Sicherheitslücke Gefunden-Was nun?

Es gibt 46 Antworten in diesem Thema. Der letzte Beitrag () ist von Mono.

    Sicherheitslücke Gefunden-Was nun?

    Hey
    Ich hab mir nur so zum spaß ein ziemlich wichtiges programm(einen edu-"RAT") von unserer schule angesehen(ich werd jetzt nicht sagen wie- ihr werdet es euch denken können), und einige schwehrwiegene sicherheits "lücken"(wohl eher löcher) gefunen, wie z.b:
    • Vordefinierte "verschlüsselungskeys"
    • Pseudo verschlüsselung
    • Vordefinierte passwörter (Ungeschützt)
    • TCP protokolle
    • Keine art von schutz
    Die oben genannten lücken führen dazu, dass jeder x beliebige im netz eines solchen programms innerhalb von sekunden alle pcs übernehmen, steuern, sabotieren kann, ohne irgendein passwort. Ausserdem bekommt man so nebenbei ein admin account aus der ini datei.
    Meine frage an euch währe, wie ich jetzt weiter vorgehen sollte, ich meine unsere Schule hat denen 900€ einrichtung gezahlt zusätzlich 90€/monat, ich finde soetwas eine frechheit, dass man das nichteinmal für das geld etwas sicher machen könnte. Ausserdem ist die Software auf 200+ schulen installiert.(was ich so erfahren habe)
    Oder sollte ich mich ruhig verhalten?
    (Firmenname, Software und Schule werden hier aus persönlichen schutz weggelassen :P )
    Mfg
    Wer Rechtschreibfehler findet darf sie behalten :)

    Schon gemacht - vor einigen monaten(~4monate).
    Der "Hersteller" sagte er würde ein update rausbringen, bis jetzt nichts passiert.
    Ich meine, er "programmiert" das ja, - ihm müssen die fehler auffallen, nicht den kunden! Und wenns was gibt, sollte, nein muss es spätestens(!) eine woche danach gefixt sein.
    Persönlich hatte ich das gefühl, es hätte ein 3 jähriger besser hinbekommen, da alles so aus sah wie c&p- nicht mehr
    Wer Rechtschreibfehler findet darf sie behalten :)

    Willst du es wegzaubern oder was? Hab bei uns was ähnliches, hatte aber 1 Jahr Spaß dran bevor jemand gemerkt hat wieso die PCs der Lehrer andauernd ausgehen. Wenns dem Schulleiter wayne ist, dann isses halt so. Kannst du nix machen.

    Grüße
    "Life isn't about winning the race. Life is about finishing the race and how many people we can help finish the race." ~Marc Mero

    Nun bin ich also auch soweit: Keine VB-Fragen per PM! Es gibt hier ein Forum, verdammt!

    Währe es ev. erlaubt einen exploit eintrag bei einer exploitdb zu schreiben? (und ev zu verkaufen)
    Vielleicht würde es ja die mentalität des herstellers etwas ändern, wenn ihm nicht nur eine, sondern 200+ schulen im nacken sitzen.

    Was mir eigendlich noch so aufgefallen ist:
    Die software hat ein eingebautes testmodul, welches man ganz einfach aushebeln kann. Dann währen ja alle tests und prüfungen die mit diesem stück mist gemacht wurden, ja eigendlich irgendwie ungültig oder?
    Wer Rechtschreibfehler findet darf sie behalten :)

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von „WeLoveBurgers“ ()

    Also wenn du so was exploiten würdest oder sowas verkaufst, bewegst du dich m.M.n. Auf illegalem territorium. Gibt ja iwo im dt. Gesetz diesen hackerparagraphen.
    und zu dem testmodul: inwieweit wurden über diese modul owelche tests abgehalten?
    In general (across programming languages), a pointer is a number that represents a physical location in memory. A nullpointer is (almost always) one that points to 0, and is widely recognized as "not pointing to anything". Since systems have different amounts of supported memory, it doesn't always take the same number of bytes to hold that number, so we call a "native size integer" one that can hold a pointer on any particular system. - Sam Harwell

    Übrigens einer trägen Schul-Verwaltung kann man manchmal erstaunlich auf die Sprünge helfen, wenn man über die Elternschaft geht.

