|
Diese Diskussion wurde archiviert.
Es können keine neuen Kommentare abgegeben werden.
|
 |
|
|
|
|
|
|
|
Nicht schlecht habe ich gestaunt, als ich mir mal den Briefverkehr zwischen dem "Aufdeckenden Hacker" und der T-Systems angeschaut habe.
Darin will Heringhaus (der Mann vom CCC) entweder eine Anstellung bei der T-Systems, oder aber eine Entlöhnung für seine Arbeit bei der Suche nach Sicherheitsmängeln (und das ohne Aufforderung/Mandat seitens der T-Systems). Im Total von 280h (so lange sei er daran gewesen die Lücken zu finden).
T-Systems hat ihm zudem schon 3000€ für die "Hilfe" bezahlt. Doch dies reicht dem Heringhaus wohl nicht.
--snip--
Sie bieten mir einen Vertrag , wenn ich die bereits erwähnte Email richtig verstehe, als
Kompensationsgeschäft an. Laut diesem Vertrag muss ich allerdings nochmals 80 h für Sie arbeiten.
Bekommen soll ich dafür € 10.000,-. Nach Adam Riese bekomme ich von Ihnen also, für 280 h Arbeit,
einen Lohn von € 8.000,- . Das entspricht ca. € 29,- pro Stunde. Sorry, aber Sie scheinen mich da
mit Ihrem Friseur zu verwechseln, wenn dieser für das Geld überhaupt die Schere in die Hand nimmt.
--snap--
Er bzw. der CCC stellt sich aber in den Tickern als der grosse Retter dar...
finde ich zutiefst verwerflich und auch ziemlich frech, sein vorgehen !
--
Shame on you, Mr.Bush !
-- Michael Moore (Bowling for Columbine)
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
FULL ACK!
Auch das Schreiben an seinen Anwalt, den er fragt, wo noch "Profit rausgeschlagen" werden kann, wirft kein wirklich gutes Licht auf den Herrn H.
Allerdings muss man sich das Gefahrenpotential mal durch den Kopf gehen lassen und das das die Öffentlichkeit überhaupt nicht mitbekommen hätte.
Jetzt wird die gesamte Aktion für die T-Com vermutlich wesentlich teurer (unangenehme Kundengespräche, Imageschaden ...). als wenn man dem Herrn H. sein Wunschgehalt bezahlt hätte.
Aber dreist ist der Typ in jedem Fall!
|
|
|
|
|
|
|
|
|
|
|
|
|
Er ist nicht nur dreist, er ist auch noch mutig. Die T-Com hat ihm klar gedroht, dass sie auch unfreundlich sein können/werden, falls er weiterhin rumstöchert oder dazu Informationen preisgibt, was er ja nun gemacht hat...
|
|
|
|
|
|
|
|
|
|
|
|
|
Ich weiss nicht, wie's in DE aussieht mit Par202a, aber die T-Systems siehts so:
--snip--
Dabei mag es sich zwar bei dem sog. Hacking um ein Betätigungsfeld computerbegeisterter Jugendlicher oder Erwachsener handeln. Aber Ihr "Aufdecken eines Sicherheitsloches" war nur durch ein straftrechtlich relevantes Verfahren ihrerseits möglich. Dies haben Sie uns eindrucksvoll ... "live" demonstriert. Dies stellt einen Verstoss gegen Par202a StGB dar und wird ... blabla ... bestraft.... Sie haben sich unbefugt Daten verschafft, indem sie Daten, die nicht für die bestimmt waren, zumindest in flüchtiger Form auf ihrem Bildschirm erscheinen liessen, von denen Sie sogar Kenntnis nahmen... etc...
--snap--
Stellt sich nur die Frage, wie die Richter in einem allfälligen Prozess dies beurteilen.
Mangelnder Schutz der Daten, oder ein Umgehen eines Sicherheitssystems.
In der CH gabs ja mal nen Prozess gegen einen der die Handynummern der WEF Teilnehmer "geklaut" hat. Der wurde IMHO freigesprochen, weil er belegen konnte, dass er keinen Schutz umgangen hat...
--
Shame on you, Mr.Bush !
-- Michael Moore (Bowling for Columbine)
|
|
|
|
|
|
|
|
|
|
|
|
|
Ja weil ein default pw "enter" bei einem MS SQL Server nicht als Schutz galt. Hier hat Dirk H. aber ein Passwort gehabt und ist somit schon in einem ersten Bereich gelandet, welcher geschützt war.
|
|
|
|
|
|
|
|
|
|
|
|
|
Er hatte das Passwort eines simplen users. Das kann jeder für unter 5 Euro im Monat bekommen.
Und er konnte nach dem Login die Benutzer-Separation komplett umgehen. Und im Aufrufen einer anderen URL sehe ich keine illegalen Methoden.
Ebensowenig im Ausprobieren von derart offensichtlich doofen Passwörtern. Da haben die Telekom-Admins so viel verbockt (weil sie schlechte Passwörter genutzt haben) dass das bisschen kriminelle Energie, mal ein paar usernamen ins Passwortfeld einzutragen nicht wirklich schwer wiegt.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
>Allerdings muss man sich das Gefahrenpotential mal
>durch den Kopf gehen lassen und das das die
>Öffentlichkeit überhaupt nicht mitbekommen hätte.
Das stimmt. Der schale Beigeschmack bleibt aber...
>Jetzt wird die gesamte Aktion für die T-Com
>vermutlich wesentlich teurer (unangenehme
>Kundengespräche, Imageschaden ...). als wenn man
>dem Herrn H. sein Wunschgehalt bezahlt hätte.
Ja. Korrekt.
Das grenzt aber beinahe an Erpressung ;(
--
Shame on you, Mr.Bush !
-- Michael Moore (Bowling for Columbine)
|
|
|
|
|
|
|
|
|
|
|
|
|
Ja. Korrekt.
Das grenzt aber beinahe an Erpressung ;(
Der gesamte Telekom-Konzern nimmt für sich in Anspruch, mit harten, marktwirtschaftlichen Bandagen zu kämpfen. Beispiele: Dumping-Flatrate für ISDN, um diesen Markt zu killen, Aussaugen der OPAL-Opfer. Brauchen sich also nicht beschweren, dass jemand mit harten Marktbandagen zurückschlägt, wenn sie sich eine Blösse geben. Mit harten Marktbandagen zurückschlagen, egoistisch handeln, eigenen Profit maximieren ist genau dass, was die Gesetze des Marktes fordern. Die Telekom hat mehrfach bewiesen, dass sie dieses Spiel mit voller Härte spielen wollen, eben haben Sie gerade mal den Nachteil dieser Spielweise zu spüren zu bekommen. Zumal die 30 EUR wirklich unverschämt niedrig angesetzt waren, angesichts der Sensibilität des zu untersuchenden Bereiches.
--
Addicted by code poetry...
|
|
|
|
|
|
|
|
|
|
|
|
|
Auch das Schreiben an seinen Anwalt, den er fragt, wo noch "Profit rausgeschlagen" werden kann, wirft kein wirklich gutes Licht auf den Herrn H.
Hallo! Aufwachen! Das hier Realität, Real-Life --- nicht Wolkenkuckucksheim! Wer total abgebrannt (arbeitslos) ist, und dann freiwillig auf seinen Profit verzichtet ist einfach nur bescheuert, krank -- sollte unverzüglich in eine Nervenheilanstalt eingeliefert werden.
--
Addicted by code poetry...
|
|
|
|
|
|
|
|
|
|
|
|
|
Dann sind alle
- die was unter der GPL coden
- die z.B. als Debian-Maintainer arbeiten
deiner Meinung nach "bescheuert, krank..."
*kopfschüttel*
Die Verzichten auch frewillig auf Profit...
--
Shame on you, Mr.Bush !
-- Michael Moore (Bowling for Columbine)
|
|
|
|
|
|
|
|
|
|
|
|
|
Wer sagt denn, dass "Profit" sich auf schnöden Mamon beschränken muss? "Profit" kann z.B. auch in Wissensgewinn, Unterstützung oder Anerkennung äussern - nur: Sich ohne Kosten-Nutzen-Rechnung in ein Projekt zu stürzen - sprich ohne sich vorher über den gewünschten Profit im Klaren zu sein - ist unverantwortlich. Verschwendung von Lebenszeit. Ich halte es aber überhaupt nicht für hinrissig unter der GPL zu coden oder so etwas wie das Debian-Projekt zu unterstützen. Wichtig ist nur eines: Man muss sich über den gewünschten Profit im Klaren sein.
Off-Topic: Da Du gerade das Debian-Projekt ansprichst... Dieser konkrete, verpeilte und pseudoelitäre Verein ist natürlich schon fragwürdig, geradezu imageschädigend für Linux und Co. - das steht hier aber nicht zur Debatte.
--
Addicted by code poetry...
|
|
|
|
|
|
|
|
|
|
|
|
|
>Wer sagt denn, dass "Profit" sich auf schnöden
>Mamon beschränken muss? "Profit" kann z.B. auch
>in Wissensgewinn, Unterstützung oder Anerkennung
>äussern
Eben. Und ihm gings um Finanziellen Profit.
Darf er. Finde es aber doch eher "komisch"...
>Off-Topic: Da Du gerade das Debian-Projekt
>ansprichst... Dieser konkrete, verpeilte und
>pseudoelitäre Verein ist natürlich schon
>fragwürdig, geradezu imageschädigend für Linux
>und Co. - das steht hier aber nicht zur Debatte.
Immer wieder schön solche "dummen" OT Sachen ohne sachliche Argumente zu lesen... *bravo* Scheinst ja wirklich zu wissen was abgeht. *diraufdieschulterklopf*
--
Shame on you, Mr.Bush !
-- Michael Moore (Bowling for Columbine)
|
|
|
|
|
|
|
|
|
|
|
|
|
|
>nein, so einfach kannst du dir das nicht machen.
>security audits sind wesentlich teurer als EUR
>29,- pro stunde....statt erpressung seitens herrn
>herringhaus würde ich also eher sagen: ausbeutung
>(bzw. umoralisches angebot aka "lohn-dumping")
>seitens der telekom.
Ämm. Hab ich da was überlesen ? Der gute Herr wurde von T-SYSTEMS nie engagiert einen Security-Audit vorzunehmen !
Beispiel:
Ich breche in ein Geschäft ein, klaue mir ein paar Radios und sage dem Inhaber dann, er bekomme diese nur zurück, wenn er mir für die Umtriebe die mir entstanden sind (austricksten der Alarmanlage, ausspionieren des Anwesens, Bestechen der Wachmänner) was bezahlt. Schliesslich habe ich ihm ja seine Schwachstellen vorgeführt (Alarmanlage, Wachmänner).
Wo sind wir denn ??
Haaallllooooo !
Nichts gegen seinen Eifer (oder ists einfach Verzweiflung, weil er sich kein Essen mehr leisten kann ??), aber so kanns nun wirklich nicht gehen !
--
Shame on you, Mr.Bush !
-- Michael Moore (Bowling for Columbine)
|
|
|
|
|
|
|
|
|
|
|
|
|
Beispiel:
Ich breche in ein Geschäft ein, klaue mir ein paar Radios und sage dem Inhaber dann, er bekomme diese nur zurück, wenn er mir für die Umtriebe die mir entstanden sind (austricksten der Alarmanlage, ausspionieren des Anwesens, Bestechen der Wachmänner) was bezahlt. Schliesslich habe ich ihm ja seine Schwachstellen vorgeführt (Alarmanlage, Wachmänner).
"nicht alles was hinkt ist ein vergleich" (af)
ich glaube, du siehst die ironie dieser geschichte nicht: telekom hätte _nie_ ein security audit in auftrag gegeben, weil sie zu keinem zeitpunkt ernsthaft daran interessiert waren, fehler in OBSOC-system zuzugeben. hätte die kunden bzw. aktionäre ja nur unnötig verunsichert.
in solchen situationen kannst du als kunden nur noch darauf hoffen, dass einer wie herr herringhaus mal seine freizeit opfert, um das ganze genauer unter die lupe nimmt. wie hätten wir sonst je davon erfahren?
--
Herr Spion - Telefon!
|
|
|
|
|
|
|
|
|
|
|
|
|
>dass einer wie herr herringhaus mal seine freizeit
>opfert, um das ganze genauer unter die lupe nimmt.
>wie hätten wir sonst je davon erfahren?
Seh ich anders.
Er hat nicht seine Freizeit geopfert, sondern sich eine Stelle als Freelancer beschafft ohne dass ein Job ausgeschrieben war ;)
Es geht dem guten Mann zu 75% ums Geld, zu 24% ums "Heldentum" und zu ca. 1% um das Wohl der Kunden...
--
Shame on you, Mr.Bush !
-- Michael Moore (Bowling for Columbine)
|
|
|
|
|
|
|
|
|
|
|
|
|
Und was ist daran falsch, sich eine Stelle als Freelancer zu beschaffen?
--
Addicted by code poetry...
|
|
|
|
|
|
|
|
|
|
|
|
|
*lol* stimmt.
Dem sagt man wohl, moderne Jobbeschaffung.
--
Shame on you, Mr.Bush !
-- Michael Moore (Bowling for Columbine)
|
|
|
|
|
|
|
|
|
|
|
|
|
Und was ist daran falsch, sich eine Stelle als Freelancer zu beschaffen?
gemaess anwalt nichts.
"Nach dem vorstehenden Sachverhalt besitzt unser Mandant einen Anspruch auf Aufwendungsersatz aus §§ 683 S. 1, 670 BGB wegen einer berechtigten Geschäftsführung ohne Auftrag."
|
|
|
|
|
|
|
|
|
|
|
|
|
Ja klar: Freelancing als Zwang ist übel. Freelancing als Option hingegen, ist extrem verlockend.
--
Addicted by code poetry...
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Hallo? Das Scheiss System der T-Com stand offen wie eine Scheunentor! Wachmänner und Co. gab es nicht! Angesichts des fahrlässigen Umgangs mit sensiblen Kundendaten und deren Eigentum (deren Webpräsenzen) gehören die Verantwortlichen firstlos gekündigt und vor Gericht gestellt, wegen zahlreicher Verstösse gegen Sorgfaltspflicht, gegens Datenschutzgesetz und wegen schwerem Betrug. Betrug? Ja Betrug: Diese windigen Typen haben Ihren Vorgesetzten offen ins Gesicht gelogen, ein vernünftiges, sicheres System gefrickelt zu haben und die Vorgesetzen haben diese Botschaft fröhlich an den Kunden weitergegeben. Auch: Urkundenfälschung zudem, denn diese schmierigen IT-Frickler der T-COM haben in Ihrem Lebenslauf geschrieben, IT-Experten zu sein.
Schade (nee eigentlich nicht), dass ich kein Businesskunde der T-COM bin: Ich hätte nach bekanntwerden des Skandals sofort im nächsten Polizeipräsidium auf der Matte gestanden, Anzeige gegen die T-COM erstattet!
zyta2k: Never, ever shoot the messenger. Und ausserdem: Rechne mal durch, wie teuer es allein ist, die 250.000 Passwortbriefe zustellen zu lassen. Schätze den restlichen Schaden durch -- dann weisst Du, wie dämlich, wie bescheuert, wie unverschämt, wie frech es war, dem Security-Freak kein seriöses Angebot zu unterbreiten
Beispiel:
Ich breche in ein Geschäft ein, klaue mir ein paar Radios und sage dem Inhaber dann, er bekomme diese nur zurück, wenn er mir für die Umtriebe die mir entstanden sind (austricksten der Alarmanlage, ausspionieren des Anwesens, Bestechen der Wachmänner) was bezahlt. Schliesslich habe ich ihm ja seine Schwachstellen vorgeführt (Alarmanlage, Wachmänner).
Wenn Du Deinen Tresor gutgefüllt offen auf die Strasse stellst, sieht das deutsche Recht vor, dass Du wegen Anstiftung zu einer Straftag verknackt werden kannst. Das da sensible Kundendaten drinnen waren, verschlimmert die Angelegenheit.
--
Addicted by code poetry...
|
|
|
|
|
|
|
|
|
|
|
|
|
Klar stand es offen...
es geht aber um den "Trotz" für seine Fehleraufdeckung Geld zu verlangen.
Das eine hat mit dem anderen nichts zu tun...
--
Shame on you, Mr.Bush !
-- Michael Moore (Bowling for Columbine)
|
|
|
|
|
|
|
|
|
|
|
|
|
Nichts "Trotz". Einfach nur reale Einschätzung seiner Verhandlungsposition. Dass die T-Com-Typen das nicht erkannt haben, kann nur am gewohnheitsmässigen Kokain-Konsum liegen.
--
Addicted by code poetry...
|
|
|
|
|
|
|
|
|
|
|
|
|
|
/* live's a bitch , and then u die */
Wenn er eine Zahlung erhalten hat (Heringhaus) , hat ihn ja die Telekom beauftragt Sicherheitslücken zu finden (auch ohne Vertrag), was bei einem allfälligen Rechtsstreit sicherlich von vorteil gewesen wäre.
das was die Telekom abgezogen hat muss ja niemand mehr kommentieren.
|
|
|
|
|
|
|
|
|
|
|
|
|
die t-online hat gemaess tagesschau die sicherheitsprobleme zugegeben und die portale geschlossen.
nun gut, wenn wir uns diesen link dann betrachten und einfach die und die nummer etwas anpass..... - ach, lassen wir das ;-)
link zur tagesschauinfo
Stand: 28.07.2004 07:45 Uhr
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
T-Online != T-Com. Mit T-Online hat das ganze nix zu tun.
|
|
|
|
|
|
|
