz... Wäre das für dich "nennenswert schaden"? Für mich schon...
Identitätsdiebstahl ist aber wieder was anderes und auch im physischen Leben ein mögliches Problem.
Accounts wo es um Geld geht, haben in aller Regel ein zusätzliches Authentifizierungssystem. Entweder über Tan, oder man kann nur Liefer- und Rechnungsadresse abweichen lassen wenn man das extern bestätigt.
Sonderfall ist halt wenn jemand Mail- und solch einen Shop account hätte.
Was Bürokratie angeht stimme ich dir zu, allerdings hat der Täter davon nicht direkt was.


Zitat fdsonne;25153991
PS: den letzten Part musst du aber mal erklären... Wieso bin ich im physischen Leben nicht schutzlos ausgeliefert? Wer schützt mich denn? Ich sehe da Niemanden... Wer mausen will, kann mausen, wer Schaden anrichten will, kann auch das. Einzig der Part, dass es im physischen Leben möglicherweise mehr Erfolg gibt, die Täter zu finden und es entsprechend zu ahnden spricht in diese Richtung. Aber das ist ziemlich dünn, das Argument. Sobald da das nicht EU Ausland ins Spiel kommt, ist da auch ziemlich schnell Ende mit Erfolg.

Du denkst da ja ausschließlich nur an abgeschlossene Verbrechen und wenn du allein bist. Siehst du irgendwo ein Verbrechen geschehen oder bedroht dich jemand aktiv, kannst du die Polizei rufen.
Wird dein Auto gestohlen, meldest du die Seriennummer der Polizei und zumindest haftest du nicht mehr für Verbrechen die damit geschehen und ohne Aufwand kann das Auto nicht ohne weiteres verwertet werden.

Wenn du bemerkst siehst dass jemand deinen Server angreift - wen rufst du da?
Wenn dir Datensätze abhanden kommen - was kannst du tun?


Zitat fdsonne;25153991
Das bringt dir aber nix... Wie oben erwähnt, da ist Jemand bis in die tiefsten Innereien eingedrungen. Wenn du also bis ganz unten ins System rein kommst, warum solltest du dann nicht noch die Tür links oder rechts im (bildlich gesehen) Keller aufmachen und den Spaß von dort ebenso noch mitnehmen?
Verhaltensanalysen kann man natürlich machen, sind sogar recht sinnvoll, aber decken (vom Prinzip her) auch nicht alles ab, denn sie basieren einzig und allein darauf, dass eben das Verhalten im/am System überwacht wird. Wenn der Angriff geschickt erfolgt, merkt man das schlicht gar nicht... Normal dürfte da noch hinzu kommen, der reine Angriff dürfte bei Ausnutzung quasi unbekannter Lücken effektiv gar nicht bermerkt werden -> damit hat der Täter gewissermaßen alle Zeit der Welt sich soweit ins System reinzubringen, bis er eben all das hat, was er haben will. Die Verhaltensanalyse wird möglicherweise erst dann zuschlagen, wenn Daten fließen, wenn überhaupt.

...

Was die Trennung der Systeme angeht, ganz sicher kannst du davon ausgehen, dass dies der Fall ist. Nur wie gesagt, was bringt es? Es bringt nur eine Pseudosicherheit die bestenfalls die Jenigen abschreckt, die nicht wissen, was sie tun. Das ist ähnlich wie dem Einbrecher an der Tür drauf hinzuweisen, dass die Eingangstür abgeschlossen ist/wäre. -> will er rein, kommt er rein... Und wenn nicht über die Tür, dann übers Fenster oder wie auch immer.

Was genau heisst überhaupt tiefste Innereien? Das schlimmste denkbare wäre halt Code ausführen mit absoluten Rechten (wobei eigentlich auch ein Server-OS keine beliebigen Speicherzugriffe außerhalb des momentanen Programms zulässt, oder? ).
D.h. er kann nur das aktuelle Programm manipulieren. Selbst beliebiger Speicherzugriff würde noch immer besagte Hürden drin lassen wenn die Systeme physisch voneinander getrennt sind (und besonders große Service-Systeme sind auf jeden Fall schon aufgrund der Last, physisch getrennt.

