Hallo,
ich weiss nicht wer von Euch alles schon heute in den Heise.de Newsticker geschaut hat. Ich habe es heute mehr oder minder zufällig getan.
Dabei fiel mir der Artikel über den Telekom-Hack vom CCC-Mitglied Dirk Heringhaus auf. Nach intensivem studieren der Schriftstücke und des Artikels den Dirk Heringhaus für datenschleuder.de geschrieben hat wollte ich Euch das nicht vorenthalten.
Eines steht fest, ich werde morgen meinen Vertrag bei der Telekom kündigen!
Heise-Artikel: http://www.heise.de/newsticker/meldung/49424
Dirk Heringhausens Ausführungen: http://www.ccc.de/t-hack/
datenschleuder.de Artikel: http://www.ccc.de/t-hack/stn/inhlt/drartkl.htm
Der CCC-Server scheint aber Momentan überlastet zu sein.
Viele Grüße Christian
Hallo Lug!
Dabei fiel mir der Artikel über den Telekom-Hack vom CCC-Mitglied Dirk Heringhaus auf.
Da braucht man keinen Computer für. Ich habe mal bei der Telekom-Hotline 0800 3301000 angerufen und gesagt, ich hätte meine zehn ISDN-Nummern vergessen. Nach Nennung von Name und Adresse wurden sie mir sofort genannt. Der Anruf erfolgte nicht von diesem Anschluß aus. Seitdem nutze ich diese kostenlose Auskunft, wenn der Rechner aus ist oder ich "geheime" Nummern wissen möchte.
Eine Änderung wichtiger Daten auf diesem Wege halte ich für leicht möglich.
Laß Dich nicht täuschen. Die Konkurrenz (Arcor) verfügt über noch weitaus weniger kompetente Leute, die so ein Problem sehen würden.
Thomas
Da braucht man keinen Computer für. Ich habe mal bei der Telekom-Hotline 0800 3301000 angerufen und gesagt, ich hätte meine zehn ISDN-Nummern vergessen. Nach Nennung von Name und Adresse wurden sie mir sofort genannt. Der Anruf erfolgte nicht von diesem Anschluß aus. Seitdem nutze ich diese kostenlose Auskunft, wenn der Rechner aus ist oder ich "geheime" Nummern wissen möchte.
Eine Änderung wichtiger Daten auf diesem Wege halte ich für leicht möglich.
Unglaublich !! Da hilft einem doch nicht die beste Sicherheitsvorkehrung auf seiner eigenen Festplatte wenns doch so einfach ist. *koppschüttel* Schöne neue Internetwelt.
Chris
On Mon, Jul 26, 2004 at 09:55:57PM +0200, Thomas Schmidt wrote:
Hallo Lug!
Dabei fiel mir der Artikel über den Telekom-Hack vom CCC-Mitglied Dirk Heringhaus auf.
Da braucht man keinen Computer für. Ich habe mal bei der Telekom-Hotline 0800 3301000 angerufen und gesagt, ich hätte meine zehn ISDN-Nummern vergessen. Nach Nennung von Name und Adresse wurden sie mir sofort genannt. Der Anruf erfolgte nicht von diesem Anschluß aus. Seitdem nutze ich diese kostenlose Auskunft, wenn der Rechner aus ist oder ich "geheime" Nummern wissen möchte.
Eine Änderung wichtiger Daten auf diesem Wege halte ich für leicht möglich.
Ich erinnere mich, irgendwann (ct?) einmal etwas gelesen zu haben, dass Leute einfach die Hotlines von verschiedenen Providern angerufen haben, denen Daten sagten, die sie durch einen whois Query herausfinden konnten und an Passwoerter kamen. Naja.
cu, Ulf
Thomas Schmidt wrote:
Hallo Lug!
Dabei fiel mir der Artikel über den Telekom-Hack vom CCC-Mitglied Dirk Heringhaus auf.
Da braucht man keinen Computer für. Ich habe mal bei der Telekom-Hotline 0800 3301000 angerufen und gesagt, ich hätte meine zehn ISDN-Nummern vergessen. Nach Nennung von Name und Adresse wurden sie mir sofort genannt. Der Anruf erfolgte nicht von diesem Anschluß aus. Seitdem nutze ich diese kostenlose Auskunft, wenn der Rechner aus ist oder ich "geheime" Nummern wissen möchte.
Eine Änderung wichtiger Daten auf diesem Wege halte ich für leicht möglich.
Das Ausmaß der im Artikel beschriebenen Sicherheitslücken ist aber weitaus größer. Falls der Autor böse Absichten gehabt hätte, dann hätte er meiner Meinung nach das ganze Unternehmen in den Ruin treiben können.
Jens
On Tue, 27 Jul 2004 17:53:56 +0200 Jens Lehmann jens.lehmann@goldmail.de wrote:
Das Ausmaß der im Artikel beschriebenen Sicherheitslücken ist aber weitaus größer. Falls der Autor böse Absichten gehabt hätte, dann hätte er meiner Meinung nach das ganze Unternehmen in den Ruin treiben können.
Ja und nicht nur die T-Com, sondern auch deren Privat und Geschäftskunden. Im übrigen ist die Kundenwebsite offline. Siehe http://www.tagesschau.de/aktuell/meldungen/0,1185,OID3473600_TYP6_THE_ NAVSPM1_REF1_BAB,00.html
Ich habe heute Q-DSL angemeldet und werde, sobald ich weiss wann der Anschluss verfügbar ist, T-COM kündigen (6 tage kündigungsfrist).
Nachdem zu urteilen wie lang ich gebraucht habe zur T-COM Hotline heute durchzukommen ist da mächtig was los *lach*.
Naja selbst Schuld würde ich sagen.
Gruß Chris
On Tuesday 27 July 2004 18:07, Christian Franke wrote:
Ich habe heute Q-DSL angemeldet und werde, sobald ich weiss wann der Anschluss verfügbar ist, T-COM kündigen (6 tage kündigungsfrist).
Hast Du auch nur die geringste Hoffnung, dass Q bessere Security hat?
Konrad
On Tue, 27 Jul 2004 19:38:33 +0200 Konrad Rosenbaum konrad@silmor.de wrote:
On Tuesday 27 July 2004 18:07, Christian Franke wrote: Hast Du auch nur die geringste Hoffnung, dass Q bessere Security hat?
Nö, aber n Upload von 512K und S-DSL ;) Naja ich hoffe mal das die "kleineren" Anbieter besser auf Ihre Kunden bedacht sind.
Chris
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
On Tuesday 27 July 2004 20:18, Christian Franke wrote:
On Tue, 27 Jul 2004 19:38:33 +0200
Konrad Rosenbaum konrad@silmor.de wrote:
On Tuesday 27 July 2004 18:07, Christian Franke wrote: Hast Du auch nur die geringste Hoffnung, dass Q bessere Security hat?
Nö, aber n Upload von 512K und S-DSL ;) Naja ich hoffe mal das die "kleineren" Anbieter besser auf Ihre Kunden bedacht sind.
Grosses *lol*
Aus Sicht eines solchen kann ich nur dazu sagen, dass man da zwar auch darauf bedacht ist, aber es da meistens an Manpower mangelt, soetwas konsequent durchzuziehen. Des weiteren steht meist eine gewachsene Struktur dem Vorsatz entgegen.
Probleme gibts bei grossen und kleinen Anbietern. Nur die groesseren stehen mehr unter der Kontrolle der Oeffentlichkeit. Traurig, aber wahr .....
Gruesse, Jan. - -- - -----BEGIN GEEK CODE BLOCK----- Version: 3.12 GIT d-- s+: a-- C+++ UL++++ P+ L+++ E- W+++ N+++ o++ K++ w--- O M-- V- PS PE Y++ PGP++ t-- 5 X R tv- b+ DI- D++ G++ e++ h-- r+++ y+++ - ------END GEEK CODE BLOCK------
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
On Tuesday 27 July 2004 20:18, Christian Franke wrote:
On Tue, 27 Jul 2004 19:38:33 +0200
Konrad Rosenbaum konrad@silmor.de wrote:
On Tuesday 27 July 2004 18:07, Christian Franke wrote: Hast Du auch nur die geringste Hoffnung, dass Q bessere Security hat?
Nö, aber n Upload von 512K und S-DSL ;) Naja ich hoffe mal das die "kleineren" Anbieter besser auf Ihre Kunden bedacht sind.
Ich weiss, es ist die Yellow-Press, aber es passt ganz gut:
http://www.heise.de/newsticker/meldung/49511
Gruesse, Jan. - -- - -----BEGIN GEEK CODE BLOCK----- Version: 3.12 GIT d-- s+: a-- C+++ UL++++ P+ L+++ E- W+++ N+++ o++ K++ w--- O M-- V- PS PE Y++ PGP++ t-- 5 X R tv- b+ DI- D++ G++ e++ h-- r+++ y+++ - ------END GEEK CODE BLOCK------
Am Mittwoch, 28. Juli 2004 13:32 schrieb Jan Wagner:
Ich weiss, es ist die Yellow-Press, aber es passt ganz gut: http://www.heise.de/newsticker/meldung/49511
Zitat: So gaben 62 Prozent der 163 befragten Unternehmen an, dass eine Verbesserung der IT-Sicherheit an Geldmangel scheitert.
Schwachsinn. Der Grund ist das fehlende Sicherheitsrisikobewußtsein. Aber was willst Du in einer Studie im Auftrag von Microsoft erwarten? Die leben schließlich von der Dummheit der Leute und nicht vom Geldmangel.
Thomas
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
On Wednesday 28 July 2004 13:53, Thomas Schmidt wrote:
Am Mittwoch, 28. Juli 2004 13:32 schrieb Jan Wagner:
Ich weiss, es ist die Yellow-Press, aber es passt ganz gut: http://www.heise.de/newsticker/meldung/49511
Zitat: So gaben 62 Prozent der 163 befragten Unternehmen an, dass eine Verbesserung der IT-Sicherheit an Geldmangel scheitert.
Schwachsinn. Der Grund ist das fehlende Sicherheitsrisikobewußtsein. Aber
Dieses fehlt an einigen Stellen durchaus, vor allem bei Windows^WMicrosoft Wurschtlern.
Im uebrigen errinnere ich mich da wieder an eine Diskussion hier, wo es um das Blocken von dial-ins an Mailservern ging. Da gab es auch unterschiedliche Ansichten. Meiner Meinung nach fehlte es da auch einigen an Sicherheitsbewusstsein, bzw. wurde das Thema Sicherheit hinter andere Interessen angestellt. Wie im richtigen Leben halt. :)))
was willst Du in einer Studie im Auftrag von Microsoft erwarten? Die leben schließlich von der Dummheit der Leute und nicht vom Geldmangel.
Also ich kann aus eigener Erfajrung sagen, dass Geld durchaus eine Rolle spielt. Fuer Sicherheit muss Zeit aufgewendet werden und bindet Mitarbeiter (und somit Geld). Andererseits bringt (eigene Infrastruktur-)Sicherheit auch kein Geld in die Kassen, also wird das menschliche Kapital mit Auftraegen gebunden, durch die man Geld in die Kasse bekommt. Sicherheit wird hinten angestellt, obwohl sich zumindest die Techniker der Risiken bewusst sind und auch hoehere Etagen darauf hinweisen. Dies wird vor durch wirtschaftlich schlechte Zeiten verstaerkt.
Dies muss nicht ueberall so sein, aber ein solches Schema tritt in letzter Zeit immer haeufiger zu Tage. Leider ...
Gruesse, Jan. - -- - -----BEGIN GEEK CODE BLOCK----- Version: 3.12 GIT d-- s+: a-- C+++ UL++++ P+ L+++ E- W+++ N+++ o++ K++ w--- O M-- V- PS PE Y++ PGP++ t-- 5 X R tv- b+ DI- D++ G++ e++ h-- r+++ y+++ - ------END GEEK CODE BLOCK------
On Wed, 28 Jul 2004 14:16:12 +0200 Jan Wagner waja@gmx.de wrote:
Also ich kann aus eigener Erfajrung sagen, dass Geld durchaus eine Rolle spielt. Fuer Sicherheit muss Zeit aufgewendet werden und bindet Mitarbeiter (und somit Geld). Andererseits bringt (eigene Infrastruktur-)Sicherheit auch kein Geld in die Kassen, also wird das menschliche Kapital mit Auftraegen gebunden, durch die man Geld in die Kasse bekommt. Sicherheit wird hinten angestellt, obwohl sich zumindest die Techniker der Risiken bewusst sind und auch hoehere Etagen darauf hinweisen. Dies wird vor durch wirtschaftlich schlechte Zeiten verstaerkt.
Aber der finanzielle Schaden im Falle eines Angriffs durch dritte, weil die Sicherheitsmassnahmen aus Geldmangel vernachlässigt wurden, ist doch viel höher, oder sehe ich das falsch.
Also wäre es doch sinnvoller, gleich von Anfang an die Sicherheit mit einzuplanen, als später vor nem Datengau zu stehen.
Chris
On Wed, Jul 28, 2004 at 05:28:01PM +0200, Christian Franke wrote:
Aber der finanzielle Schaden im Falle eines Angriffs durch dritte, weil die Sicherheitsmassnahmen aus Geldmangel vernachlässigt wurden, ist doch viel höher, oder sehe ich das falsch.
Also wäre es doch sinnvoller, gleich von Anfang an die Sicherheit mit einzuplanen, als später vor nem Datengau zu stehen.
Logisches Denken ist nicht unbedingt typisch fuer menschliches Verhalten. Vor allem das Risikobewusstsein ist tendenziell recht niedrig ausgepraegt, solange noch keine Probleme aufgetreten sind. Siehe auch im Kleinen die Beispiele Geschwindigkeitsuebertretung oder tw. die Handhabung von Giften (Loesungsmittel fuer Lacke u.ae.), Gesundheitsvorsorge beim Impfen... Wenn es also schon bei einzelnen Menschen manchmal daran hapert (das ist jetzt nicht moralisierend gemeint), was erwartest du dann, wenn zusaetzlich noch ein grundsaetzlich traeger Apparat dranklemmt?
Ulf
Christian Franke said:
Aber der finanzielle Schaden im Falle eines Angriffs durch dritte, weil die Sicherheitsmassnahmen aus Geldmangel vernachlässigt wurden, ist doch viel höher, oder sehe ich das falsch.
Also wäre es doch sinnvoller, gleich von Anfang an die Sicherheit mit einzuplanen, als später vor nem Datengau zu stehen.
Ich zitiere: "Aber das wuerde doch unser Quartalsergebnis ruinieren!" ;-)
On Wed, 28 Jul 2004 17:39:48 +0200 (CEST) "Konrad Rosenbaum" konrad@silmor.de wrote:
Ich zitiere: "Aber das wuerde doch unser Quartalsergebnis ruinieren!" ;-)
LOL ist das ein Zitat von jemand von AMD ? Könnte ich mir gut vorstellen *gerade auf 180 ist nach 2 1/2 Stunden sinnlosem Meeting*
Chris
lug-dd@mailman.schlittermann.de
-
Christian Franke -
Jan Wagner -
Jens Lehmann -
Konrad Rosenbaum -
Thomas Schmidt -
Ulf Lorenz