Ein weiterer Grund Open Source zu verwenden, möchte nicht wissen, was alles so in Windows eingebaut ist. Das MS solche Praktiken verwendet haben sie ja schon mit dem Media Player bewiesen... Tschau, Thomas
Auszug aus CT 23/99: "Die Illusion, beim Surfen im Web anonym zu bleiben, verflüchtigt sich zusehends. Tests im c't-Labor ergaben, dass der RealPlayer von RealNetworks und Microsofts Media-Player bei jeder Übertragung von Multimedia-Dateien eine ID-Nummer übermitteln, die den Rechner des Anwenders eindeutig identifiziert." Damit ist es möglich Profile von Surf & Multimedia Gewonheiten bestimmter Benutzer zu erstellen. Bei registrierten Benutern sogar in Verbindung mit Name, Adresse, Email... na ja, das ist lange her und laut MS inzwischen entfernt... hat auch lange nicht die Qualität von dem oben geschilderten Fall. tschau, Thomas
ein weiteres beispiel: microsoft word (97?) hat dokumente mit der mac-adresse einer im rechner verbauten netzwerkkarte abgestempelt. da diese adresse weltweit einmalig ist, liess sich ein word-dokument also fast immer einem bestimmten rechner(=benutzer) zuordnen. ist aber schon ne weile her und wurde sicherlich behoben, als es bekannt wurde.
MAC-Adressen sind weltweit nicht einmalig. Firmen die Karten herstellen bekommen gewisse Bereiche zugewiesen und vergeben die dann intern. Kann schon vorkommen, daß wenn du 2 Karten von einer Firma hast, daß sie die gleiche MAC-Adresse besitzen. Is zwar unwahrscheinlich, kam aber schon einige male vor.
Dreckige Sache das.. Die Backdoor ist ein User mit Passwort, das man Source finden kann. Allerdings laesst sich der User wohl nicht loeschen. Das bedeutet, dass seit 1992-94 quasi jeder, der User/Passwort kannte sich mit absoluten Rechten in jede Interbase Daten- bank einhaengen konnte.. DRECKIG
Ich bin entsetzt ueber solche Praktiken, nicht dass ich nicht glauben wuerde, dass andere das andere das nicht auch machen, aber eine Sauerei bleibt es allemal!!
etwas offTopic: Kennt jemand eine gute web Seite die sich mit solchen sachen beschäftigt(Schwerpunkt MS Produkte). Würde mich brennent dafür interessieren!
CIA NSA KGB und BND alles blutige Anfänger,Schlapphüte eben, keine Ahnung und zu teuer. Die müssen erst noch lernen wie man mit der Informationsbeschaffung auch noch Geld verdienen kann. Mein Tip an den Bund BND abschaffen Softwarefirma kaufen frei Software verbieten.
Von Sven Benecke am Do, 11. Januar 2001 um 20:19 #
Hi Bephep
CIA NSA KGB und BND, verbieten und Softwarefirma Kaufen ?? Nee Das bringts nicht. Was glaubst Du denn wie Viele der Programmierer und leitenden Angestellten bei Softwarefirmen zwei Gehälter beziehen ???
Zum Media Player: Microsoft hat da irgendwas eingebaut, dass an ziemlich viele firmen ein verzeichnis der auf der platte liegenden mp3s schickt. (illegale natürlich einbegriffen)
Ach, was soll's denn? Wer nicht ausschließlich Freie Software einsetzt, muss eben mit sowas rechnen. Wer Windows einsetzt wird sich daran eh nicht stören, da gehört es ja offenbar schon zum guten Ton, die Anwender auszuspionieren. Also mal ehrlich, Borland hätte ich das zuletzt zugetraut.
dafuer kann jeder borland mitarbeiter auch alleine verantwortlich gewesen sein... borland haette die datenbank doch sicher nicht open source veroeffentlicht, wenn die davon gewusst haetten?
Also ich als gerne Borland User (Ok, ich oute mich als Delphi also Windows Programmierer ) finde das nicht sooo schlimm, da Interbase fast nur im Intranet eingestzt wird. Und mit einer kleinen IPChains Regel ist das ganze auch schnell Behoben. Man sollte wieso NIE von jeder IP Zugriff auf die Ports des Rechners zulassen. Wer das mach tist selbst Schuld. Gut eingerichtete Server trifft das doch garnicht. Übrigens: Man muß wohl auch den genauen Pfad und Namen der Datenbank Dateien wissen, sonst bringt das nichts. Einfach mal das Netz Scannen wird also keinen Nutzen haben.
