[TYPO3-german] Sind alle Hacker Hartz IV Empfaenger?

[Andreas Becker]

Hi Markus
was auf Testsystemen passiert ist jedem seine eigene Sache. Hier geht es
jedoch wie ich das so lese mitnichten um Test-Systeme sondern um "Live". Und
sicher wurde hier nicht man so kurz live getestet um dann irgend welche
Hinweise bezueglich updates zu hinterlassen ;-). Kurzum das was hier gemacht
wurde ist grober Unfug und hat mit Professionalitaet oder extra dafuer
angestellten Hackern wohl wenig zu tun, oder diese Stellen sind in der Tat
fehlbesetzt. Da einige Faelle ja sehr aehnlich gelagert scheinen, wird es
sich wohl empfehlen, wenn man die Daten kurzerhand bei Schaeuble
zusammentraegt. Im Grunde wird doch durch diese Hacks - ob nun von Firmen im
Auftrag auf Live Servern ausgefuehrt (was ich ehrlich gesagt nicht annehme)
bzw von wem auch immer - allen geschadet. Die Folge hiervon wird nur wieder
in weitere Beschraekungen im Internet hinfuehren. Big Brother or 1984 here
we come!

Gruss
Andi



2009/2/23 Markus Deckmann <Markus.Deckmann79 at web.de>

> Hi Andreas,
>
> > Diejenigen die sich jetzt angesprochen fuehlen sollten daher sehr gut
> > zuhoeren und lesen. Ich bin der Meinung, dass jede Agentur bei der einer
> > dieser Hacker beschaeftigt oder fuer die einer dieser Hacker taetig
> ist/war
> > - sich unverzueglich von ihnen trennen sollten und zwar oeffentlich, um
> auch
> > andere Agenturen vor diesen Unholden zu warnen.
>
> Kommt das nicht auch drauf an in welchem Kontext ein Hack begangen
> wurde? Stellen wir uns doch mal bspw. eine Agentur vor die den
> Kundenauftritt in ein Testsystem packt und dort mit "einigen solcher"
> Hacker die Lücken testet. Das wäre ein ganz anderer Kontext und in
> meinen Augen durchaus hilfreich für die Sicherheit des Live-Auftritts.
> Sich von solch einem Dienstleister zu trennen, nur weil er Hacker
> beschäftigt, ist IMHO ein bisschen kurzsichtig gedacht. ;-)
>
> Ich stimme dir natürlich zu das Script-Kiddies die lediglich
> irgendwelche Exploits nutzen und damit u.U. Schaden anrichten weil sie
> es unbedacht bei Live-Seiten "anwenden" entsprechend gestoppt gehören.
>
>
> > Ich stimme Ronald voll und ganz zu, dass man diesen Hackern das Handwerk
> > legen sollte, ebenso jeder Agentur, die deren Handeln billigt/duldet oder
> > womoeglich als deren Privat Sache abtut!!
>
> Du stimmst also beiden Seiten zu? ;-)
>
>
> > Desweiteren sollte einmal diskutiert werden, was man tun sollte, nachdem
> > eine Seite gehackt, bzw. nachdem ein Hacker sich Access zur Localconf /
> > phpmyadmin / typo3 und was weis ich noch verschafft hat.
>
> Ich würde mal sagen das man hier mehr Energie in die Sicherung von Typo3
> legen sollte. Bspw. durch oben geschriebenen Testsystem in dem ein
> Kundenauftritt vor Live-Gang auf die Lücken getestet wird.
> Standard-Sachen wie Formular-Tests auf ungültige Eingaben usw. könnte
> man bestimmt entsprechend automatisieren. Und für den Rest müssen ein
> paar sicherheits-informierte Leute diverse Hacks auf das Testsystem
> ausführen um die restlichen Schwachstellen zu finden.
>
> Ob das allerdings etwas ist, aufgrund der diversen Testumgebungen usw.,
> das von der Typo3-Open Source Community getragen werden kann oder eine
> Dienstleistung einer Agentur, macht im ersten Moment erst mal noch
> keinen Unterschied. Je nachdem auf wessen Schultern man die
> Verantwortung für die Sicherheit ablegen will. Soll es der Kunde sein
> stellt es in meinen Augen sogar eine unabdingbare Notwendigkeit dar das
> eine Agentur bspw. auch Hacker beschäftigt, da diese ja dort die Aufgabe
> haben die Sicherheitslücken zu finden. Will man es in den
> Sicherheits-Bereich der Community stecken hätte man den Vorteil das man
> auch als Agentur die keinen extra Sicherheitsbereich besitzt eine
> entsprechende "Grundsicherung" erwarten kann, da ja eine Gruppe aus
> Leuten (ob jetzt Hacker oder nicht) im Vorfeld dokumentiert die
> Schwachstellen von Typo3 abgeklopft haben.
>
> Hier können denke ich dann auch diverse gängige Extension-Kombinationen
> getestet werden um auch Fehler in den Extensions zu finden. Denke ich
> ist auch ein wichtiger Bereich. Im TER könnte man die Informationen der
> einzelnen Extensions doch dann auch bestimmt um einen Eintrag dieser
> Sicherheits-Tests erweitern um gleich bei dieser Auswahl die
> verschiedenen Sicherheiten zu sehen. Würde noch ein bisschen mehr
> Aufschluss auf einen Blick geben als nur der Status Alpha, Beta und
> Stable. So ist der Kunde bzw. die Agentur immer "gezwungen" diverse
> Groups und Mailinglisten zu lesen um sich sicherheitstechnisch auf dem
> laufenden zu halten. Das könnte man ihm bzw. der Agentur durchaus denke
> ich durch solch eine Gruppe "ersetzen".
>
>
> > Ich denke, dass dieses Thema immer mehr zu einem sehr wichtigen Thema
> wird
> > und man bekanntlich den Hackern nur begegnen kann wenn man auch
> > entsprechende Beweise bei z.B. der Staatsanwaltschaft vorlegen kann!
>
> Auch dafür braucht es in meinen Augen Leute die sich in das Denken eines
> solchen Menschen hineinversetzen können und das notwendige Fachwissen
> haben solche Anwendungen entsprechend "anzugreifen". Wie ich schon
> gesagt habe, auf Live-Systemen sollte das nicht erfolgen (wobei ich
> solch einen Hack wie er jetzt bei Schäuble passiert ist durchaus als
> nicht so bedenklich einstufe weil ja doch eine Nachricht wie man das
> Loch behebt hinterlassen wurde), auf einem entsprechend "gleichwertigen"
> Testsystem solche Hacks zu versuchen halte ich allerdings nicht für
> verwerflich, erhöhen sie in meinen Augen eher die Sicherheit des
> "Endprodukts" und steigern so die Akzeptanz beim Kunden bzw. bei den
> Agenturen.
>
> Ciao Markus
> _______________________________________________
> TYPO3-german mailing list
> TYPO3-german at lists.netfielders.de
> http://lists.netfielders.de/cgi-bin/mailman/listinfo/typo3-german
>