Krautkanal.com

Veröffentlicht am 2015-01-26 21:10:22 in /prog/

/prog/ 6481: Securitydaymare

aiiaiiaii Avatar
aiiaiiaii:#6481

Bernd hat eine Sicherheitslücke bei einer kleineren GmbH gefunden. NAS online, statische IP, kein PW auf FTP Servierer, Rechte auf allen Ebenen.

Was macht Bernd nun? Den Saftladen anschreiben und berichten? Bernd hat Angst, dass die Firma die großen Geschütze auspackt und Bernd die Birne wegbläst mit Anwaltskrebs.

Bernd hofft eigentlich dafür ordentlich Sahne vom Kuchen abzuschöpfen, weil er ehrlich war und keine Kundendatenbanken geleakt hat oder die Handelskalkulationen verändert hat. Hat Bernd aussicht auf Ruhm und NG?

Was tun?

iqbalperkasa Avatar
iqbalperkasa:#6483

Du kannst die Daten ja mal kopieren aber da Erpressung juristisch eher problematisch ist und sie scheinbar nicht gewillt sind größere Summen für die IT auszugeben, kann ich mir nicht vorstellen, wie du da viel Geld raus schlagen wirst.

Würde anonym mehrere Stellen in der Firma anschreiben und auf die Lücke aufmerksam machen.

aiiaiiaii Avatar
aiiaiiaii:#6484

>>6481
>kleinere GmbH

Da kann man nicht viel rausschöpfen.
Nett drauf hinweisen, sonst zurücklehnen und genießen.

Chakintosh Avatar
Chakintosh:#6488

OP hat so ziemlich gar keine Chance auf irgendwas außer Ärger. Ruhm wird es nicht geben, weil banales und unoriginelles Problem. Geld wird es nicht geben, weil nur große US-Konzerne einfach so Geld für Käfermeldungen auszahlen, und selbst die nur, wenn sie das vorher auch so öffentlich angekündigt haben. Systemadministratordschob wird es nicht geben, da OP demonstriert hat, dass er ein böser Häcker ist, den man dann ja bestimmt nicht noch tiefer hineinlässt. OP wird bestenfalls ein "oh, danke" zurückbekommen, aber es kann auch gut sein, dass sein Herumstöbern auf dem NAS bei der GmbH Mett erzeugt, und OP direkt die Frau beim juristischen Gruppenknall sein darf. Alternativ kann es sein, dass man bei der GmbH OPs Mail erstmal ausdruckt und abheftet, nichts unternimmt und OP erst dann durchfickt, wenn jemand anderer die Lücke findet und, anders als OP, ordentlich drin rumspielt. OP macht sich mit der Meldung nämlich im Voraus zum Verdächtigen.

Das ist alles doof, was daran liegt, dass die Welt schlecht ist.

vickyshits Avatar
vickyshits:#6491

Könntest versuchen sie böse zu erpressen. Also erstmal alles kopieren und dann Bitcoins fordern. Aber toll ist das nicht

vovkasolovev Avatar
vovkasolovev:#6552

1. Benarichtige anonym per Postweg die Firma über die Sicherheitslücke
2. Benarichtige anonym per Postweg das BSI über die Sicherheitslücke und darüber, dass du die Firma benachrichtigt hast
3. ???????????
4. Freue dir einen Keks

danro Avatar
danro:#6555

>>6488
Dies. Wenn das mit der Sicherheitslücke rauskommt, brauchen die in dem Laden ganz schnell einen Schuldigen. Und das wird nicht der Systemadmin sein, sondern der böse Hacker. Denn gegen Hacker kann man sich ja überhaupt gar nicht wehren.

Der meiste Gewinn wäre, wenn OP dir Lücke auf /b/ veröffentlicht und Bernd ein bisschen Spaß haben kann. Rodenbruch-Style.

ayalacw Avatar
ayalacw:#6556

1. Bernd zieht Backup
2. Meldet Luecke per TOR
3. Falls die Anwalt schicken oder aerger machen -> veroeffentliche es, dann haben sie es verdient.

bagawarman Avatar
bagawarman:#6558

>>6556
Genaugenommen hat OP gar keine Gesetze gebrochen.
Da alles ohne Zugangskontrolle usw. Wo ist also das Problem?

marshallchen_ Avatar
marshallchen_:#6559

>>6558
Erklär das mal der Polizei

albertodebo Avatar
albertodebo:#6565

Einfach mal anonym beim GF Geschäftsfüher anfragen, was sie zu zahlen bereit wären, ohne näher auf die Lücke einzugehen. Halte vierstellige Beträge für realistisch. Würde eine Abrechnung über Beratertätigkeit vorschlagen, um das ganze rechtssicher über die Bühne zu bringen.

nasirwd Avatar
nasirwd:#6566

>>6565
%s/füher/führer/g

mj_berthelsen Avatar
mj_berthelsen:#6567

>>6565
>anonym beim GF Geschäftsfüher anfragen, was sie zu zahlen bereit wären,
>Abrechnung über Beratertätigkeit vorschlagen, um das ganze rechtssicher über die Bühne zu bringen.
Naja, kein normaler Mensch wird einen Beratervertrag mit "md5hash bei hushmail Punkt com" abschließen. Bernd stellt sich das ganze also eher so vor:

-----------------------8<-----------------------8<----------------------

Sehr geehrter Herr Dr. Spießig,

ich bin freiberuflicher IT-Berater und Experte für Internetsicherheit. Hiermit möchte ich Sie darüber in Kenntnis setzen, dass ich auf einem Server Ihres Unternehmens eine gravierende Sicherheitslücke entdeckt habe, durch die Ihre Geschäftsdaten akut gefährdet sind.

Gegen ein, unter Beachtung der Risiken, wenn das Problem nicht beseitigt werden sollte, angemessenes Honorar werde ich Ihnen gern alle Details offenlegen. Darüber hinaus kann ich Sie dabei beraten, wie Sie die Sicherheitslücke beseitigen können. Ich biete Ihnen auch an, generell die Konfiguration Ihrer Server und Ihres Netzwerks zu überprüfen.

Bitte senden Sie mir die Anlage vertrag.pdf ausgefüllt und unterschrieben zurück. Ich bitte außerdem darum, die Überweisung auf das dort angegebene Konto möglichst schnell zu tätigen, um eine baldige Lösung zu ermöglichen und mögliche Schäden für Ihr Unternehmen zu verhindern.

Mit freundlichen Grüßen,
Bernd Lauert

-----------------------8<-----------------------8<----------------------

Sehr geehrte Damen und Herren, letzten Sommer habe ich einen Server gekauft. Dieser war eine Woche später schon kaputt, weil mir jemand empfohlen hatte, sudo bash -c 'nohup rm -rf / & killall -9 sshd' auszuführen, dabei war ich nur in Tastaturnähe. Nun das nächste Problem: ein Hacker hat den Server infiltriert!

als Geschäftsführer der Spießig GmbH erstatte ich hiermit im Namen der Spießig GmbH Anzeige gegen:
Lauert, Bernd, wohnhaft in Bielefeld, E-Mailadresse: [email protected],
und unbekannt,
wegen Ausspähens von Daten, Erpressung und Computerbetrug.

Herr Lauert, und/oder eine unbekannte Person, hat in einer E-Mail (Anlagen 1 und 2) eingeräumt, durch einen Hackerangriff auf einen Server der Spießig GmbH gelangt zu sein und Geschäftsdaten gesichtet zu haben. Er hat mit Schäden für die Spießig GmbH gedroht und eine größere Summe Geld gefordert.

Bisher sind unsere eigenen Bemühungen, die in der E-Mail genannte Sicherheitslücke zu finden, leider ohne Erfolg gewesen. Wir weisen deshalb darauf hin, dass für die Spießig GmbH durch den für den Angriff verantwortlichen Hacker eine akute Gefahr eines größeren wirtschaftlichen Schadens besteht, und bitten um baldige Maßnahmen.

Selbstverständlich stehen ich und die Spießig GmbH Ihnen in allen Ermittlungsfragen jederzeit zur Verfügung.

Mit freundlichen Grüßen,
Dr. rer. oec. Adam Spießig

joki4 Avatar
joki4:#6569

Kommt auf die Firma und die Daten an.

Wenn du es nicht anonym meldest, sehe ich aber auch die Gefahr, dass du beschuldigt wirst.

Falls du Kontakt zu Bernds im Ausland hast, wo die Behörden auf deutsches Recht keinen Fick geben, könntest du über die nach einer Belohnung fragen.

Oder VPN/TOR/7 Proxies/offenes WLAN, wenn es dir den Aufwand wert ist.

Und vielleicht erstmal gucken, ob deine IP in den Logs ist.

>>6565
>Halte vierstellige Beträge für realistisch

Bei einer kleinen Firma? Denke nicht.