Suche innerhalb des Archivs / Search the Archive All words Any words

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[infowar.de] Re: Check Point dementiert Kim Schmitz' Hack von bin Ladens Konten



Infowar.de, http://userpage.fu-berlin.de/~bendrath/liste.html
-------------------------------------------------------------

Hallo,

kurze Anmerkung dazu. Ich beschäftige mich beruflich mit Internet Security
und teilweise auch mit Checkpoint Firewall-1 im speziellen.

Kein mir bekanntes Software-Produkt ist vollkommen fehlerfrei. Bei einer
Komplexität von z.T. mehreren Millionen Code-Zeilen auch wirklich kein
Wunder.
Die im unten angeführten Link aufgezeigten Sicherheitslücken der Checkpoint
Firewall sind zu vernachlässigen, wenn grundlegende Konzepte und
Verfahrensweisen beim Einsatz von Firewallinstallationen eingehalten
wurden. Eine Installation, welche sich nur auf ein Produkt verlässt und
dieses noch schlecht konfiguriert ist, ist einfach fahrlässig.

Um nun die Sicherheit / Unsicherheit einer Online-Applikation einer Bank
beurteilen zu können, ist es zwingend notwendig, die komplette vorhandene
Infrastruktur zu kennen und zu verstehen. Nur dann kann man das
Gesamtsystem bewerten. Eine Bank mit nur einer Firewall als Sicherung
sollte man sofort wegen grober Fahrlässigkeit verklagen. (übrigens
interessante Idee: wenn mein Account bei so einer Bank missbraucht
(gehackt) wird, könnte ich dann auf Schadenersatz klagen ?)

Berichte über diesen Hack haben mich auch beunruhigt. Ich bin meiner (auch
betroffenen Bank) sofort auf die Füsse getreten, mit mehr Info's
rauszurücken, aber da kommt natürlich nur blabla. Und das ist der Punkt.
Keine Bank wird jemals ihre Sicherheitssysteme offenlegen. Zusätzlich wird
wohl auch keine Bank jemals zugeben, dass bei ihr eingebrochen wurde. Und
hier macht sich bei mir Resignation breit, weil ich keine effiziente
Möglichkeit kenne, mir eine Online-Bank nach bestimmten
(Sicherheits-)kriterien auszuwählen.

Kleine Geschichte dazu: ich habe vor ca. 3 Jahren ausversehen (!) eine
Versicherung "gehackt". Wir waren beim Ausprobieren der Checkpoint Software
und haben bei dieser Versicherung eine schöne Supportseite zu CP gefunden.
Dann wollte ich meinem Kollegen etwas zeigen und habe einen VPN remote
access auf den Versicherungsserver probiert, um das Anmeldungsfenster zu
bekommen. Naja - und dann ist das Schlimme passiert. Um eine fehlerhafte
Anmeldung zu erzeugen (das war mein Ziel) habe ich den Benutzernamen "test"
und das Passwort "test" verwendet. Und schwupps - warn wir drin. Wir haben
mit riesigen Augen vor dem Rechner gesessen und konnten es echt nicht
glauben was gerade passiert war. Voller Zugriff, alle internen Rechner,
etc. Das muss man sich mal vorstellen !!!  Ein Anruf beim Versicherer hat
erst ein wenig Ungläubigkeit geweckt aber dann doch zu einer schnellen
Reaktion geführt.

Dies ist wohl ganz klar kein Software Fehler sondern unendlich große
Dummheit in der Konfiguration (grobe Fahrlässigkeit?). Kann das auch bei
Banken passieren ?

Gruß,
Oliver




                                                                                                                       
                    info                                                                                               
                    <info -!
- safer-hex -
 c        To:     infowar -
 de -!
- infopeace -
 de                                           
                    om>                      cc:                                                                       
                    Sent by:                 Subject:     [infowar.de] Re: Check Point dementiert Kim Schmitz' Hack    
                    bendrath -!
- zedat -
 fu        von bin Ladens Konten                                                     
                    -berlin.de                                                                                         
                                                                                                                       
                                                                                                                       
                    05.10.2001 18:41                                                                                   
                                                                                                                       
                                                                                                                       




Infowar.de, http://userpage.fu-berlin.de/~bendrath/liste.html
-------------------------------------------------------------
Also sprach Ralf Bendrath um 14:07 Uhr +0200 am 04.10.2001:
>
>Für Check point selber habe ich allerdings keine konkreten
>Informationen - weiss jemand mehr?

ich kann dazu nur sagen, dass es m.w. nach keine kommerzielle
Firewall gibt, von der so viele sicherheits-lücken bekannt sind, wie
bei check point's FW-1, siehe
<
http://www.camrin.net/cgi-bin/cnsn/search.cgi?category=all&keyword=checkpoint
>.

daher ist der verweis auf eine schwachstelle in der FW-1 als einstieg
in den banken-rechner das plausibelste an dieser ganzen geschichte
überhaupt...

Dre.

--

[  C  A  M  R  I  N    N  E  T  W  O  R  K  ]
the  jrpamc.com internet information services
[jrpamc -!
- camrin -
 net] : [http://www.camrin.net]

---------------------------------------------------------------
Liste verlassen:
Mail an infowar -
 de-request -!
- infopeace -
 de mit "unsubscribe" im Text.





---------------------------------------------------------------
Liste verlassen:
Mail an infowar -
 de-request -!
- infopeace -
 de mit "unsubscribe" im Text.