Hacks, Cracks und Sicherheitslücken

silverSl!DE schrieb:
Hehehe.
Ich kann es nicht oftgenug schreiben: WENN es eine Technologie gibt, WIRD sie misbraucht. Fakt.

Das problem sind nicht die, die die schwachstellen finden UND(!!!) melden, sondern die, die meinen halbare lösungen von Stackoverflow und GitHub zu copypasten, dann als eigenen Programkot zu verzapfen und die Betaphase auf dem Rücken des Kunden auszutragen.


Kurz an alle chiefs, Executives, Leaders und MGMT Levels: Holt fähige Leute, bezahlt die entsprechend und TESTET eure Software! Nein! Nicht dass sie nicht abstürzt, sondern greift sie AKTIV an. Denn das werden andere tun. Heuert Penetration tester an und kommt einfach mal drauf klar, dass die euch NICHT bloßstellen wollen, sonder EUER Produkt sicherer = BESSER machen wollen.

Qualität hat ihren preis. Kostensenkung auch. Was ist euch langfristig lieber?
Zum Vergrößern anklicken....
Ich wollte es schon schreiben... so oder so ähnlich. Die Welt ist in nie da gewesener Weise vernetzt, es werden von so vielen Personen Daten gespeichert, vernetzt, verknüpft... man kann kaum eine App oder ein Programm ohne Anmeldung und Angabe mindestens vieler persönlicher Daten nutzen. Hat man jemanden irgendwo geknackt, klaut man dem meistens nicht nur irgendwelche Spielfortschritte, sondern potentiel die Existenz.

Ein Auto ist ( wie wir in der Fahrschule lernen) eine tödliche Waffe, klar ist es verlockend, sowas zu hacken. Und dann weiter gedacht, Nutzer meldet sich im E Auto für den Autopiloten an, mit allem drum und dran, weil man will ja bequem von unterwegs über die eingebauten Apps Überweisungen tätigen oder vielleicht auch persönliches auf eine Cloud hoch laden... bei all diesen Möglichkeiten muss eine gesunde Skepsis vorhanden sein, aber die meisten haben die einfach nicht.

Final muss man einfach sagen, die Menschen sind gerade im Bezug auf das Netz immer noch extrem unbedarft und leichtsinnig und das macht es so attraktiv. Und daher.. ja!!! Jedes Unternehmen sollte massiv in entsprechende Sicherheitstechnologien investieren und entsprechende Leute gehören verdammt gut bezahlt. Die Risiken durch DAUs ist extrem ( das meine ich nicht mal böse) und dem muss man vorbeugen.. viele wissen es entweder nicht besser oder es muss halt alles besonders einfach sein
 
silverSl!DE schrieb:
Hehehe.
Ich kann es nicht oftgenug schreiben: WENN es eine Technologie gibt, WIRD sie misbraucht. Fakt.

Das problem sind nicht die, die die schwachstellen finden UND(!!!) melden, sondern die, die meinen halbare lösungen von Stackoverflow und GitHub zu copypasten, dann als eigenen Programkot zu verzapfen und die Betaphase auf dem Rücken des Kunden auszutragen.


Kurz an alle chiefs, Executives, Leaders und MGMT Levels: Holt fähige Leute, bezahlt die entsprechend und TESTET eure Software! Nein! Nicht dass sie nicht abstürzt, sondern greift sie AKTIV an. Denn das werden andere tun. Heuert Penetration tester an und kommt einfach mal drauf klar, dass die euch NICHT bloßstellen wollen, sonder EUER Produkt sicherer = BESSER machen wollen.

Qualität hat ihren preis. Kostensenkung auch. Was ist euch langfristig lieber?
Zum Vergrößern anklicken....

Ja, was soll ich dazu schreiben. Wir machen regelmässig Securityaudits und was wir da so alles mitbekommen ist der Wahnsinn. Da ich für unsere WAF (Web Application Firewall) verantwortlich bin, lasse ich schon vorher diverse Schwachstellenscanner laufen und sichere das was die WAF hergibt ab. Diese hat einen learning Mode und nach dem versuche ich nach besten Wissen und Gewissen alles so sicher wie möglich zu machen.