    Oder vlt. Chaos ComputerClub kontakten.

    Aber das Thema hier wird eh bald zugemacht, oder die Moderation wird vmtl. zumindest nochmal drauf hinweisen, weil es geht in Richtung Rechtsberatung, und Rechtsberatung in irgendeiner Form w#re glaub tatsächlich, was du brauchst. Vor allem, wenn du dich für die Firma als Person identifizierbar machst.

    Andererseits interessiert wären wir schon, wie's wohl weiter geht mit der Geschichte :)

    @RushDen sofern man nichts veröffentlicht ist es mW erlaubt privat alles zu decompilen, wenn die AGB etwas anderes sagt ist diese in Deutschland nicht rechtskräftig. Alles was daran also illegal ist, ist, dass er es an der schule gemacht hat.
    Und sofern er sich nur beim Hersteller meldet dürfte das kein Problem sein.
    Ich wollte auch mal ne total überflüssige Signatur:
    ---Leer---

    WeLoveBurgers schrieb:

    Und wenns was gibt, sollte, nein muss es spätestens(!) eine woche danach gefixt sein.

    Ich hab vor einem Monat Snapchat einen Bug reportet und der wurde auch noch nicht gefixed. Des ganze muss ja auch getestet werden. Außerdem kann ja auch sein sie finden wegen dir noch weiter Sicherheitslücken die dann auch alle gepatcht werden müssen.
    ​Smartnotr - ein intelligentes Notizprogramm
    zum Thread

    @jvbsl

    da wär ich mir nicht sicher, schau mal hier: dejure.org/gesetze/UrhG/69e.html

    Es darf nur ohne Zustimmung dekompiliert werden, unter folgenden Bedingungen:

    1. Die Handlungen werden von dem
    Lizenznehmer oder von einer anderen zur Verwendung eines
    Vervielfältigungsstücks des Programms berechtigten Person oder in deren
    Namen von einer hierzu ermächtigten Person vorgenommen;
    oder
    2. die für die Herstellung
    der Interoperabilität notwendigen Informationen sind für die in Nummer 1
    genannten Personen noch nicht ohne weiteres zugänglich gemacht;

    Der 1. Punkt ist hier nicht gegeben, da die Schule der Lizenznehmer ist und diese auch keine Erlaubniss erteilt hat.
    Beim 2. Punkt weiß Ich leider nicht was Interoperabilität's Gründe sein sollen.

    @Radinator Testmodul: Soll so etwas sein wie eine umgebung für schularbeiten, damit keiner ins internet kann, der lehrer das überwachen kann, usw..
    @PPR-Dev Vll mach ich das sogar :)
    @ErfinderDesRades Der ccc ist nicht gerade soo aktiv, bzw hab ich noch keine wege gefunden mit denen einfach in kontakt zu treten. Und ja ich werd euch auf dem laufenden halten,wenn das thema nicht geschlossen wird und sich was neues ergibt.
    @Manawyrm Ja, ich werd mir das mit den cve's näher ansehen, brauch da ev. hilfe(vom ccc vll wenn ich mich bei denen irgendwie melden kann)
    @RushDen Wen juckts? Die haben weder eula, noch agbs auf ihrer offiziellen webseite, auch im programm ist nichts davon zu finden. Also werden die wohl nichts dagegen haben.
    @jvbsl Stimme dir zu
    @Mokki Das problem ist, dass die ganze Software müll ist, wie gesagt ist das ganze nur zusammen c&p worden, nichts optimiert oder so, ich finde sowas echt zum kotzen, wenn leute noch mit so einem hauffen schei** noch geld verdienen.Sowas schimpft sich programmierer(dann müsste ich ja der programmier-Gott sein)
    Mfg
    Wer Rechtschreibfehler findet darf sie behalten :)

    Wie gesagt die Sache ist heikel, und du kannst dich bei denen höchst unbeliebt machen - so sehr, dass sie dir zwar keinen Killer auf den Hals hetzen, aber mit Juristen musste rechnen.