Aus dieser Sicht hoffe ich übrigens dass sich sowas wir Rust mal mehr durchsetzt. Soweit ich das bislang ausprobieren konnte, hilft sie Sicherheitslücken, wenn es sie gibt, einzudämmen weil nichtmal jede Komponente des selben Programms, zugriff auf alle anderen hat (was z.B. in C++ nicht gegeben ist).


Zitat fdsonne;25153991
Es ist und bleibt doch ein Katz und Maus Spiel, wo eben die Maus idR das Opfer ist. Denn die Katze ist idR mindestens einen Schritt vorraus. Speziell dann, wenn man gezielt Sicherheitslücken ausnutzt, die der Maus selbst noch gar nicht bekannt sind -> und damit idR überhaupt nicht bemerkt wird, das ein Einbrüch stattgefunden hat.

Das bezweifle ich auch nicht...
#22
customavatars/avatar48845_1.gif
Registriert seit: 06.10.2006
Ba-Wü & WÜ
Kapitän zur See
Beiträge: 3801
Zitat DragonTear;25153895
Wieso wäre das auch dann deine "Schuld"?!
Jedenfalls moralisch bin ich nicht dafür verantwortlich wenn mir jemand Schaden zufügt (und rechtlich meistens auch nicht. Höchstens bei eher miesen Versicherungen.). Ob ich es leicht gemacht habe, oder nicht, ist nebensächlich...
Verantwortlich ist einzig der, der Schaden verursacht.

Wenn ich aus Knauserei mein eigenes Haus nicht sichere, wenn ich es dem Einbrecher leicht mache? Wessen Schuld soll es denn bitte sein? "Oh, ich habe nicht nach dem heutigen Standard agiert - aber mich trifft doch keine Schuld!!!!! Es war doch keiner gezwungen die Einladung der offenen Haustüre anzunehmen - wer hätte denn wissen können, dass (bspw.) osteuropäische Gangs durch die Straßen ziehen und schlecht gesicherte Häuser aufbrechen. Es steht zwar jeden Tag in der Zeitung, ich habe jetzt den Schaden... Aber wer bitte hat den Einbrechern auch erlaubt bei mir einzubrechen, die tragen alle Schuld, selbst wenn ich meine Haustüre offen gelassen hätte!"

Ich bitte dich. Lebst du in einer idealistischen Welt hinterm Mond? Offenbar schon. Aber ich merk, das mit dir hat wenig Sinn... Du hast Vorstellungen, die mit normalem Menschenverstand nur schlecht vereinbar sind.

Grüße
Thomas
#23
customavatars/avatar202850_1.gif
Registriert seit: 06.02.2014
Im sonnigen Süden
Admiral
Beiträge: 10015
:rolleyes: Betrachte das mal nüchtern.
Ich finde es ist nunmal ein Unding, die Schuld erstmal bei einem selbst zu suchen, wenn jemand anderes eine Schädigende Tat begeht. Weshalb soll das logisch sein?
Natürlich ist das Haus Beispiel überspitzt, aber ich münze das auf Webdienstanbieter etc. die sehr wohl sehr viel für die Sicherheit tun. Nur regen sich die Menschen trotzdem über die auf. Bis auf mich hat noch keiner hier im Thread die Angreifer auch nur erwähnt bzw. beschuldigt.
Es gab nichtmal das Verlangen die Täter zu finden.
Es kann doch nicht sein dass sowas akzeptiert wird (so wirkt das bei Web Zeug meistens)...
#24
Registriert seit: 06.04.2012

Kapitänleutnant
Beiträge: 1659
Weil das Internet Anarchie ist und es irgendwelche Angreifer einen Scheiß interessiert, was deutsche Sesselfurzer meinen, was verboten wäre. Wo willst du da Täter finden, wenn du eh nur an einem Server rauskommst, der von sonstwo aus übernommen wurde? Im Internet gilt wie überall zuallererst Selbstschutz. Klar kannst du dir überlegen, wie alles in deiner rosaroten Welt sein müsste, das interessiert in der Realität aber keinen.
#25
customavatars/avatar202850_1.gif
Registriert seit: 06.02.2014
Im sonnigen Süden
Admiral
Beiträge: 10015
Lohnt es sich nicht zu versuchen das zu ändern, oder zumindest den Willen zu haben?
Mir ging es ja hauptsächlich um die Einstellung.
Die gesamte/"reale" Welt war auch mal vor langer Zeit Anarchie, lol.
#26
Registriert seit: 06.04.2012

Kapitänleutnant
Beiträge: 1659
Nein, lohnt sich nicht, weil nur totalitärer Überwachungsbullshit dabei rauskommt. Denk doch mal 5 Sekunden nach... Ganz zu schweigen davon, dass du erstmal Software 100% sicher machen müsstest, was unmöglich ist.
#27
customavatars/avatar44491_1.gif
Registriert seit: 08.08.2006
Weinböhla (Sachsen)
Moderator
Beiträge: 32349
Zitat DragonTear;25154060
Darum erwähnte ich den Pasus mit der IT-Security und du bekräftigst das ja selbst - dies ist ein thema wo es garnicht möglich ist, dass der Anbieter absolut sicher ist...

Er sichert es aber seinen Kunden zu. Und das sehe ich halt als Problem -> und natürlich auch Grund, warum an da drauf eindrischt. Wenn da was steht von wegen, wir geben die Daten nicht weiter, dann hat das aus meiner Sicht auch nicht zu erfolgen. Egal wie... In gewisser Weise ist das ein aufgebautes Vertrauensverhältnis auf eben diesem dünnen Eis, das bricht, wenn es für den Anbieter schief geht.

Zitat DragonTear;25154060
Accounts wo es um Geld geht, haben in aller Regel ein zusätzliches Authentifizierungssystem. Entweder über Tan, oder man kann nur Liefer- und Rechnungsadresse abweichen lassen wenn man das extern bestätigt.
Sonderfall ist halt wenn jemand Mail- und solch einen Shop account hätte.
Was Bürokratie angeht stimme ich dir zu, allerdings hat der Täter davon nicht direkt was.

Du fragtest doch nach Schaden bzw. sagtest was über Schaden... Das was der Täter da nun noch von hat, ist mir ja als Betroffener völlig hupe.

Zitat DragonTear;25154060
Siehst du irgendwo ein Verbrechen geschehen oder bedroht dich jemand aktiv, kannst du die Polizei rufen.
Wird dein Auto gestohlen, meldest du die Seriennummer der Polizei und zumindest haftest du nicht mehr für Verbrechen die damit geschehen und ohne Aufwand kann das Auto nicht ohne weiteres verwertet werden.

Wenn du bemerkst siehst dass jemand deinen Server angreift - wen rufst du da?
Wenn dir Datensätze abhanden kommen - was kannst du tun?

Klar geht das, aber was bringt es "mir", wenn ein unbekannter ohne Zeugen und sonstwedem Überwachungszeugs physisch Schaden anrichtet? -> kann ich die Polizei rufen, hab ich aber nix von. Anzeige gegen Unbekannt und das war es dann. Beim Autoklau das selbe. Der Typ hätte einen Nachteil, wenn er das Fahrzeug auf dem deutschen Markt seriös verticken wollen würde, will er doch aber gar nicht. Die Kiste geht ins Ausland, wird zerlegt und die Einzelteile verkauft. Das siehst du nie wieder, wenn du es zu spät merkst. Auch da hilft mir die Polizei absolut nix außer einer oftmals enttäuschten Hoffnung, das doch was zu retten ist.

Das gleiche gilt im Netz... Wenn der Type sich nicht zu prasslig anstellt, ist der nicht findbar. Ich brauch also gar keinen Anrufen oder den Finger groß heben -> der Sinn hinter so mancher Art von Angriff oder so manchem Weg des Angriffs ist gerade der, dass man da nix nachverfolgen kann.
Einzig als Unternehmer, da bin ich wohl mittlerweile verpflichtet, gewissen Datenklau zu melden, wenn ich das recht in Erinnerung habe ;)

Zitat DragonTear;25154060
Was genau heisst überhaupt tiefste Innereien? Das schlimmste denkbare wäre halt Code ausführen mit absoluten Rechten (wobei eigentlich auch ein Server-OS keine beliebigen Speicherzugriffe außerhalb des momentanen Programms zulässt, oder? ).
D.h. er kann nur das aktuelle Programm manipulieren. Selbst beliebiger Speicherzugriff würde noch immer besagte Hürden drin lassen wenn die Systeme physisch voneinander getrennt sind (und besonders große Service-Systeme sind auf jeden Fall schon aufgrund der Last, physisch getrennt.