Also ich als gerne LOTOS-User finde das nicht sooo schlimm, da meine (mit formalen Methoden bewiesen correctness-)Server nur in der Hochsicherheitszone eigesetzt werden. Und mit 3 to Stacheldraht (und einem coderewrite) ist das ganze auch schnell Behoben. Man sollte (so)wieso seine Server (ab)strahlungssicher 200m unter der Erde versteckt halten. Wer dass nicht macht ist selbst schuld. Gut einbunkertee Server trifft das doch garnicht. Übrigens: Bei unseren Servern muss bei der Zugangkontrolle die Netzhäute genau mit der unserer Chefs übereinstimmen. Einfach mal ein/zwei/drei Handgranaten reinwerfen wird also keinen Nutzen haben.
feldsee: Mosh überzeichnet nur, was LH vor ihm ernsthaft geschrieben hat. Und da muss ich sagen, dass ich Mosh's (implizite) Aussage voll unterstütze.
Letzten Endes sind alle Sicherheitsmassnahmen, die LH anführt nur Krücken, da die eigentlich zu schützenden Bereiche fast nie mit Sicherheit im Hinterkopf designt wurden. ipchains? Nur wegen des unsicheren/vertrauensseligen TCP/IP notwendig.
Nur im Intranet? Nun, auch Intranets sind nicht Hacker-sicher. Ist erst mal einer drin, steht die Datenbank also offen. Toll, was? Und nein, das betrifft nicht nur Schlamper-SysAdmins, sondern auch Leute, die was von ihrem Fach verstehen. Keiner ist unfehlbar, keiner kann alles wissen.
Dementsprechend muss sich Borland hier einiges vorwerfen lassen.
Spark: Da hätte jeder Borland-Programmierer für verantwortlich sein können? Ich hoffe nicht! Wenn jeder unbeachtet/unbegründet am Code von Interbase irgendwelche Änderungen durchführen dürfte, würde ich der Datenbank meine Daten niemals anvertrauen. Und bei jedem vernünftigen Code-Audit hätte eine solche Backdoor auffallen müssen. Nee nee, entweder war die Backdoor gewollt, oder Borland hat ein mieses Software-Engineering. So oder so geht's nicht gut für Borland aus.
Meine Ausage war keineswegs übertrieben, oder hast du einen Mysql Server im Internet zu stehen der jeden Tugriff erlaubt (Username+Password vorrausgesetzt) egal von wo? Wenn ja viel spaß wenn die Daten mal weg sind ;)
Laut Heise ist die Backdoor übrigens gewollt gewesen, man wußte davon und wollte es auch so. Zumindest war das zu anfang so. Ob Borland das später mit wächselndem Führungsstab und Entwicklern immernoch wußte weiß ich nicht. Ist mir auch egal da es jetzt eh keine Gefahr mehr ist, Open Source sei dank. Ich würde gerne mal die Backdoors in anderes Software sehen, ich kann mir kaum Vorstellen das das ein Einzellfall ist
Nö, übertrieben war die Aussage nicht, aber halt 'ne andere Aussage als die von Mosh.
Ganz klar, für Sicherheit muss man selber sorgen, wenn man sie will. Und die zur Verfügung stehenden Mittel sind auch mittlerweile bekannt und jede Menge Informationen verfügbar. Aber absolute Sicherheit ist nicht möglich, da der Server sonst unbenutzbar wird. Um abzuwägen, wann ich sicher genug bin (bzw. mein Server), schaue ich mir die Schutzmechanismen an und sage irgendwann: "So, das reicht, mehr hindert an der Arbeit." Und wenn dann einer der Schutzmechanismen gar nicht wirkt, da eine Backdoor enthalten ist, muss auch mein Urteil über den "sicheren" Server falsch sein...
Ich finde es auch nicht gerade schön, aber im ggs. zum NSA-Hack ( bei MS) ist, wie oben bereits erwähnt, Interbase Opensource, und ich denke, dass Borland diese Hintertür nicht unbedingt zur eigenen Bereicherung oder fuer Spionage eingesetzt hat, hätte Borland dies gewusst, ist u.u. davon auszugehen, dass die Source ohne trapdoor herausgegeben worden wäre. Meiner bisherigen Erfahrung nach lassen einige Programmierer zum debuggen ( wesentlich bequemer) desöfteren einen festverkabelten User im Programm und vergessen Ihn dann wieder, herauszunehmen. Nicht schön, aber praxis.
Diese unerwünschten Aktivitäten bei Anwendungen wie Media-Player u.s.w. sind mir schon seit längerem ein Dorn im Auge. Gibt es eine Zusammenstellung im Internet wo beschrieben wird welche Programme diese Spinoage betreiben und was genau sie im Detail machen????
Tschau, Thomas
das interessiert mich ein wenig...
Was war/ist den da ? Kannst du mir das kurz erklären?
Wäre nett, danke
evi
"Die Illusion, beim Surfen im Web anonym zu bleiben, verflüchtigt sich zusehends. Tests im c't-Labor ergaben, dass der RealPlayer von RealNetworks und Microsofts Media-Player bei jeder Übertragung von Multimedia-Dateien eine ID-Nummer übermitteln, die den Rechner des Anwenders eindeutig identifiziert."
Damit ist es möglich Profile von Surf & Multimedia Gewonheiten bestimmter Benutzer zu erstellen. Bei registrierten Benutern sogar in Verbindung mit Name, Adresse, Email...
na ja, das ist lange her und laut MS inzwischen entfernt...
hat auch lange nicht die Qualität von dem oben geschilderten Fall.
tschau, Thomas
Vielleicht sollte ich doch mal wieder eine Zeitschrift lesen ;)
evi
und 3com hat mal einen anward erstellt,
bei dem du was gewinnst, wenn du 2 identische
MAC auf 3com karten findest.
Die Backdoor ist ein User mit Passwort, das man Source finden
kann. Allerdings laesst sich der User wohl nicht loeschen.
Das bedeutet, dass seit 1992-94 quasi jeder, der User/Passwort
kannte sich mit absoluten Rechten in jede Interbase Daten-
bank einhaengen konnte.. DRECKIG
Ich bin entsetzt ueber solche Praktiken, nicht dass ich nicht
glauben wuerde, dass andere das andere das nicht auch machen,
aber eine Sauerei bleibt es allemal!!
wäre, hätte man diese Tür wohl noch lange
nicht gefunden.
Ein Vorteil von Open-Source.
cu
Jonny
Kennt jemand eine gute web Seite die sich mit solchen sachen beschäftigt(Schwerpunkt MS Produkte).
Würde mich brennent dafür interessieren!
Die müssen erst noch lernen wie man mit der Informationsbeschaffung auch noch Geld verdienen kann.
Mein Tip an den Bund BND abschaffen Softwarefirma kaufen frei Software verbieten.
CIA NSA KGB und BND, verbieten und Softwarefirma Kaufen ?? Nee Das bringts nicht. Was glaubst Du denn wie Viele der Programmierer und leitenden Angestellten bei Softwarefirmen zwei Gehälter beziehen ???
Sven
Microsoft hat da irgendwas eingebaut, dass an ziemlich viele firmen ein verzeichnis der auf der platte liegenden mp3s schickt. (illegale natürlich einbegriffen)
gruß
Aber Macht korrumpiert eben...
borland haette die datenbank doch sicher nicht open source veroeffentlicht, wenn die davon gewusst haetten?
Übrigens: Man muß wohl auch den genauen Pfad und Namen der Datenbank Dateien wissen, sonst bringt das nichts. Einfach mal das Netz Scannen wird also keinen Nutzen haben.
Man sollte (so)wieso seine Server (ab)strahlungssicher 200m unter der Erde versteckt halten. Wer dass nicht macht ist selbst schuld.
Gut einbunkertee Server trifft das doch garnicht.
Übrigens: Bei unseren Servern muss bei der Zugangkontrolle die Netzhäute genau mit der unserer Chefs übereinstimmen.
Einfach mal ein/zwei/drei Handgranaten reinwerfen wird also keinen Nutzen haben.