    Es ist ja existenz-bedrohend für sone Hurgler-Firma, wenn publik wird, was sie für ein fahrlässiges Zeugs verbrechen.

    Und dass sie nicht fixen, kann auch einfach an Unfähigkeit liegen.
    Also wenn sie das Produkt erstmal so gecodet haben, dann arbeiten da offsichtlich Leute, die so coden - schlechter Code kommt halt von schlechten Programmierern.

    Aber kein Grund, die Sache auf sich beruhen zu lassen, denn Hurgler-Firmen sind gemeingefährlich - sie stellen eine Gefahr dar für alle ihre direkten und indirekten Kunden.

    @RushDen in diesem tollen Paragraphen geht es ja um die Dekompilierung für ganz andere Zwecke, aber rein um zu Wissen, was ein Programm auf seinem Computer veranstaltet, darf man nur zur reinen Informationsgewinnung dieses Dekompilieren, ansonsten wäre der Datenschutzmissbrauch der Firmen ja noch viel einfacher, als er eh schon ist.
    Leider hab ich im Moment nichts um dies zu belegen und auch nicht wirklich die Zeit dazu, d.h. die Information ist nur aus dem Gedächtnis, das sich natürlich irren kann und die Quelle, ebenso^^
    Ich wollte auch mal ne total überflüssige Signatur:
    ---Leer---

    @jvbsl Trotzdem danke für die info, vll finde ich da was :D
    Dass es einen eigenen paragraphen gibt für dekompilieren hat mich stuzig gemacht, ich dachte immer dass das internetz für die neuland sei, aba das bezieht sich wohl nur auf Mutti :D
    Wer Rechtschreibfehler findet darf sie behalten :)

    WeLoveBurgers schrieb:

    Das problem ist, dass die ganze Software müll ist, wie gesagt ist das ganze nur zusammen c&p worden, nichts optimiert oder so, ich finde sowas echt zum kotzen, wenn leute noch mit so einem hauffen schei** noch geld verdienen.Sowas schimpft sich programmierer(dann müsste ich ja der programmier-Gott sein)
    So sehe ich das auch. Einerseits wird dauernd über Fachkräftemangel gejammert, andererseits wird jede noch so motivierte Person wegen ungenügenden Schulleistungen/Schulabschlüssen abgewiesen obwohl dies nie ein Problem bei der Ausbildung darstellen sollte.

    Meiner Meinung nach solltest du das ganz einfach machen.

    1. Mail an den CCC, an die Hauptverteilerstelle oder irgendwie so ähnlich, siehe deren Website unter Kontakt/Impressum.
    2. Mail an den Bund der Steuerzahler, siehe Website. Die können da auch was reissen, denn der Hersteller kassiert Geld aus Steuern, für mehr als schlampige Leistung.
    3. Mail an den Hersteller, aber nicht auf das wiederholte Melden dieser Lücke eingehen, sondern nur ganz normal melden und blöd stellen. Wenn die dir zurückschreiben, dass sie nichts davon wussten, ist da irgendwas schief gelaufen.

    Mokki schrieb:

    Warum dürfen dann eig. Virenscanner dekompilieren?
    Die dekompilieren doch nichts oder? Die Virenscanner haben normal nur "Signaturen" über bestimmte Dateien, sie entpacken höchstens etwas um herauszufinden ob nicht etwas "unerlaubtes" zu finden ist.

    Mal eine dumme Frage, aber kann man Daten per Perl-Skript (.pl in der URL) oder asp.-net clientseitig, "verschlüsselt" übertragen ohne eine verschlüsselte Verbindung zu haben? In einer Firma habe ich so etwas gefunden und würde das gerne melden. Denn es wird behauptet, die Daten werden "verschlüsselt übertragen".
    M.f.G. Nitro-X
    Gute Spieler cheaten schlecht! 8-)
    Button1.Visible = False
    If Button1.Click then Shell ("C:\brain.exe")
    end if

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von „Nitro-X“ ()

Facebook
Telefonspende