WCM Forum

WCM Forum (http://www.wcm.at/forum/index.php)
-   IT-Security (http://www.wcm.at/forum/forumdisplay.php?f=70)
-   -   Datenbank klau im allgemeinen (http://www.wcm.at/forum/showthread.php?t=242734)

rev.antun 16.08.2011 19:28

Datenbank klau im allgemeinen
 
Eigentlich arg was sich da in letzter zeit abspielt. Interessant wär da schon ob alle mit der gleichen software und bugfix gearbeitethaben, oder ob total unterschiediche systeme betroffen waren.

Gibt es dazu eigentlich informationen?

ZombyKillah 16.08.2011 19:52

Nach dem was ich so mitbekomme werden die meisten Daten mit SQL Injektion geklaut ...
Bedeutet im Grunde nichts anderes, als dass die Oberfläche der Datenbank dazu verleitet werden kann, die Daten der Datenbank in ein File auf die Web-site zu exportieren.

Das ganze ist wie folgt:
Auf der Oberfläche gibt es ein Feld "Name" dort trägt man normalerweise den Namen ein ...
Bei SQL Injection wird anstelle des Namens eine SQL Anweisung angegeben ...
Beispiel:
Code:

INSERT INTO database.users ("username", "vorname", "nachname", "password")
VALUES ("user", SELECT * FROM database.users INTO FILE /var/www/datebase.users, "nachname", password("password"))

http://xkcd.com/327/

Meiner Meinung nach ist das ganze noch weit weck von einen Hack, da die Web-site nur mit bestimmten Parameter aufgerufen werden muss, es ist nicht notwendig irgendwelche versperrten Passwörter zu wissen.
Das ganze ist natürlich nur möglich, wenn die Web-site das zulässt.

Christoph 16.08.2011 22:26

Die Methode ist (fast) wurscht, die Zunahme in den letzten Monaten schon beängstigend, man darf scheint´s wirklich keine Daten mehr an Firmen weitergeben, weil keiner weiß wer gehackt wird und wo die Daten dann aufscheinen. :eek:

Undertaker 17.08.2011 03:00

Dem kann ich nur zustimmen. Besser geschäftliches (vorrübergehend) gar nicht mehr über das Internet erledigen.

rev.antun 17.08.2011 12:47

vollkommen arg das ganze :(

Baron 17.08.2011 14:58

Habe gestern einen Brief von der Telekom bekommen (A1) meine Daten wurden bei einem Angriff von dem Server gestohlen! Aber ohne Kontodaten!
Auch nicht schön !

Christoph 17.08.2011 21:50

Zitat:

Zitat von Undertaker (Beitrag 2457807)
Dem kann ich nur zustimmen. Besser geschäftliches (vorrübergehend) gar nicht mehr über das Internet erledigen.

Es ist einfach grauslich wie das eskaliert, die Frage ist nur, wie lange ist "vorrübergehend"?
Wenn´s so weiter geht werden wir wieder alles am Schalter erledigen, und dann werden die Server der Banken gehackt.

Baron 17.08.2011 22:10

Was sich aber bei den Zahlscheingebühren keiner mehr leisten kann-vom Zeitaufwand (anstellen...) ganz zu schweigen!:(

Christoph 17.08.2011 22:12

Zeit bekommt man nicht geschenkt, man muß sie sich nehmen!

Baron 17.08.2011 22:19

Sag das mal einen SOHO betrieb der von 7-19 Uhr offen hat und 10-40 Erlag scheine einzahlen soll! In Großbetrieben ist leicht gscheit reden!:rolleyes:

Christoph 17.08.2011 22:20

Nicht nur dort.

The_Lord_of_Midnight 19.08.2011 17:04

Was meiner Meinung fehlt sind Haftungen und rigorose Strafen für Firmen, die sorglos mit den Daten ihrer Kunden umgehen.
Es muss einfach die klare Pflicht jeder Firma sein, Fachleute anzustellen bzw. zu beauftragen, welche die Sicherheit der Kundendaten gewährleisten.
Wenn jemand beim qualifizierten Personal spart, dann darf man das einfach nicht hinnehmen.
Denn wie weit das ganze führt, wenn der Staat sorglos mit aktuen Problemen umgeht, haben wir bereits aus der Finanzkrise gelernt (bzw. leider nicht gelernt !)

Undertaker 19.08.2011 19:17

AMEN!


Zitat:

Zitat von The_Lord_of_Midnight (Beitrag 2458032)
(bzw. leider nicht gelernt !)

Zitat:

„Die Geschichte lehrt die Menschen, daß die Geschichte die Menschen nichts lehrt.“
Mahatma Gandhi

Stimmt einfach immer wieder...

ZombyKillah 20.08.2011 01:45

Zitat:

Zitat von The_Lord_of_Midnight (Beitrag 2458032)
Es muss einfach die klare Pflicht jeder Firma sein, Fachleute anzustellen bzw. zu beauftragen, welche die Sicherheit der Kundendaten gewährleisten.
Wenn jemand beim qualifizierten Personal spart, dann darf man das einfach nicht hinnehmen.

Der ganze Sinn der antisec Bewegung ist es den Leuten zu zeigen:
wie sorglos die Firmen mit den Daten umgehen und
was sich so alles Sicherheitsfirma schimpft

Das Problem ist einfach zu erklären ... es werden heute derartig viele unterschiedliche Softwarepakete verwendet und wenn nur eine Software einen bug hat, kann das schon eine Sicherheitslücke werden.

Es beginnt bei den Scripts auf der Homepage, welche auf SQL injections anfällig sein können.
Weiter mit den Web-Service (ISS, Apache und viele weitere)
Den Remotecomputer-zugriffsmöglichkeiten auf den Server (Remote desktop, VNC, telnet, ssh, ...)
Sonstige Services die noch am Server geöffnet sind.

In Wirklichkeit ist die Liste von Programmen die auf einen Server installiert wird so groß, dass man keinen Überblick mehr hat.

rev.antun 22.08.2011 19:59

Zitat:

Zitat von The_Lord_of_Midnight (Beitrag 2458032)
Was meiner Meinung fehlt sind Haftungen und rigorose Strafen für Firmen, die sorglos mit den Daten ihrer Kunden umgehen.
Es muss einfach die klare Pflicht jeder Firma sein, Fachleute anzustellen bzw. zu beauftragen, welche die Sicherheit der Kundendaten gewährleisten.
Wenn jemand beim qualifizierten Personal spart, dann darf man das einfach nicht hinnehmen.
Denn wie weit das ganze führt, wenn der Staat sorglos mit aktuen Problemen umgeht, haben wir bereits aus der Finanzkrise gelernt (bzw. leider nicht gelernt !)

gibt es: geschäftsführerhaftung und ist gar nicht so unüblich ;)

rev.antun 22.08.2011 20:02

Zitat:

Zitat von Christoph (Beitrag 2457890)
Es ist einfach grauslich wie das eskaliert, die Frage ist nur, wie lange ist "vorrübergehend"?
Wenn´s so weiter geht werden wir wieder alles am Schalter erledigen, und dann werden die Server der Banken gehackt.

das wird ned so einfach. Da sind die banken schon ein grösseres stück vorsichtiger als so mancher anderer :hallo:

Christoph 22.08.2011 22:04

Gott sei Dank (oder in neuPC GSD), denn dageht´s gleich um´s Geld. :eek:

rev.antun 23.08.2011 12:33

nur das die banken keines mehr haben :lol:


Alle Zeitangaben in WEZ +2. Es ist jetzt 00:12 Uhr.

Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
© 2009 FSL Verlag