Aus dieser Sicht hoffe ich übrigens dass sich sowas wir Rust mal mehr durchsetzt. Soweit ich das bislang ausprobieren konnte, hilft sie Sicherheitslücken, wenn es sie gibt, einzudämmen weil nichtmal jede Komponente des selben Programms, zugriff auf alle anderen hat (was z.B. in C++ nicht gegeben ist).


Tiefste Innereien, das heist, je nachdem, auf was es der Angreifer abgesehen hat eben genau den Part, den es gilt zu erbeuten... Im Falle von Account-Datenklau, Password Hashes, ggf. Kreditkarteninfos, Namen und Telefonnummern -> um das gehts ja hier, war der Angriff offenbar gezielt auf Datenklau gerichtet. Die tiefsten Innereien des/der Systeme sind also die, wo man genau diese Daten abfingern kann... So wie das klingt, wurden die Daten nicht einfach durch nen simplen Port Mirror am Switch mitgesniffert, sondern erfolgten schon durch einen Angriff von außen!? Ob das nun (das war ja meine Ausführung eingangs) verschlüsselte Daten sind oder nicht, macht dahingehend keinen Unterschied, denn der Angreifer kommt schon so tief ins System, warum sollte er dann nicht auch direkt bis zu den Schlüsseln kommen, die das System ja zwangsweise benötigt, damit es mit den Daten irgendwie Arbeiten kann? -> ohne diese wären es nur kryptische Zahlen/Zeichenketten, also müssen die irgendwo sein.
Schlimmer noch, im konkreten Fall hat der Anbieter das wohl sogar nichtmal bemerkt, sondern erst im Nachgang erfahren! Es liegt also, wie oben schon erwähnt, auf der Hand, dass die Angreifer quasi alle Zeit der Welt hatte, sich den Spaß so hinzubiegen und all das mitzunehmen, was sie wollten -> wäre da verschlüsselter Kontent bei, hätte man die Schlüssel auch gefunden.

Codeausführung ist dann wieder was anderes, möglicherweise wird es notwendig um Zugriff zu erhalten, muss aber nicht zwangsweise... Anders aber sieht es aus, wenn es gezielt zur Ausführung von Code einen Angriff gibt. Bspw. um Systeme in ein Botnet zu heben... Bei derartigen Angriffen sind aber die Daten meist eher unwichtig, da gehts darum, mehr Nodes in das Botnet zu bringen -> möglichst so, dass die Nutzer der Geräte davon nix merken und damit der Spaß möglichst lange aktiv bleibt.