Mosh
ich verstehe ja, was Du meinst. Aber sich gerade in dieser Diskussion über Sicherheitsmassnahmen lustig zu machen, ist doch etwas makaber.
feldsee.
Letzten Endes sind alle Sicherheitsmassnahmen, die LH anführt nur Krücken, da die eigentlich zu schützenden Bereiche fast nie mit Sicherheit im Hinterkopf designt wurden. ipchains? Nur wegen des unsicheren/vertrauensseligen TCP/IP notwendig.
Nur im Intranet? Nun, auch Intranets sind nicht Hacker-sicher. Ist erst mal einer drin, steht die Datenbank also offen. Toll, was? Und nein, das betrifft nicht nur Schlamper-SysAdmins, sondern auch Leute, die was von ihrem Fach verstehen. Keiner ist unfehlbar, keiner kann alles wissen.
Dementsprechend muss sich Borland hier einiges vorwerfen lassen.
Spark: Da hätte jeder Borland-Programmierer für verantwortlich sein können? Ich hoffe nicht! Wenn jeder unbeachtet/unbegründet am Code von Interbase irgendwelche Änderungen durchführen dürfte, würde ich der Datenbank meine Daten niemals anvertrauen. Und bei jedem vernünftigen Code-Audit hätte eine solche Backdoor auffallen müssen. Nee nee, entweder war die Backdoor gewollt, oder Borland hat ein mieses Software-Engineering. So oder so geht's nicht gut für Borland aus.
Meine Ausage war keineswegs übertrieben, oder hast du einen Mysql Server im Internet zu stehen der jeden Tugriff erlaubt (Username+Password vorrausgesetzt) egal von wo? Wenn ja viel spaß wenn die Daten mal weg sind ;)
Laut Heise ist die Backdoor übrigens gewollt gewesen, man wußte davon und wollte es auch so. Zumindest war das zu anfang so. Ob Borland das später mit wächselndem Führungsstab und Entwicklern immernoch wußte weiß ich nicht. Ist mir auch egal da es jetzt eh keine Gefahr mehr ist, Open Source sei dank.
Ich würde gerne mal die Backdoors in anderes Software sehen, ich kann mir kaum Vorstellen das das ein Einzellfall ist
Ganz klar, für Sicherheit muss man selber sorgen, wenn man sie will. Und die zur Verfügung stehenden Mittel sind auch mittlerweile bekannt und jede Menge Informationen verfügbar. Aber absolute Sicherheit ist nicht möglich, da der Server sonst unbenutzbar wird. Um abzuwägen, wann ich sicher genug bin (bzw. mein Server), schaue ich mir die Schutzmechanismen an und sage irgendwann: "So, das reicht, mehr hindert an der Arbeit." Und wenn dann einer der Schutzmechanismen gar nicht wirkt, da eine Backdoor enthalten ist, muss auch mein Urteil über den "sicheren" Server falsch sein...
Du besitzt Insiderkenntnisse. Erwarte in Kürze eine Anklage wegen Hochverrats.
aber im ggs. zum NSA-Hack ( bei MS) ist, wie oben bereits
erwähnt, Interbase Opensource, und ich denke, dass Borland diese Hintertür nicht unbedingt zur
eigenen Bereicherung oder fuer Spionage eingesetzt hat, hätte Borland dies gewusst,
ist u.u. davon auszugehen, dass die Source ohne
trapdoor herausgegeben worden wäre. Meiner bisherigen Erfahrung nach lassen einige Programmierer
zum debuggen ( wesentlich bequemer) desöfteren einen festverkabelten User im Programm und vergessen Ihn dann wieder, herauszunehmen. Nicht schön, aber praxis.
Diese unerwünschten Aktivitäten bei Anwendungen wie Media-Player u.s.w. sind mir schon seit längerem ein Dorn im Auge. Gibt es eine Zusammenstellung im Internet wo beschrieben wird welche Programme diese Spinoage betreiben und was genau sie im Detail machen????
Ciao
ANDY
Wer dazu weitere Infos hat, möge sie
bitte posten.
Danke.
schaut euch hierzu mal http://phonehome.da.ru an. Da kann man das kalte Grausen bekommen.
Viel Spass noch