Es ist davon auszugehen, dass jeder der sich der Warheit nähern möchte
mit Repressialen seitens der Firma zu rechnet hat!
Warum?
Ganz einfach es ist billiger Anwälte mit einstweiligen
Verfügungen zu beauftragen als sich der Öffentlichkeit
zu stellen. Man hat Angst vor Schadenersatzforderungen, da
das Sicherheits Problem auf http://www.batmail.de
100 000 Dateien über mindestens einen Zeitraum von 7 1/2 Monaten
betrifft.
Würden Sie ein Problem an Ihrem Rechner oder Firmennetzwerk
in Ihrem eMail Programm sehen, dass Sie von der originalen
Hersteller Homepage heruntergeladen haben und instaliert
haben?
Bestimmt nicht, dazu haben die heutigen Betriebssysteme selbst zu
viele Fehler.
Bestand ein großes Risiko über lange Zeit?
Ja!
Worum geht es?
Auf http://www.batmail.de war ein Downloadscript seit
bestehen der Domain im Einsatz.
lesen Sie dazu folgenden Artikel
http://groups.google.com/...s?hl=de&safe=off&ic=1&th=51c194f3cfeafe,0
Es dauerte 4 Tage ehe die Seite vom Netz genommen wurde. Ganz
nebenbei existierten die 4 Sicherheitslücken auf
http://www.batmail.de/ schon jahrelang.
lesen Sie dazu folgenden Artikel
http://groups.google.com/...l=de&safe=off&ic=1&th=b999ff37dfd0c471,10
Das bedeutet, man konnte unbemerkt jahrelang eigene manipulierte
The Bat Versionen und ca. 30 Zusatzmodule anbieten. Besonders
problematisch wird die Geschichte, da niemand die Software nach
einem Download von der original Hersteller Homepage durch einen
Virenscanner oder Trojanscanner prüfen läßt.
Dies bedeutet dass Trojaner, Würmer oder andere schreckliche
Anwendungen unbemerkt seit geraumer Zeit verbreitet werden konnten.
Der Hersteller wird sich in diesem Punkt immer herausreden können,
genauso wie in den 3 Maillinglisten und Usenet versucht wird die
Öffentlichkeit arglistig zu täuschen.
Sollte ein Rechner mit einem Trojaner infiziert sein, können problemlos
auch andere Rechner über eine bestehende Internetverbindung infiziert
werden.
Man hätte z. B. in Ihrem Namen eine eMail an einen guten Freund gesannt
um ihm ein entsprechende Datei zuschicken zu dürfen.
Die meisten hätten bestimmt ihrem Freund vertraut, da es ja mit The Bat
vom original Absender (also ihrem Freund oder Geschäftspartner) stammt.
Es ist also nicht davon auszugehen dass der Dateianhang
der eMail sofort gelöscht wurde.
Man vertraut einfach dem Hersteller.
Bedenken Sie das dies nicht nur die aktuelle The Bat Version betrifft,
sondern die Ursache weit zurück liegt. Dies bezieht sich auch auf sämtliche
Dateien die auf http://www.BatMail.de angeboten wurden und das über Jahre.
Wer in einem Firmennetzwerk arbeitet oder online Banking macht ist besonders
gefragt. Man kann über diese Methode Passwörter übertragen, eMails fälschen
Rechner zerstören usw. Alles, als wenn man selbst am Rechner sitzt.
Dies ist fiktiv, aber es gibt noch andere Szenarien über ein eMail Programm
fremde Rechner in seine Gewalt zu bringen.
Daher lautet die Frage:
Wie lange existiert die Domain?
Wie lange war das schädliche Script wirklich im Einsatz auf http://www.batmail.de.
Jeder konnte dort nach Lust und Laune ohne Kontrolle Administrator spielen.
Die Firma Ritlabs (wurde vom Entdecker der Sicherheitslöcher
ca. 1 Stunde nach Entdeckung der 4 Sicherheitslöcher informiert.
Der Autoreply der Firma bestätigt dies. Weder wurde er gefragt wie
man schnell und ohne große Aufregung die Probleme lösen kann. Dafür wurde
er mit Beleidigungen in den The Bat Maillinglisten überschüttet.
zu den Fakten:
Man war nicht in der Lage innerhalb von 4 Tagen eine einzelne
Internetseite zu ändern, oder jemanden zu fragen wie das geht.
Bis jetzt gibt es keine offizielle Stellungname der Firma
http://www.ritlabs.com
oder
http://www.batmail.de
Ist die Empfehlung des leitenden The Bat Maillinglisten
Moderators zum Thema Sicherheit gänginge Internetpraxis? Wenn ja, wer
kommt dann für den Schaden auf, der in dieser Zeit passiert ist?
> Folgendermassen geht man mit Sicherheitsluecken um:
>
> 1.) Die Verantwortlichen informieren.
> 2.) Wenn nach 5 Tagen und mindestens einem Follow-up nichts
> passiert
> ist, dann kann man die Sicherheitsluecke an Bugtraq o.ae. melden.
Sprechen alle User technisches Englisch? Wann erfährt der Verbraucher davon?
Kann dadurch nachgewiesen werden dass die Ursache schon lange zurück liegt?
Wer hat die besseren Karten wenn ein Schaden entsteht? Sie als Firma, oder
der Hersteller?
So geht man z. B. in den Maillinglisten mit dem Thema um:
____________
mich erreichen die ersten
Klagen, die Liste wird ihrer
Aufgabe untreu. Ich möchte daher bitten,
weitere Nachrichten zum Thema
"Michael Berndt" & seinen jahrelangen
Problemen außerhalb dieser Liste
(z.B. in der mailto:thebat-dt-ot@yahoogroups.com)
oder per privater mail zu führen.
Wegen Datenmißbrauch aus dieser
Liste wurde die Adresse
liste@vorn.de
in der TheBat-dt-Liste gesperrt.
______________
Und es geht noch weiter
______________
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
From: Andreas Rumpenhorst
To: TheBat!Dt
Date: Saturday, July 07, 2001, 12:16:55 PM
Subject: Achtung, OT!
Files:
--====----====----====----====----====----====----
Hallo TheBat-Liebhaber,
ab sofort haben sich Themen wie Michael Berndt, eventuelle
virenverseuchte Files auf deutschen Distributionssites und deren
Sicherheitsmassnahmen totgelaufen und sind damit streng off
topic. Sie gehören in den Bereich der privaten Email oder in die
thebat-dt-ot@yahoogroups.com.
And now for something completely different: The Bat! ;-)
--
Grüsse,
Andreas [Listen-Moderator The Bat!-Dt und The Bat!-Beginner]
______________
Das Ziel eindeutig. Aus dem Helfer wird der Täter gemacht, und es wird
jedem so gehen der sich zu diesem Thema unbefangen äußert.
Die Institutionen
der Hersteller
http://www.BatMail.de
de.alt.comp.the-bat
Und die 3 Maillinglisten haben in Ihrer Pflicht die Öffentlichkeit vor
Schaden zu bewahren versagt.
Das mußte einfach mal gesagt werden.
aus http://groups.google.de/...1625.447507ec%40posting.google.com&rnum=13
und sonst ist alles in Ordnung bei dir Elan? |
Thread abonnieren