Was Rust angeht, das kann möglicherweise helfen, leider ändert es aber auch am Grundproblem nix. Das da wäre, dass die Sicherheitslücken nicht zwangsweise bekannt sein müssen, bevor sie ausgenutzt werden. Das heist also, kommt man irgendwie, durch welche Mittel und Wege auch immer in ein System -> und das ist ab einer gewissen Komplexität als faktisch zutreffend anzusehen, hilft dir das alles nix mehr. Eben weil die eine Lücke doch so schwer wiegt, um damit viel zu viel machen zu können. Zumeist ist das ja auch kein böser Wille der Entwickler, die das absichtlich versämmelt haben, sondern es ist einfach nicht genügend tief/breit drüber nachgedacht wurden und damit kommt eins zum anderen... Mit einer anderen Language änderst du das Problem leider nicht. Denn du kannst immernoch kapitale Fehler machen, die dir A) nicht auffallen und B) die Dritten dazu helfen, die Kiste anzugreifen. Selbst Code Audits, OpenSource Ansätze und sonstwedes Zeug helfen da nicht oder bestenfalls bedingt... Siehste bspw. wie Toll der OpenSource Ansatz funktionert, wenn du dir die jüngsten Kernel Bugs im Linux ansiehst und wie lange der Spaß zum Teil schon drin ist. Bringt also nix. Gegen das Hausgemachte Problem scheint kein Kraut gewachsen und/oder keine Lösung zu existieren.
Ich möchte an der Stelle aber nicht zu weit in die Tiefe gehen, wird ja so oder so die Masse nicht verstehen, daher der eher "dau"-freundliche Version einer Erklärung...
#28
customavatars/avatar202850_1.gif
Registriert seit: 06.02.2014
Im sonnigen Süden
Admiral
Beiträge: 10015
Zitat fdsonne;25154374
Tiefste Innereien, das heist, je nachdem, auf was es der Angreifer abgesehen hat eben genau den Part, den es gilt zu erbeuten... Im Falle von Account-Datenklau, Password Hashes, ggf. Kreditkarteninfos, Namen und Telefonnummern -> um das gehts ja hier, war der Angriff offenbar gezielt auf Datenklau gerichtet. Die tiefsten Innereien des/der Systeme sind also die, wo man genau diese Daten abfingern kann... So wie das klingt, wurden die Daten nicht einfach durch nen simplen Port Mirror am Switch mitgesniffert, sondern erfolgten schon durch einen Angriff von außen!? Ob das nun (das war ja meine Ausführung eingangs) verschlüsselte Daten sind oder nicht, macht dahingehend keinen Unterschied, denn der Angreifer kommt schon so tief ins System, warum sollte er dann nicht auch direkt bis zu den Schlüsseln kommen, die das System ja zwangsweise benötigt, damit es mit den Daten irgendwie Arbeiten kann? -> ohne diese wären es nur kryptische Zahlen/Zeichenketten, also müssen die irgendwo sein.
Schlimmer noch, im konkreten Fall hat der Anbieter das wohl sogar nichtmal bemerkt, sondern erst im Nachgang erfahren! Es liegt also, wie oben schon erwähnt, auf der Hand, dass die Angreifer quasi alle Zeit der Welt hatte, sich den Spaß so hinzubiegen und all das mitzunehmen, was sie wollten -> wäre da verschlüsselter Kontent bei, hätte man die Schlüssel auch gefunden.

Was ist wenn ich ein System habe das die verschlüsselten Daten speichert und auf einer separaten Maschine, einen Dienst habe, welcher ausschließlich durch den Primären dienst angesprochen werden kann und nichts weiter tut als einen übergebenen String, mit einem intern gespeicherten Schlüssel zu entschlüsseln und zurück zu senden.
An den Schlüssel wird der Angreifer somit praktisch utner keinen Umständen kommen, und das stetige Herausschleusen der Daten könnte man durch Anlyse fest stellen.
Damit wird die Komplexität des Angriffs eben verdoppelt, wenn nicht unmöglich gemacht, denn eine einzige Funktion kann man viel einfacher/besser sichern als alle Funktionen die der äußere Dienst anbieten muss...

Zitat fdsonne;25154374
Was Rust angeht, das kann möglicherweise helfen, leider ändert es aber auch am Grundproblem nix. Das da wäre, dass die Sicherheitslücken nicht zwangsweise bekannt sein müssen, bevor sie ausgenutzt werden.

Nunja, soweit ich weiss hätte zum Beispiel der Heartbleed bug in einer Rust Implementation keinen Schaden anrichtigen können, selbst wenn der Entwickler exakt den selben Fehler gemacht hätte (vergessen die Größe des angefragten Speicherbereichs zu prüfen). Die Sprache ist also schon relevant, denn sie kann eine designtechnisch-implementierte Sicherheitslücke im Nachinein verhindern. Auch wenn es kein Allheilmittel ist.

