Es ist davon auszugehen, dass jeder der sich der Warheit nähern möchte mit Repressialen seitens der Firma zu rechnet hat!
Warum? Ganz einfach es ist billiger Anwälte mit einstweiligen Verfügungen zu beauftragen als sich der Öffentlichkeit zu stellen. Man hat Angst vor Schadenersatzforderungen, da das Sicherheits Problem auf http://www.batmail.de 100 000 Dateien über mindestens einen Zeitraum von 7 1/2 Monaten betrifft.
Würden Sie ein Problem an Ihrem Rechner oder Firmennetzwerk in Ihrem eMail Programm sehen, dass Sie von der originalen Hersteller Homepage heruntergeladen haben und instaliert haben?
Bestimmt nicht, dazu haben die heutigen Betriebssysteme selbst zu viele Fehler.
Bestand ein großes Risiko über lange Zeit? Ja!
Worum geht es? Auf http://www.batmail.de war ein Downloadscript seit bestehen der Domain im Einsatz.
lesen Sie dazu folgenden Artikel http://groups.google.com/...s?hl=de&safe=off&ic=1&th=51c194f3cfeafe,0
Es dauerte 4 Tage ehe die Seite vom Netz genommen wurde. Ganz nebenbei existierten die 4 Sicherheitslücken auf http://www.batmail.de/ schon jahrelang.
lesen Sie dazu folgenden Artikel http://groups.google.com/...l=de&safe=off&ic=1&th=b999ff37dfd0c471,10
Das bedeutet, man konnte unbemerkt jahrelang eigene manipulierte The Bat Versionen und ca. 30 Zusatzmodule anbieten. Besonders problematisch wird die Geschichte, da niemand die Software nach einem Download von der original Hersteller Homepage durch einen Virenscanner oder Trojanscanner prüfen läßt.
Dies bedeutet dass Trojaner, Würmer oder andere schreckliche Anwendungen unbemerkt seit geraumer Zeit verbreitet werden konnten.
Der Hersteller wird sich in diesem Punkt immer herausreden können, genauso wie in den 3 Maillinglisten und Usenet versucht wird die Öffentlichkeit arglistig zu täuschen.
Sollte ein Rechner mit einem Trojaner infiziert sein, können problemlos auch andere Rechner über eine bestehende Internetverbindung infiziert werden.
Man hätte z. B. in Ihrem Namen eine eMail an einen guten Freund gesannt um ihm ein entsprechende Datei zuschicken zu dürfen.
Die meisten hätten bestimmt ihrem Freund vertraut, da es ja mit The Bat vom original Absender (also ihrem Freund oder Geschäftspartner) stammt. Es ist also nicht davon auszugehen dass der Dateianhang der eMail sofort gelöscht wurde.
Man vertraut einfach dem Hersteller.
Bedenken Sie das dies nicht nur die aktuelle The Bat Version betrifft, sondern die Ursache weit zurück liegt. Dies bezieht sich auch auf sämtliche Dateien die auf http://www.BatMail.de angeboten wurden und das über Jahre.
Wer in einem Firmennetzwerk arbeitet oder online Banking macht ist besonders gefragt. Man kann über diese Methode Passwörter übertragen, eMails fälschen Rechner zerstören usw. Alles, als wenn man selbst am Rechner sitzt.
Dies ist fiktiv, aber es gibt noch andere Szenarien über ein eMail Programm fremde Rechner in seine Gewalt zu bringen.
Daher lautet die Frage: Wie lange existiert die Domain? Wie lange war das schädliche Script wirklich im Einsatz auf http://www.batmail.de.
Jeder konnte dort nach Lust und Laune ohne Kontrolle Administrator spielen.
Die Firma Ritlabs (wurde vom Entdecker der Sicherheitslöcher ca. 1 Stunde nach Entdeckung der 4 Sicherheitslöcher informiert. Der Autoreply der Firma bestätigt dies. Weder wurde er gefragt wie man schnell und ohne große Aufregung die Probleme lösen kann. Dafür wurde er mit Beleidigungen in den The Bat Maillinglisten überschüttet.
zu den Fakten:
Man war nicht in der Lage innerhalb von 4 Tagen eine einzelne Internetseite zu ändern, oder jemanden zu fragen wie das geht.
Bis jetzt gibt es keine offizielle Stellungname der Firma
http://www.ritlabs.com
oder
http://www.batmail.de
Ist die Empfehlung des leitenden The Bat Maillinglisten Moderators zum Thema Sicherheit gänginge Internetpraxis? Wenn ja, wer kommt dann für den Schaden auf, der in dieser Zeit passiert ist?
> Folgendermassen geht man mit Sicherheitsluecken um: > > 1.) Die Verantwortlichen informieren. > 2.) Wenn nach 5 Tagen und mindestens einem Follow-up nichts > passiert > ist, dann kann man die Sicherheitsluecke an Bugtraq o.ae. melden.
Sprechen alle User technisches Englisch? Wann erfährt der Verbraucher davon? Kann dadurch nachgewiesen werden dass die Ursache schon lange zurück liegt? Wer hat die besseren Karten wenn ein Schaden entsteht? Sie als Firma, oder der Hersteller?
So geht man z. B. in den Maillinglisten mit dem Thema um: ____________ mich erreichen die ersten Klagen, die Liste wird ihrer Aufgabe untreu. Ich möchte daher bitten, weitere Nachrichten zum Thema "Michael Berndt" & seinen jahrelangen Problemen außerhalb dieser Liste (z.B. in der mailto:thebat-dt-ot@yahoogroups.com) oder per privater mail zu führen.
Wegen Datenmißbrauch aus dieser Liste wurde die Adresse liste@vorn.de in der TheBat-dt-Liste gesperrt. ______________
Und es geht noch weiter
______________ =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=- From: Andreas Rumpenhorst To: TheBat!Dt Date: Saturday, July 07, 2001, 12:16:55 PM Subject: Achtung, OT! Files: --====----====----====----====----====----====---- Hallo TheBat-Liebhaber,
ab sofort haben sich Themen wie Michael Berndt, eventuelle virenverseuchte Files auf deutschen Distributionssites und deren Sicherheitsmassnahmen totgelaufen und sind damit streng off topic. Sie gehören in den Bereich der privaten Email oder in die thebat-dt-ot@yahoogroups.com.
And now for something completely different: The Bat! ;-) -- Grüsse, Andreas [Listen-Moderator The Bat!-Dt und The Bat!-Beginner] ______________
Das Ziel eindeutig. Aus dem Helfer wird der Täter gemacht, und es wird jedem so gehen der sich zu diesem Thema unbefangen äußert.
Die Institutionen
der Hersteller http://www.BatMail.de de.alt.comp.the-bat
Und die 3 Maillinglisten haben in Ihrer Pflicht die Öffentlichkeit vor Schaden zu bewahren versagt.
Das mußte einfach mal gesagt werden.
aus http://groups.google.de/...1625.447507ec%40posting.google.com&rnum=13
und sonst ist alles in Ordnung bei dir Elan?
|