Das führt oft dazu, dass gewisse, nach extern exponierte Software-/Webprodukte gar nicht mehr funktionieren. Da setzt nämlich das Backend diese Schwachstellen als Bedingung vorrauss setzt. Das krasse dabei, es sind zum Teil namhafte Hersteller, welche Klartext, SQL Injection, schwache Cipher, uralte Algorithmen (teils gar noch SSL V3) und vieles mehr fix verdrahtet haben. Das ist teilweise erschreckend was einem hier für viel Geld und wahrscheinlich wenig Aufwand angeboten wird. Das trifft auch auf MS oder namhafte ERP Produkte zu.

Und nun soll das alles flächenddeckend, in einer Industrie funktionieren, welche wahrscheinlich noch mehr Kostendruck hat? Nein, ich hasse diese Onlinekacke in Autos, die autonomen Assis und vieles mehr. Man schafft es seitens Microsoft gewisse Bugs in Office Produkten auch nach Jahrzehnten nicht abzuschaffen und in etwas so dahingeschisses soll ich mich ruhigen Gewissens rein setzen und dem blind vertrauen. Mir graut es vor der Zukunft.
 
!!!ACHTUNG!!!
KEINE ZUGESCHICKTEN ODER ZUM DOWNLOAD ANGEBOTENE OneNote Dateien annehmen, runderladen oder gar öffnen!

Wie evtl der ein oder andere mitbekommen hat bin ich seltener hier online. Hintergrund ist eine landesweite aktive Phishing-Welle wo ich/wir mitten in der Abwehr bin/sind.

Meldung von unserem Deutschen Forschungsnetz:

DFN-CERT@DFNCERT
Nicht nur #Qakbot, sondern auch viele andere Hackergruppen versenden seit einigen Tagen schädliche #OneNote-Dokumente (Dateiendung: .one) als Mail-Anhang. Vielleicht ist es eine gute Idee, entsprechende .one-Attachments zu blockieren?
Zum Vergrößern anklicken....

https://twitter.com/x/status/1621183153464287239
View: https://twitter.com/DFNCERT/status/1621183153464287239?t=EBWY7d5X8dzi_2xg1tA0bg&s=19



WICHTIG zu wissen: Oft werden echte Emails aus gehackten Mailkonten als Bezug verwendet und fordern auf einen Link zu klicken, der dann die entsprechende Datei herunterladen lässt. NICHT DEN LINK KLICKEN! ruft den absender an und fragt nochmal nach und vor allem darauf achten, WER der TATSÄCHLICHE Mailabsender ist.
 
Better save than sorry.
Das ist das problem. Es reicht halt ein durcheskalierter Angriff, ein unachtsamer user, der stressbedingt einfach nur schnell noch ein Vorgang abwickeln will...
Unsere größte sorge ist aktuell, dass jemand das anklickt und aus falscher Scham NICHT MELDET.

Das schlimmste ist wirklich die ungewissheit, ob es jemand nicht doch ausgeführt hat und aus angst es nicht meldet.

Wenn also jemand was anklickt: BITTE, BITTE sofort alle stecker ziehen, wlan aus und den IT-verantwortlichen melden.
 
silverSl!DE schrieb:
Better save than sorry.
Das ist das problem. Es reicht halt ein durcheskalierter Angriff, ein unachtsamer user, der stressbedingt einfach nur schnell noch ein Vorgang abwickeln will...
Unsere größte sorge ist aktuell, dass jemand das anklickt und aus falscher Scham NICHT MELDET.

Das schlimmste ist wirklich die ungewissheit, ob es jemand nicht doch ausgeführt hat und aus angst es nicht meldet.

Wenn also jemand was anklickt: BITTE, BITTE sofort alle stecker ziehen, wlan aus und den IT-verantwortlichen melden.
Zum Vergrößern anklicken....

Bei mir geht es, nutze NordVPN

1675513550206.png
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten