[HaBo]

as-oc

Anzeige

Ich bin Inhaber einer kleinen Handels-Firma. Wir verfügen über einen Online-Zugang auf einen eigenen Shop-Server und es sind 3 weitere DSL Zugänge auf unsere Warenwirtschaft mit den Außenlagern eingerichtet. Bei dem Thema Sicherheit kommen mir Zweifel. Es sind unterschiedliche Betriebssysteme installiert ( WIN und Linux)
Ich stelle mir nur mal vor, der Wettbewerb könnte alle Ein- und Verkaufspreise einsehen....
Daher meine Frage:
Wem kann ich ganz legal damit beauftragen, mir Sicherheitslücken aufzuzeigen und was würde ein "Auftrags-Hacker" für Kosten verursachen ?
Wer kann mir weiterhelfen?

EL

Hi, also die Leute die du da beauftragen kannst nennen sich "Penetration Tester". Diese Leute führen einen sogenannanten "Security Audit" durch.
Mit diesen Schlagwörtern kannst du viele Firmen dafür finden. Allerdings kosten solche Audits nicht gerade wenig Geld. Dafür hast du aber (im Normalfall) echte Profis am Start.
Ich hoffe ich konnte ein wenig Licht ins Dunkle bringen

as-oc

Zunächst vielen Dank für Deine Antwort. Ich habe mir auch ein paar Informationen eingeholt, bin etwas schlauer geworden. Leider sprengen die Kosten mein kleines Budget, zumal ein Sicherheitsgrundkonzept vorhanden ist. Ich denke aber auch, dass unsere Softwarefirma nicht alles wissen kann und würde daher eine Prüfung von Dritter Seite her, als gut empfinden.
Wäre es vorstellbar, dass man jemanden findet, der (im Auftrag von mir) unser System von außen prüft und für jede aufgefundene Sicherheitslücke eine "erfolgsorientierte " Prämie erhält? Vielleicht gibt es "Freak's", für die eine kleine Prämie und der Erfolg als Anerkennung ausreichen.

ERit

bei soetwas muss dir aber klar sein dass es durchaus sein kann dass derjenige, den du beauftragt hast dann gewisse sachen vor dir geheim hält. ich möchte dich da nicht verschrecken sondern nur darauf hinweisen.

Gulliver

Es muss nicht immer eine renomierte Sicherheitsfirma sein. Nessus/nmap/dig bedienen koennen auch andere Leute. Und je nachdem was dein Geschaeft wert ist- zahle eben.

Was wuerde es dich kosten wenn ein Konkurrent DEINE Daten sieht?

as-oc

Leider habe ich selbst von Computersicherheit nicht viel Kennung. Was heißt übersetzt: "Nessus/nmap/dig" ?

bitmuncher

Nessus ist ein Security-Scanner, nmap ein Portscanner und mit dig lassen sich verschiedene Host-Informationen (meist fuer DNS-Anfragen genutzt) abfragen.

__________________

end4win

Was die Einwände gegen deine Sparaktion betrifft.

Könntest du dich danach wirklich sicher fühlen?

Wie willst du die Qualität beurteilen?
Was ist wenn dein Tester deinen Server abschiesst?
Was ist wenn eine Lücke auf dem freien Markt mehr Wert ist, als du bezahlst?

Eine Firma hat wenigstens einen Ruf zu verlieren und in der Regel auch ein wenig
Erfahrung wie man testet ohne Schäden oder Ausfallzeiten zu verursachen.


Gruss

__________________

DT-Crackz-DT

Dies ist natürlich eine komplizierte Situation.
Aber ich schließe mich einigen Meinungen an!

Wenn du Privat Jemanden beauftragst kannst du dir nie sicher sein was er mit seinen Ergebnissen anstellt. Stell dir vor der Typ wird plötzlich Pleite oder so... Dann denkt er
" Ach stimmt ich hab ja noch die Daten von diesem Geschäftsherrn mal sehen wie viel andere für ein paar Infos zu den Lücken in seinem System bereit sind zu zahlen!"
Oder so ähnlich....

Wenn du dir sorgen machst..investiere in Profis oder schaue deine Sicherheitskonzepte an... Benutzt VPN Tunnel durchs Netz, konfiguriert eure Firewall bis ins kleinste Detail...und dann dürfte es nicht mehr viele Lücken geben. Und die die es noch gibt, naja ich denke mal dass die den Aufwand nicht wert sind.... Ich weiß ja nicht genau wie viel die Konkurrenz für einen Einblick in eure Daten bezahlen will.

Kurz gesagt: Wenn dir deine Daten sehr viel wert sind....Profis holen.

Wenn sie dir nicht so viel wert sind dass du jemanden (Profi ) mit ins Boot holst lass es ganz.... "Freizeit Hacker sind gefährlicher als ein System ohne Firewall"

as-oc

o.k, das sind berechtigte Einwände. Aus Sicht eines Laien :
1. Qualität entscheidet sich nach Erfolg / Misserfolg. Was für die eine Seite ein Erfolg, ist für die andere Seite ein Misserfolg. Gelingt ein Eindringen, muss die Lücke geschlossen werden. Gelingt es nicht, ist ja alles in Ordnung und man kann beruhigt schlafen.
2. Schießt ein Tester das System ab, was nicht passieren soll und darf, ist es mit der Sicherheit nicht weit her. Jemand der Arges im Schilde führt, hätte früher oder später ja dann auch die Möglichkeit. Diese frühzeitig zu erkennen ist aus meiner Sicht sinnvoll, zumal es hier abgesprochen wäre und die Schadensursache sicherlich leicht zu beheben ist.
3. wenn das Honar geringer ausfällt als der Marktpreis... tja, dass wäre dumm. Aber ich denke, dass die Berufsehre hier gefragt ist. Nicht alles und jeder ist käuflich. Und zwischen legal und rechtmäßig auf der einen Seite und "kriminellen Machenschaften" auf der anderen Seite, verhält es sich wohl wie beim Auftragsgraffiti. Wenn ein EDV-Ass eine Herausforderung und Bestätigung sucht
ist das nicht anrüchig und er kann jeden Morgen getrost in den Spiegel sehen.

4.Eine Firma hat viele Vorteile-ohne Frage. Ich finde die Entwicklung in der Computertechnik einerseits sehr vielversprechend, andererseits macht es mir Sorge. Es gibt auch in dieser Branche viele schwarze Schafe (da brauche ich mir nur mal täglich die ganzen Mail anzusehen...) und nicht alles Unheil kommt von Privatpersonen.
Bei einer Firma ist man sicherlich auf der besseren und sicheren Seite. Da gibt es aber noch ein paar Überlegungen:
a) Söldner oder Patriot ? Kämpfen beide gleich "leidenschaftlich" ?
b) Da solche Firmen (für ihre umfangreichen Arbeiten) keinen karitativen Zweck verfolgen und ich mit meinem kleinen Betrieb bereits unter der erdrückenden Abgabenlast zu leiden habe und nicht nur für die Computertechnik arbeiten kann, ist das Budget leider etwas zu gering. Besonders dann, wenn ich das Resultat nicht werten kann. Wer stellt sicher, dass ich bei meiner Auswahl auch die richtige Firma und auch den richtigen Mitarbeiter beauftragt habe? Das die Diagnose tatsächlich stimmt. Ist das Ergebnis erfolgsgeschuldet oder wie beim Arzt, der statt Blinddarm mal die Galle operiert? Welche Firma gewährt zum Befund Garantien oder haftet? Das kann wohl keiner. Ein Restrisiko wird immer bleiben

LX

Vielleicht ein Gedanke:

Statt einen zu bezahlen dafür, dass er versucht, bei euch einzudringen, könntet ihr euch auch einen leisten, der euch einfach nur sagt, welche wichtigen Aspekte es zu beachten gilt. Deren Umsetzung dann zu prüfen könnt ihr auch selber bzw. das müsstet ihr sowieso tun, wenn eine Lücke auf anderem Wege aufgedeckt wurde.

Jemand, der eine Penetration versucht, der wird auch nur einen Katalog einzelner bekannter Schwachstellen testen und schauen, wie weit er kommt. Das ist eine Menge Trial&Error, die im Zweifelsfall bezahlt werden muss. Aber ich wüsste nicht, warum man jemandem (um mal ein lapidares Beispiel zu nennen) 3 Stunden bezahlen sollte, bis der irgendeine SQL-Injection in Software X hinbekommen hat, statt nur 10 Minuten dafür, dass er euch erklärt, wie man das hätte verhindern können.

__________________
"Ever tried. Ever failed. No matter.
Try again. Fail again. Fail better."
- Samuel Beckett

JS BB LX UP

EL

also sorry...dann ist das n n00b unternehmen! Echte Pentester (die ihr geld auch wert sind) haben da schon n bisschen mehr auf m kasten...

Dawen

Es wird aber zuerst so gemacht. Eigentlich sollte jemand kommen, der Informationen einholt zu :

-> Wie ist das Netzwerk aufgebaut
-> Welche Software wird benutzt ( eigentliche alles was von aussen erreichbar ist , also Serverdienste )
-> Wie die Mitarbeiter verwaltet werden
-> Welche(s) Os(e) benutzt werden

Anhand dieser Informationen, werden Szenarien erstellt, die sich für einen Angriff eignen und dem Kunden dann wieder präsentiert. Er kann nun selber entscheiden, ob er die von der Firma XYZ beseitigen möchte oder es selber machen will. Es gibt auch die Möglichkeit mit solchen Firmen Verträge zu schliessen. Man informiert die Firmen über neue Software/Updates die installiert werden und die Firma prüft die Verträglichkeit mit der bestehenden Infrastruktur.

Man sagt nicht : Ich habe eine Firma, versuch einzubrechen. 5 Leute setzen sich hin und versuchen alles mögliche, es wäre finanziell gar nicht machbar. Informationen die ein Angreifer bräuchte werden direkt Vorort eingeholt ( wozu versuchen, wenn Fragen billiger ist ).

Hauptproblem ist, dass sich die meisten Leute gar nicht dran halten. Einer kommt mit dem Notebook an hängt sich ins WLan ein, der ganze Schutz ist hin. Es wird also auch ( bei einer guten Firma ) viel Wert auf Aufklärung gelegt.

EL

das was du da meinst ist die Vorstufe, die sogenannte "Reconnaissence"...das kann schon sein dass das noch als "lukratives Angebot" läuft...aber spätestens bei den Phasen "Enumeration" und "Exploitation"...kostet das halt richtig Asche.
Und klar setzen sich da nicht 5 Leute ran und geben sich n fetten trial&error...wie vorhin schon gesagt, diese Leute wissen halt was sie tun. Die können gut nach 2 Std. sagen was machbar ist und was nicht....

fetzer

Das wird niemand tun. Eine Sicherheitsfirma kann dir zwar 90%ige Sicherheit gewähren und dich beispielsweise gegen kleinere Angriffe schützen, wenn jemand allerdings an deine Daten will, dann wird er mehr versuchen, als ein normaler Auditor testen kann. Und das geht eben von Spionage via WLAN bis hin zu Social Engineering, gegen das die Mitarbeiter geschult werden sollten und das eine Firma, die einen einfachen Test ( der allerdings auch schon bis zu x0.000? kosten kann, das beinhaltet z.b. die Stufen, die EL genannt hat ) durchführt oft nicht anbietet.

und
Die Punkte sollten vertraglich geregelt werden, dazu auch noch, welche Lücken es gibt, welche es nicht gibt, usw... Wer sich nicht wirklich rechtlich absichert ist letztendlich selbst Schuld.
Die Angstmache ist absolut nicht begründet, sofern die Firma nicht einen dahergelaufenen Möchtegern-Hacker anheuert.

Sry, das ist absoluter Schwachsinn. Du verbreitest die öffentliche Meinung, dass jeder Hacker ein "böser Mensch" ist. Es gibt genügend Leute, die beschäftigen sich in ihrer Freizeit damit, arbeiten eventl. selbst in einer Sicherheitsabteilung und kennen dadurch die Problematik.
Wie ich oben geschrieben habe: Wer sich nicht rechtlich absichert und jedem das Vertrauen schenkt und ihn auf seinem System "herumlaufen" lässt, der hat es letztenlich auch nicht anders verdient, Social Engineering ist da ja die einfachste Möglichkeit.

?as-oc:
Ich hab dir ne PN geschrieben.