Zitat fdsonne;25154374
Das heist also, kommt man irgendwie, durch welche Mittel und Wege auch immer in ein System -> und das ist ab einer gewissen Komplexität als faktisch zutreffend anzusehen, hilft dir das alles nix mehr. Eben weil die eine Lücke doch so schwer wiegt, um damit viel zu viel machen zu können. Zumeist ist das ja auch kein böser Wille der Entwickler, die das absichtlich versämmelt haben, sondern es ist einfach nicht genügend tief/breit drüber nachgedacht wurden und damit kommt eins zum anderen... Mit einer anderen Language änderst du das Problem leider nicht. Denn du kannst immernoch kapitale Fehler machen, die dir A) nicht auffallen und B) die Dritten dazu helfen, die Kiste anzugreifen. Selbst Code Audits, OpenSource Ansätze und sonstwedes Zeug helfen da nicht oder bestenfalls bedingt... Siehste bspw. wie Toll der OpenSource Ansatz funktionert, wenn du dir die jüngsten Kernel Bugs im Linux ansiehst und wie lange der Spaß zum Teil schon drin ist. Bringt also nix. Gegen das Hausgemachte Problem scheint kein Kraut gewachsen und/oder keine Lösung zu existieren.
Das ist schon eine arg pessimistsiche Einstellung die du da hast, findest du nicht?
Meine was ist denn die Lösung dann?
Einfach keine Software nutzen?
Risiken gibt es selbstverständlich, aber die "cloud Welt" funktioniert unterm Strich soweit ganz gut und steht eigentlich erst am Anfang.
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

Unitymedia möchte Endkundenanschlüsse in öffentliche Wi-Fi-Hotspots umwandeln

Logo von UNITYMEDIA-LOGO

Der in Nordrhein-Westfahlen, Hessen und Baden-Württemberg aktive Kabelnetzprovider Unitymedia plant 1,5 Millionen Endkundenanschlüsse mit seinem WLAN-Router gleichzeitig in öffentliche Wi-Fi-Hotspots zu verwandeln. Wer als Kunde dabei mitmacht, bekommt unabhängig vom Standort, Tarif oder... [mehr]

ProSiebenSat.1 schaltet MyVideo ab (Update: MyVideo wird nur umstrukturiert)

Logo von IMAGES/STORIES/LOGOS-2013/PRO7SAT1MEDIA

Das Videoportal MyVideo wurde einst von der ProSiebenSat.1-Gruppe als Konkurrenz zu YouTube aufgebaut. Das Portal konnte sich gegen die amerikanische Konkurrenz jedoch nie wirklich durchsetzen – die Verantwortlichen ziehen nun den Stecker. Laut einer Meldung werde das Projekt vorübergehend... [mehr]

Routerzwang: Unitymedia nennt Details zum Einsatz eines eigenen Gerätes

Logo von UNITYMEDIA-LOGO

Ab dem 1. August 2016 wird der Routerzwang für die Internetanbieter endgültig Geschichte sein und die Kunden können dann auch eigene Geräte einsetzen. Während bei herkömmlichen DSL-Anschlüssen die Umstellung problemlos verlaufen dürfte, werden die Kunden bei Kabelanschlüssen etwas... [mehr]

FRITZ!OS 6.80 für die FRITZ!Box 7490 offiziell veröffentlicht (Update: nun...

Logo von IMAGES/STORIES/LOGOS-2013/AVM

Während das FRITZ!OS in der Version 6.80 schon seit einiger Zeit für die FRITZ!Box-Modelle 7580 und 7560 verfügbar ist, hat AVM nun auch für die FRITZ!Box 7490 den Startschuss freigegeben. Um vorneweg grobe Fehler zu vermeiden, wurden für die FRITZ!Box 7490 zuvor einige Beta-Versionen, so... [mehr]

10-GBit/s-Internetanschluss für Privatkunden in Estland

Logo von IMAGES/STORIES/LOGOS-2016/STARMAN

Immer wieder führen die Internetanbieter in Deutschland die bereits bestehende, gute Infrastruktur an, wenn es um die niedrigen Zahlen der FTTH/B/C-Anschlüsse geht. Dass es sich dabei größtenteils um Augenwischerei handelt und Anschlüsse mit mehr als 50 MBit/s weiterhin rar gesät sind, egal... [mehr]

Internet: Provider müssen zukünftig exakte Übertragungsrate angeben

Logo von IMAGES/STORIES/LOGOS-2015/HARDWARELUXX_NEWS_NEW

Bei den meisten Verträgen zwischen Kunden und Internetanbietern geben die Provider meist nur die maximal erreichbare Geschwindigkeit an. Ob die Übertragungsrate letztendlich am eigenen Anschluss erreicht wird, wird von den Anbietern nicht vertraglich zugesichert. Dieses Problem könnte sich... [mehr]