Mailinglist Archive: opensuse-de (977 mails)
| < Previous | Next > |
Re: massenhaft versuche "einzubrechen" was kann ich machen
- From: "Erik P. Roderwald" <suse@xxxxxxxxxxxx>
- Date: Fri, 30 Oct 2009 10:03:11 +0200
- Message-id: <200910300903.11454.suse@xxxxxxxxxxxx>
Hallo zusammen,
On Donnerstag 29 Oktober 2009, Heinz Diehl wrote:
Das ist richtig.
Das ist so nicht richtig.
Nein, das Zitat passt nicht. Zum einen sprechen wir hier _nicht_
über den Hardwarezugriff (physical access), sondern über einen
Zugriff via Netz. Hatte ein Angreifer wirklich Zugriff auf die
Hardware, dann wird es sehr viel schwerer, einen Angriff zu
entdecken. Zum anderen müssten wir alle Server sofort
herunterfahren, wenn das tatsächlich so wäre. Natürlich kann ich
mit verschiedenen Maßnahmen zumindest den Verdacht erhärten,
dass ein Angriff stattgefunden hat bzw. dass etwas auf dem
Server nicht stimmt. Wenn ich diesen _Verdacht_ habe, dann
allerdings stimmt der Satz wieder. Es bleibt nur die
Neuinstallation, da ich mir nie wirklich sicher sein kann, alles
gefunden zu haben.
Cracker kochen auch nur mit Wasser und müssen sich auch an die
Vorgaben des Systems und die Netzwerkspezifikationen halten. Ich
kann zwar theoretisch alles manipulieren, manipuliere ich aber
z. B. den TCP/IP-Stack zu sehr, dann funktioniert das Netz nicht
mehr und mein gekaperter Server wird nutzlos. Manipuliere ich
auf Ebene des Ethernets, dann funktioniert das Netz auch nicht
mehr richtig. Wenn ich also direkt z. B. die Ethernetpakete
mitlese, dann werde ich, sofern ich weiß, wonach ich suchen
muss, auch zumindest den Verdacht erhärten können, dass etwas
nicht stimmt. Wie gesagt: Der Verdacht reicht, um neu zu
installieren.
Im Übrigen sind die meisten Cracks relativ leicht mit den
genannten Maßnahmen zu entdecken. Sie wollen ja was mit dem
Server anstellen. Beispielsweise hat mal jemand erfolgreich
versucht, mir eine Filmtauschbörse unterzuschieben. Den Spuk
habe ich nach acht Stunden bei der täglichen Routineüberprüfung
mit netstat und dem mc entdeckt. Ein Port zu viel offen und
Gigabytes Filmdaten in einem Unterverzeichnis
von /srv/www/htdocs. Also Server vom Netz nehmen und via
serieller Konsole neu installieren. Glücklicherweise war das
kein von mir installierter Server und somit kein
Garantiefall. ;)
Liebe Grüße
Erik
--
"Wenn Leute sich in einer Sache wie dem Zigarrenrauchen zu echten
Kennern entwickeln, dann muß da ein bißchen mehr dran sein als
ein bloßer Reiz für Gaumen und Augen.
Man kann viel Freude an solchen Dingen haben, wenn man bereit
ist, ein bißchen Zeit zu investieren, um sie richtig
kennenzulernen, auch wenn es nicht gleich zur Hauptsache im
Leben wird."
Francis Ford Coppola
Erik P. Roderwald * Uhlenhoffweg 18 * 21129 Hamburg
Telefon: +49 (0)40 8510 3150 * Fax: +49(0)40 8510 3148
http://www.zigarren-rollen.de
http://www.roderwald.de
http://blogs.roderwald.de
http://forum.roderwald.de
http://twitter.com/erikrode
--
Um die Liste abzubestellen, schicken Sie eine Mail an:
opensuse-de+unsubscribe@xxxxxxxxxxxx
Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken
Sie eine Mail an: opensuse-de+help@xxxxxxxxxxxx
On Donnerstag 29 Oktober 2009, Heinz Diehl wrote:
Wenn eine Maschine "gehackt" wurde, dann ist sie unter fremder
Kontrolle.
Das ist richtig.
Alle genannten Massnahmen sind vergeblich.
Das ist so nicht richtig.
Ich zitiere hier Werner Koch, wenngleich er das Zitierte aus
einem ganz anderen Grund und Sachverhalt geschrieben hat,
uebertragen passt es doch:
"Please repeat with me:
There is no way to avoid or detect backdoors if
physical access to the machine has ever been granted."
Nein, das Zitat passt nicht. Zum einen sprechen wir hier _nicht_
über den Hardwarezugriff (physical access), sondern über einen
Zugriff via Netz. Hatte ein Angreifer wirklich Zugriff auf die
Hardware, dann wird es sehr viel schwerer, einen Angriff zu
entdecken. Zum anderen müssten wir alle Server sofort
herunterfahren, wenn das tatsächlich so wäre. Natürlich kann ich
mit verschiedenen Maßnahmen zumindest den Verdacht erhärten,
dass ein Angriff stattgefunden hat bzw. dass etwas auf dem
Server nicht stimmt. Wenn ich diesen _Verdacht_ habe, dann
allerdings stimmt der Satz wieder. Es bleibt nur die
Neuinstallation, da ich mir nie wirklich sicher sein kann, alles
gefunden zu haben.
Wenn die Maschine "gehackt" wurde, und der Eindringling
Zugriff hat/hatte, dann soltest du dir im Klaren sein, dass er
alles manipulieren kann. Du wirst keine Chance haben, das zu
entdecken.
Cracker kochen auch nur mit Wasser und müssen sich auch an die
Vorgaben des Systems und die Netzwerkspezifikationen halten. Ich
kann zwar theoretisch alles manipulieren, manipuliere ich aber
z. B. den TCP/IP-Stack zu sehr, dann funktioniert das Netz nicht
mehr und mein gekaperter Server wird nutzlos. Manipuliere ich
auf Ebene des Ethernets, dann funktioniert das Netz auch nicht
mehr richtig. Wenn ich also direkt z. B. die Ethernetpakete
mitlese, dann werde ich, sofern ich weiß, wonach ich suchen
muss, auch zumindest den Verdacht erhärten können, dass etwas
nicht stimmt. Wie gesagt: Der Verdacht reicht, um neu zu
installieren.
Im Übrigen sind die meisten Cracks relativ leicht mit den
genannten Maßnahmen zu entdecken. Sie wollen ja was mit dem
Server anstellen. Beispielsweise hat mal jemand erfolgreich
versucht, mir eine Filmtauschbörse unterzuschieben. Den Spuk
habe ich nach acht Stunden bei der täglichen Routineüberprüfung
mit netstat und dem mc entdeckt. Ein Port zu viel offen und
Gigabytes Filmdaten in einem Unterverzeichnis
von /srv/www/htdocs. Also Server vom Netz nehmen und via
serieller Konsole neu installieren. Glücklicherweise war das
kein von mir installierter Server und somit kein
Garantiefall. ;)
Liebe Grüße
Erik
--
"Wenn Leute sich in einer Sache wie dem Zigarrenrauchen zu echten
Kennern entwickeln, dann muß da ein bißchen mehr dran sein als
ein bloßer Reiz für Gaumen und Augen.
Man kann viel Freude an solchen Dingen haben, wenn man bereit
ist, ein bißchen Zeit zu investieren, um sie richtig
kennenzulernen, auch wenn es nicht gleich zur Hauptsache im
Leben wird."
Francis Ford Coppola
Erik P. Roderwald * Uhlenhoffweg 18 * 21129 Hamburg
Telefon: +49 (0)40 8510 3150 * Fax: +49(0)40 8510 3148
http://www.zigarren-rollen.de
http://www.roderwald.de
http://blogs.roderwald.de
http://forum.roderwald.de
http://twitter.com/erikrode
--
Um die Liste abzubestellen, schicken Sie eine Mail an:
opensuse-de+unsubscribe@xxxxxxxxxxxx
Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken
Sie eine Mail an: opensuse-de+help@xxxxxxxxxxxx
| < Previous | Next > |