Neuer Hackerangriff auf Sony

[Barschel2004]

Hacker melden neuen Angriff auf Sony: Angeblich über 1 Million Daten geklaut - Wirtschaft - Bild.de

[Nico B.]

Auf der einen Seite finde ich es schlimm das die ganzen Daten in irgendwelchen Händen landen, auf der anderen Seite... ein kleines Grinsen konnte ich mir nicht verkneifen.

[shredding]

Die Bild hat einen Wirtschaftsteil???

[shin10]

Zitat:

Zitat von shredding

Die Bild hat einen Wirtschaftsteil???

Ich hab ja früher die ganzen MD-Player von Sony tierisch geliebt. Das hat meine damalige Abneigung gegen die Playstation bei weitem übertroffen und wirkt bis heute nach. Drum tut mir Sony fast ein wenig leid. Bei den ganzen Attacken muss ein Laie sich ja wirklich denken, dass das der fahrlässigste Konzern von allen ist ... nicht der für Hacker gerade am interessanteste. Als ob andere nicht genauso schwach daherkommen würden.

Hab immer noch keine PS. GO GO NINTENDO!!

[Barschel2004]

Zitat:

Zitat von shredding

Die Bild hat einen Wirtschaftsteil???

wusste ich auch nicht; aber mein google zeigt mir halt immer die bild-schlagzeilen an. da ist manches schmankerl drunter

[speedjunkie]

Hmmmmmmmmmmmmmmm… nach außen hin wird das immer so dargestellt, die bösen Hacker. Datensammlung in dieser Größenordnung sind für viele attraktiv. Schade für die junge Sorglose Zockergemeinschaft, die müssen sich wieder von ihren Eltern anhören „Das hab ich dir doch tausendmal gesagt“

download

Internet voll

[4zap]

Die Schwachstellen sind doch bekannt, oder ist SQL Injection was Neues?
Ich versteh das nicht... ein Milliardenkonzern und so schwach gesicherte Datenbanken?

Entweder raff ich es nicht aber gegen diese SQL Injections gibt doch Gegenmaßnahmen oder? Wieso nicht bei Sony?

Mal abgesehen davon, daß sie selbst schuld sind, find ich da Sonys Initiative unter aller Sau.

[bizz]

Das Problem ist, das in einem großen Unternehmen an so vielen verschiedenen Ecken unterschiedliche Systeme laufen, dass da kaum einer noch einen Überblick hat.
Soziales Netzwerk hier, Gewinnspiel dort, neue Produktpräsentationen überall.
Und bei allen Dingen fallen irgendwelche Nutzerdaten an, die dann regelrecht vergammeln. Bis! Ja, bis da dann mal eine Hacker-Crew drauf stößt und ggf. durch irgendetwas angespornt immer tiefer bohrt.

Nicht zu vergessen ist auch, das nicht immer Sony direkt Schuld ist, sondern auch externe Dienstleister. Da kann dann auch schon ein kleines Werbespiel mit Highscore dafür sorgen, das zig tausend Datensätze in die falschen Hände kommen und ggf. dadurch Zugriff auf kritische Anwendungen möglich ist.

Wenn ich teilweise sehe, was hier im Forum für, gerade serverseitig, für ein Mist zusammenprogrammiert wird, ist das doch kein Wunder, dass die Scheunentore auch bei so großen Unternehmen so offen stehen.

[shredding]

Zitat:

Zitat von bizz

Wenn ich teilweise sehe, was hier im Forum für, gerade serverseitig, für ein Mist zusammenprogrammiert wird, ist das doch kein Wunder, dass die Scheunentore auch bei so großen Unternehmen so offen stehen.

Klar wird oft geschlampt.

Aber heute fängt ja niemand ein Forum oder soziales Netzwerk oder sowas an, indem er ein leeres Projekt anlegt; sondern man setzt auf bestehenden CMS Systemen oder Frameworks auf.

Und da haben sich ja dann meist schon viele schlaue Leute Gedanken gemacht, wie man das sicher machen kann & überprüfen von Nutzereingaben ist so einfach wie sonstwas.

Ich habe irgendwo gelesen, dass etwa die Passwörter unverschlüsselt auf dem Server liegen.

Das Problem mit dem Überblick geht imho aus Unwissenheit hervor. Jeder, der in der Branche arbeitet, kennt doch die Kunden, die wollen halt "Facebook nur anders" und haben keinen blassen Schimmer & wenn der Neffe sagt "das kann ich" oder Agentur Extrabillig sagt "wir machens für die Hälfte", kriegen die halt den Auftrag & da wird dann gar nicht überprüft bzw. die Überprüfung kann der Kunde gar nicht leisten.

Große Unternehmen - technische zumal - sollten aber schon jemanden haben, der für Sicherheit zuständig ist und etwa einen Richtlinienkatalog aufstellen, an den sich die Dienstleister zu halten haben.

[bizz]

Zitat:

Zitat von shredding

Klar wird oft geschlampt.
Aber heute fängt ja niemand ein Forum oder soziales Netzwerk oder sowas an, indem er ein leeres Projekt anlegt; sondern man setzt auf bestehenden CMS Systemen oder Frameworks auf.

Ein Gerücht! Oft ist ein eigenes System mit den Jahren gewachsen und jeder Vertraut auch die Arbeit seines Vorgängers.
Es kann hier auch um kleinere Komponenten gehe, wie ein Kommentarsystem oder ein HighScore. Die liegen nicht allzu selten auf den selben Servern wie kritischere Anwendungen. Und diese Skripte sind meistens 0815.
Und auch ein Wordpress oder Typo3 hat Sicherheitslücken. Und dass die immer auch von jeden mit einem Update gestopft werden, ist sehr unwahrscheinlich und unrealistisch.

Zitat:

Zitat von shredding

Große Unternehmen - technische zumal - sollten aber schon jemanden haben, der für Sicherheit zuständig ist und etwa einen Richtlinienkatalog aufstellen, an den sich die Dienstleister zu halten haben.

Das will keiner Bezahlen. In der Regeln werden Mitarbeiter aus einem größeren Pool einer Aufgabe, einem Projekt zugeteilt. Wenn das Projekt im zeitlichen und/oder verwendeten Sand verläuft, werden immer mehr Mitarbeit wieder abgezogen. Da bleibt dann oft nur noch eine halbe oder viertel Stelle für die Betreuung über.
Auf gut deutsch heißt es. Eine Person kümmert sich um 4 Projekte mit niedriger Priorität, die irgendwann eingestellt werden sollen, wenn sich nichts ändert.

Das in der Softwarebranche immer alles schön durchgeplant sein soll, ist ja schön und gut, aber die Realität sieht in vielen Teilen schon ganz anders aus.
Zeitlicher Druck, preislicher Druck, Unfähigkeit usw. sorgen halt für diese realen Ergebnisse.

[thomas_E]

Zitat:

Aber heute fängt ja niemand ein Forum oder soziales Netzwerk oder sowas an, indem er ein leeres Projekt anlegt; sondern man setzt auf bestehenden CMS Systemen oder Frameworks auf.

In der Grössenordnung? Bezweifle ich. Die werden "was eigenes" haben, hausintern. Ich schätze, die kaufen Know-How eher in Form von Programmierern ein, oder eines Unternehmens, dass ein Modul programmieren soll, und in das bestehende System integriert werden muss, wo dann die Entscheidungsträger zu, "das haben wir hier schon immer so gemacht", tendieren.
Und es ist nicht viel entscheidungs-Träger, als ein eingespieltes Team, mit einem laufendem System (Es läuft, aber frag besser nicht wie).

Zitat:

Große Unternehmen - technische zumal - sollten aber schon jemanden haben, der für Sicherheit zuständig ist und etwa einen Richtlinienkatalog aufstellen, an den sich die Dienstleister zu halten haben.

Sollten ist hier wohl das Zauberwort.
Das andere ist, Diese Person/Personen sollten auch entsprechende Kompetenzen haben, etwas ändern zu dürfen, und nicht als querulanten und schwarzmaler behandelt werden.


Vielleicht wird Sony was ändern, vielleicht auch nicht, vielleicht zieht eines der anderen grossen Unternehmen daraus eine Lehre, bevor es auch über dieses Pressemeldungen gibt. Das wird sich zeigen.

Mein Fazit (wiedermal): aufpassen wem ich welche Daten anvertraue.

[rena]

Zitat:

Zitat von shin10

Hab immer noch keine PS. GO GO NINTENDO!!

Hhmmm...
Digitaler Angriff auf Server - Hacker attackieren Nintendo - Digital - sueddeutsche.de

Was sind das eigentlich für Idioten?

Grüße
Rena

[shin10]

Hi Rena!

Da hab ich es wohl verschrien ... hmm, aber ich wüsste ehrlich gesagt nicht, dass Nintendo überhaupt irgendwelche Daten von mir hat außer der Wii-Seriennummer und solcherlei Zeugs vielleicht ...

Was das für Typen sind weiß ich auch nicht. Prinzipiell sympathisier ich ja mit Hackern, die Sicherheitslücken aufdecken, aber die Daten nur als Beweis runterladen und nicht verkaufen bzw. anderweitig Schaden anrichten. Im Fall Sony scheinen sie aber ja die Kreditkartennummern zu verkaufen. Eine Schande. Hundsordinäre eGanoven ...

[bizz]

Zitat:

Zitat von shin10

Was das für Typen sind weiß ich auch nicht. Prinzipiell sympathisier ich ja mit Hackern, die Sicherheitslücken aufdecken, aber die Daten nur als Beweis runterladen und nicht verkaufen bzw. anderweitig Schaden anrichten.

Eine wirklich komische Einstellung, dass muss ich wirklich sagen.
Würdest du auf die Idee kommen, bewaffnet in eine Bank reinzustürmen und nachdem du das Geld bekommen hast, die Sache nachher aufzuklären und alles als Test abzustempeln.
Ist ja auch nur ein Test um zu schauen, ob alle sicherheitsrelevanten Systeme funktionieren.

Das unerlaubte Eindringen in Computer ist und bleibt eine Straftat. Ohne Diskussion. Der Akzeptanz der Computer-Straftaten in gewissen gesellschaftlichen Bereichen, ist doch vergleichbar mit der Akzeptanz körperliche Gewalt einzusetzen in radikalen Gruppen.
Die ein oder andere Straftat ist nicht besser.

Und du sagst ja selber, wenn irgendwelche Daten missbraucht werden, siehst du das anders. Ich nenne sowas "Schön-Wetter-Demokratie". Solange einem etwas passt, hält man sich an die Regeln und wenn nicht, dann biegt man sich die zurecht.

Und zum Thema "Sicherheitslücken aufdecken": Da gibt es genug Unternehmen die sich professionell damit beschäftigen, aber die geben ja kaum eine Pressemitteilung raus, wenn sie an einem Tag mal wieder ein paar Dutzend Sicherheitslücken gefunden haben.
Aber natürlich geraten immer die Sicherheitslücken in die Presse, die von irgendwelchen Leuten öffentlichkeitswirksam publiziert wurden, weil ein Hersteller laut der Person, die Lücke nicht wichtig genommen haben.

Und wenn es sich um (Social-)Phishing handelt gibt es komischer Weise auch drei Ansichten:
1.) Ist ein Unternehmen betroffen, dann können sich einige das Schmunzel nicht verkeifen und "gönnen" es dem Unternehmen sogar
2.) Passiert es anderen Leute, dann sagt man großkotzig, dass das nur DAUs passiert und einem selber nicht
3.) Wenn es aber einem selber passiert, dann ist es ein Skandal. Die Polizei muss sofort handeln, ohne Ausnahme.

Das waren nur meine 2 Cent.

[shin10]

Ich find die Einstellung eigentlich gar nicht komisch. Ohne die Jungs vom CCC und anderen Gruppen würden doch immer noch alle denken, dass alles mögliche im Netz sicher ist. Ich finde es schon wichtig, dass es Leute gibt, die der Öffentlichkeit da ein wenig die Augen öffnen.

Das es sich dennoch um Straftaten handelt stell ich dabei gar nicht in Frage. Genauso wenig wie bei Robin Hood.
Ich halte ihnen lediglich ihre Absicht zu Gute. Denn es sind ja offenbar gerade die Unternehmen, die keine Experten zu Rate ziehen, bei denen es richtig im Argen liegt.

Die Verbindung zu physischer Gewalt ist mir da jetzt eigentlich gar nicht klar. Du kannst ja nicht jemandem aufs Maul hauen und dann sagen: "Siehste, hättest mal besser Jiu Jitsu gelernt!", aber man kann sehr wohl bei seinem Nachbarn klingeln und sagen: "Hey ich hab gesehen, dass du deine Tür nicht absperrst sondern nur zuziehst, wenn du gehst. Da kann jeder mit nem Drahtbügel rein." -> Demo
Also da seh ich schon nen großen Unterschied