#!/bin/blog

April 18, 2008

Der Inside-Job

Filed under: Security — Tags: , — martin @ 10:06 pm

$KUNDE hielt heute mit der Freitagnachmittags-Bierflasche in der Hand eine bewegende Rede ans Volk, an deren Rande er betonte, daß er jedem aus seiner bunten Beratertruppe, der sich auf “Hackerkongressen” aufhält, während gegen seine Infrastruktur irgendwelche Angriffe gefahren werden, auf der Stelle Hausverbot erteilen wird.

Später habe ich dann erfahren, daß ein ehemaliger freier Mitarbeiter des Ladens, kein pickliger Jüngling, sondern ein Kollege im gestandenen Mannesalter (ich durfte ihn vor seinem Abschied noch kurz kennenlernen), es tatsächlich geschafft hat, mit seinem Insiderwissen vom 24. Chaos Communication Congress aus eine Webserverfarm des Kunden auszuknipsen, für deren Inbetriebnahme er zuständig gewesen war. Daraufhin kam die Welt zum Stillstand und wegen der Urlaubssaison war niemand zu erreichen, so daß die Website einen Tag lang offline war. Der Experte, der am meisten über die Serverfarm wußte und sie wieder auf die Beine hätte stellen können, war der Angreifer ja immerhin selbst, und der weilte auf Urlaub in Berlin.

Anschließend hat er alles zugegeben, als “Penetration Test” deklariert und zu seiner Verteidigung vorgebracht, daß der dämliche ISP des Kunden überreagiert habe und das alles doch nur Spaß und Spiel war. (Die Story ist plausibel und ich hatte sie bereits aus anderer Richtung schonmal so ähnlich gehört.)

Oh, verdammt.

1) Hat er als Insider das Vertrauen seiner Kundschaft nicht nur mißbraucht, sondern diese auch noch vorsätzlich geschädigt.
2) Wie das technisch aussah, spielt dabei eigentlich keine Rolle. Wenn er Sicherheitsprobleme kennt, sollte er sie nicht exploiten, sondern fixen. Das ist seine Pflicht.
3) Ist der CCC, der noch nie ein “Chaos-Club” war und sich derzeit notgedrungen vom “Computer-Club” zur techniklastigen Bürgerrechtsorganisation umzubauen scheint, in den Augen dieses Kunden eine kriminelle Chaosgruppe. Wie aus dem dümmsten Klischeebaukasten der Achtziger, und das auch noch verständlicherweise.
4) Hat er dafür gesorgt, daß Personen aus dem CCC-Umfeld bei diesem Kunden nun unter Generalverdacht stehen.

Das schlimme ist nicht, daß er das ganze rumerzählt hat, sondern das schlimme ist, daß er es getan hat. Wirklich eine grandiose Leistung. Eines Hackers ist das nicht würdig.

Advertisements

7 Comments »

  1. Volle Zustimmung, ganz besonders zu:
    > Eines Hackers ist das nicht würdig.
    Der hats einfach nicht verstanden. Man solle ihm die Hackerethik zu lesen geben und ihn erst wieder an die Maschinen lassen, wenn er die nachts um drei nach einem schweren Saufgelage aus dem Tiefschlaf gerissen sofort wie aus der Pistole geschossen aufsagen kann.
    Und beim nächsten Fehlverhalten: Hände ab! 😉

    Schönes WoE!

    Comment by muh-muh — April 19, 2008 @ 12:31 pm

  2. So etwas ist schon wirklich dumm, da wirds natürlich schwer vorsinflutliche Klischees zu kippen.

    Comment by Oliver — April 19, 2008 @ 11:32 pm

  3. Hallo,

    ich denke Du verurteilst hier einen Menschen, der vermutlich lediglich Opfer eines gesellschaftlichen Symptoms geworden ist. Ich persönlich kenne es unter der Bezeichnung:

    „Was geht, das geht!“

    Sicher wenn er erst einmal gedacht und dann gehandelt hätte, wäre das sicher besser gewesen. Aber wer bitte handelt heute noch so?

    Davon mal ganz abgesehen, warum sollten ausgerechnet Menschen die sich mit IT auseinandersetzen die „besseren“ Menschen sein?

    Gruß

    Comment by Michael Kostic — April 22, 2008 @ 5:03 pm

  4. Weiss $KUNDE[n] schon, dass Du bei $KUNDE[n-1] in einer Hackertruppe arbeitest 🙂

    Comment by ferdinand — April 27, 2008 @ 12:16 pm

  5. Du meintest Frickeltruppe. Das ist das richtige Wort. 😉

    Comment by martin — April 27, 2008 @ 12:54 pm

  6. @Michael: Es fällt natürlich leicht, so etwas auf “die Gesellschaft” zu schieben, aber Fakt bleibt, der Mensch hat sich grob unprofessionell verhalten. Wenn ich Hausmeister bin, kann ich mich auch nicht einfach in den Serverraum schleichen, ein bisschen mit dem Hammer auf den Servern rumklopfen, und wenn man mir das später vorwirft, sage ich, ich wollte nur zeigen, was passieren kann wenn der Raum nicht abgeschlossen ist.

    “Das machen ja schließlich heutzutage alle so” ist da keine Ausrede, das stimmt nämlich nicht. Es gibt viele gute und pflichtbewusste, professionelle “Hacker”, deren Ruf der Protagonist in dieser Geschichte möglicherweise nachhaltig geschädigt hat.

    Comment by Fred — April 28, 2008 @ 8:04 am

  7. @Fred:

    Seh ich ja auch so…

    Bin nur über dieses “Eines Hackers ist das nicht würdig.” gestolpert 😉

    Gruß

    Comment by Michael Kostic — April 28, 2008 @ 9:49 am


RSS feed for comments on this post. TrackBack URI

Leave a Reply

Please log in using one of these methods to post your comment:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

Create a free website or blog at WordPress.com.

%d bloggers like this: