ebayinc.com: kritische Sicherheitslücke geschlossen

Kommentare zu folgendem Beitrag: ebayinc.com: kritische Sicherheitslücke geschlossen

Kommentar von Lars Sobiraj:
Das ist wirklich aufschlussreich. Bei jedem Pups aus der Warez-Ecke kommen gefühlte 100 Kommentare. Bei so etwas reagiert mal wieder niemand. ;-(

Kommentar von HerrRichter2015:
Das ist doch logisch. Illegal Warez zu besorgen bzw. zu verbreiten ist wesentlich einfacher als Sicherheitslecks in Webseiten aufzuspüren. Letzteres setzt ein bestimmtes Know-How voraus, was nur eine kleine Gemeinde von Hackern beherrscht. Um sich mit Warez zu beschäftigen muss man noch nicht mal lesen & schreiben können.
Außerdem ist die „tarnkappe“ mit Sicherheit keine Austauschplattform für Hacker jeglicher Couleur.

Kommentar von deubacoba:
Ich versuchs mal:

  • Bis zum 11. März 2015 war es möglich, unter Ausnutzung eines Directory Traversal auf den Webserver des eBay-Blogs zuzugreifen.

Das klingt jetzt nicht wirklich weltbewegend und hoch kritisch. Aus dem Bauch geschossen ohne mit den Kellerasseln gesprochen zu haben: minor impact - was für die Schmeißfliegen.

  • , und

Offtopic: Wie war das noch mal mit Komma und „und“. Da gibt es so tolle Tools, die oft mit F7 gestartet werden.

  • Mit über 33.500 Mitarbeitern betreibt das US-amerikanische Unternehmen eBay Inc. das weltweit größte Auktionshaus im Internet.

Wow, das habe ich nicht gewußt. Sorry, für meine Großtante wäre das neu, die schaut hier aber definitiv nicht vorbei.

  • Umso erstaunlicher ist es, dass in der Vergangenheit immer wieder diverse Sicherheitslücken bekannt wurden.

Was soll daran erstaunlich sein? Ein Big Player im Online-Geschäft hat Lücken, na und? Das haben alle, egal wo man schaut. Bedenklich wäre es erst, wenn es sich um strukturelle Defizite handeln würden oder diese Lücken mit bestimmten Absichten erzeugt oder geduldet werden würden.

  • Über die Anzahl der bislang nicht veröffentlichten Lücken kann nur spekuliert werden.

Okay, dann sparen wir uns aber den Satz. Diesen Sack Reis brauchen wir nicht.

Der darauffolgende Absatz, bestätigt meinen Bauchschuß und wir können auf minimal risk runterstufen. Damit reduziert sich das Ganze zu einer netten Werbeveranstaltung für Websec (denen wir das auch gönnen).

Danach wird wieder wüst spekuliert. Wenn der Hirundi Bakschi tatsächlich die gleichen Zugangsdaten verwenden würde, wäre das die Meldung und nicht der andere Blödsinn. Da hätte man ein größeres Problem, weil der IT-Dienstleister dann gekonnt ein paar Standard-Policies umgangen hätte.

Sehr schön ist das „Wir werden über weitere Sicherheitslücken berichten“. Erstens muß es doch heißen: „Wir werden auch in Zukunft diverse Erstquellen zweitverwerten.“ oder " Auch Zukunft werden wir bei Heise gekonnt abschreiben."

Den letzten Absatz spare ich mir, abgesehen davon hat HerrRichter schon alles weitere festgestellt.

P.S.: In der Regel ist so ein Beitrag in 30 Sekunden abgehakt und ich habe nicht vor jedesmal eine Analyse zu fahren, nur wenn der Fahrservice im Stau steckt! Der Mehrwert von TK liegt bei einigen aktiven Kommentatoren, die oftmals sehr gekonnt die dünnen Bretter - auch Artikel genannt - aufwerten.

Kommentar von deubacoba:
Das mit dem Franzosen, lasse ich einfach mal so stehen, auch wenn es nur im Herzen ist.

Der Fahrservice steht nicht mir persönlich zu, aber meinem derzeitigen Schützling oder Auftraggeber. Da der Herr derzeitig richtig froh ist, daß sein Arsch ausnahmsweise mal nicht in der Schußlinie hängt, werde ich gerade gehegt und gepflegt. Ich hoffe, daß es dabei bleibt, wenn ich mal wieder im Winchester House vorbeischauen muß. London, New York, Tokyo sind doch nur dann schön, wenn man sich um die Point to Point Verbindungen nicht kümmern muß.

LICD is a very special kind on enlightened entertainment - at least most of the time.

Kommentar von Lars Sobiraj:
@deubacoba:disqus: Das war keine Zweitverwertung von heise online o.ä., eben nicht. Wäre die Lücke so richtig heavy gewesen, hätte ich mir keine 2 Wochen Zeit gelassen, überhaupt darüber zu berichten. Ich fands aber spannend genug, um es doch noch zu bringen. Davon abgesehen: Danke für das ehrliche Feedback. Das ist genau das, was ich hören wollte. Thx!

Kommentar von Lars Sobiraj:
Mal anders gefragt: Als was siehst Du die Tarnkappe denn?

Kommentar von Aria Akhavan:
Gut dann werd ich wohl auch mal meinen Senf dazugeben.

Auf
einem Produktivsystem ist es immer sehr Empfehlenswert seine Fehler
nicht für Außenstehende anzuzeigen. Soweit sogut. Ebay sollte diese auch
nicht anzeigen. Ein Directory Traversal macht es aber für einen
Angreifer nicht nötig die Fehler auf der Seite zu sehen. Man sieht sich
eben direkt mal die Error-Logs an.

Weiter im Text.
Ein Angreifer sieht im normalfall keinen PHP Code und kann damit nicht
spezielle Angriffe durchführen die eben ein wenig wissen über den Code
benötigen.

Gut, gehen wir davon aus, es gäbe keine
Fehler und es gäbe auch keinen PHP Code den wir sehen können
(rechtesetzung?!), dann könnten wir immerhin immernoch den ganzen
Quellcode kopieren und diesen einfach auf einem anderen Webserver
hochladen.

Ich könnte jetzt 100 verschiedene Angriffsszenarien auflisten, jedoch bringe
ich die Leute diesmal lieber nicht auf blöde Ideen. Diese Lücke ist
alles andere als Low Impact, deswegen sind Directory Traversals auch die Interessantesten Lücken.

Kommentar von deubacoba:
Sorry, ich höre immer noch kein Riskassessment? Über wieviele MEU reden wird?

100 und mehr potentielle Angriffsszenarien gibt es auch ohne Lücke, deswegen wird daraus immer noch nichts Handfestes.

Was wäre der betriebswirtschaftliche Schaden der entstehen könnte und der nicht versicherungs- bzw. absicherungstechnisch abgedeckkt ist? Entstünde dieser Schaden nur aufgrund der festgestellten Lücke oder gibt es alternative Szenarien, die die gleiche Schadenswirkung hätten?

Wenn das geklärt ist, dann kann man sich Gedanken über Eintrittswahrscheinlichkeiten machen.

Es gibt lustigere oder groteskere Sachen, wie wenn sich der CS Chef vor seinem Abgang noch schnell 12 Millionen als Gratifikation genehmigt und Regulator und Aufsichtrat erst aus der Presse auf diesen Umstand aufmerksam gemacht werden.

Kommentar von Anonym_2014:
Zweitverwertung von Tarnkappe bei Heise:

... verweist auf eine Warnung des Portals Tarnkappe.info. Diese vermutet, entsprechende Seiten könnten als Honeypot genutzt werden, um IP-Adressen und andere Nutzerdaten zu sammeln
Quelle: https://www.heise.de/newsticker/meldung/Razzia-bei-Betreibern-des-Filmportals-Kinox-to-2432216.html

Kommentar von uschi:
etwas aus dem kontext gerissen oder?

Kommentar von Anonym_2014:
ja

Kommentar von Lars Sobiraj:
danke für den Hinweis, das ist schon bei uns im Pressespiegel drin: https://tarnkappe.info/pressespiegel/

Kommentar von Lars Sobiraj:
Beim Auffangen würde ich gerne behilflich sein. Stolpern kann man halt auch über sein eigenes Ego. Ich darf das sagen, ich habe auch eines, welches sehr gerne gestreichelt wird.

Ich habe schon beim 1. Versuch verstanden, warum Du nicht auf Details eingehen kannst. Ich weiß auch schon seit 20 Jahren, was ein NDA ist. Mir geht’s um das zur Schau stellen von Wissen und die Frage nach der Motivation, warum man (Frau) das immer wieder tut. Sorry, ich bin deswegen gerade ein wenig angefressen.

Kommentar von Lars Sobiraj:
Du hast mich falsch verstanden. Mir ging es nicht darum, dich loszuwerden oder zu versuchen, dich auf stumm zu schalten. Warum reagieren Frauen immer so emotional? Meine tut das auch ständig und immer. :wink:

Ich bin oft sehr froh über Deine Kommentare, weil Du wenigstens Ahnung von dem hast, was Du schreibst. Das kann man leider nicht von allen Kommentatoren sagen. Weder hier noch sonstwo.

Ich habe seit 2006 durchgehend die Erfahrung gemacht, dass leider ausgerechnet die am besten informierten Leser die stummsten sind. But everything should be well balanced. Did you get the point now?

Kommentar von Postulator:
Liegt vielleicht daran, das es hier um eine Sachlage geht wo eigentlich technische Kenntnisse erforderlich sind, um einigermaßen sinnvoll mitdiskutieren zu können.
Bei dem anderen Themenkomplex werden in erster Linie Meinungen und Ansichten ausgetauscht.
Eventuell nutzt aber auch niemand von den Lesern der Tarnkappe Ebay (kleiner Scherz).

PS: Gerade, das hier sehr konträre Standpunkte recht ungefiltert aufeinandertreffen, macht den Reiz Deines Blogs aus (das schließt edoep ausdrücklich ein :slight_smile: ).

Kommentar von Lars Sobiraj:
Okay, danke für das Feedback. Das sehe ich auch so.