cc3p0o0
Goto Top

Unternehmen aus Frankfurt a.M. will auf Schwachstelle der IT-Infrastruktur hinweisen

Hallo zusammen,

wie oft kontaktieren Euch Anbieter, welche auf Schwachstellen in der IT-Infrastruktur aufmerksam machen und ignoriert ihr diese Schreiben bzw. wie geht ihr damit um?

Ich finde diese Vorgehensweise sehr fragwürdig. Auch weil die Anbieter oft sehr klein sind und eher Angst und Schrecken verbreiten. Die Kontaktaufnahme kommt oft über die Infomail, welche direkt an die GF oder IT von Mitarbeitern im Empfang weitergeleitet werden.

Wir sind von extern nur über den abgesicherten Exchange 2019 zu erreichen und die Mitarbeiter nutzen eine SSL remote access VPN Verbindung von SOPHOS.

Anmerken muss ich, dass ich in Zukunft einen externen Pentest durchführen lassen will, allerdings kommt dieser von einem sehr großen IT DL.

Anfragen wie diese veschiebe ich deswegen und ignoriere sie ganz.

MfG

Content-Key: 2594853736

Url: https://administrator.de/contentid/2594853736

Printed on: February 23, 2024 at 21:02 o'clock

Member: Doskias
Doskias Apr 25, 2022 at 12:36:56 (UTC)
Goto Top
Moin,

wir haben insgesamt zwei IT-DL im Haus, die uns unterstützen. Sie haben klar abgegrenzte Bereiche und wissen beide, dass sie nur einen Teil machen und auch was in dem Teil für den sie nicht zuständig sind so passiert.

Wir ignorieren alle Meldungen von anderen IT-Dienstleistern, außer den beiden und öffentlichen Behörden (Stichwort: Kaspersky Warnung des BSI). Wobei auch der, der nicht für den Exchange zuständig ist, uns vor Hafnium gewarnt hat.

Gruß
Doskias
Member: NetzwerkDude
NetzwerkDude Apr 25, 2022 at 12:57:31 (UTC)
Goto Top
Nun ja die Pentester wollen auch nur Geld verdienen face-smile

Aber ja sowas ist fragwürdig bzw. gesetzlich grenzwertig (Wenn man ein Arsch sein will: "Sie greifen unsere IT Infrastruktur an ohne Erlaubnis? soso...") - Aber Grundsätzlich: Wenn der Typ schon beim groben Hinsehen was in deiner Infrastruktur sieht, könntest du ja selbst nachschauen ob er nicht recht hat.

MFG
N-Dude
Member: Doskias
Doskias Apr 25, 2022 at 13:08:13 (UTC)
Goto Top
Zitat von @NetzwerkDude:
Nun ja die Pentester wollen auch nur Geld verdienen face-smile
Machen die das nicht umsonst? face-wink

Aber ja sowas ist fragwürdig bzw. gesetzlich grenzwertig (Wenn man ein Arsch sein will: "Sie greifen unsere IT Infrastruktur an ohne Erlaubnis? soso...")
Kommt drauf an wie weit er geht. Generell ist es nicht grenzwertig, sondern illegal. In dem Moment wo du beim Pen-Test ohne Erlaubnis zum Beispiel an der Firewall eine Schwachstelle nutzt ist es schon illegal.
Aber es gibt auch ganz legale Methoden. Du kannst zum Beispiel ein Word-Dokument (oder PDF-Dokument) einer Website herunterladen und die Header-Daten auslesen. Wenn du dann "glück" oder "Pech" hast, was davon abhängt auf welcher Seite du sitzt, kannst du aus dem Header schon den Namen des Erstellers, die Mail-Adresse und ggf. die Software-Version identifizieren. Wenn ich mir einen Katalog für 2022 runterlade und sehe, dass er von Lischen Müller mit der Mail-Adresse spam-mich-zu@domain.de erstellt wurde und dabei Office 2000 verwendet wurde, dann kann ich ohne irgendwelche rechtlich grenzwertige Dinge schonmal darauf hinweisen, dass man diese Daten beim Veröffentlichen lieber löschen sollte. Hier kann man ein schönes Angriffszenario drauf aufbauen face-wink

Aber Grundsätzlich: Wenn der Typ schon beim groben Hinsehen was in deiner Infrastruktur sieht, könntest du ja selbst nachschauen ob er nicht recht hat.
Ich hab mal an einer Pen-Test Fortbildung teilgenommen, in der gezeigt wurde, wie eine Produktionsanlage nur mit google Suchbegriffen gefunden wurde. Die Software war aus dem Internet erreichbar und Admin-Credentials warne nach der Installation nicht verändert worden, so dass das Handbuch was man über Google finden konnte zum Login ausgereicht hat. An der Stelle hat der Pen-Tester aber auch deutlich darauf hingewiesen, dass das die Eingabe des Kennwortes in dem Moment einen Rechtsbruch darstellt. Aber auch an der Stelle: Alleine das Auffinden dieser Produktionsmaschine ist keine Straftat. Sie beginnt beim Einloggen. Wenn also so eine Maschine frei zugänglich aus dem Internet gefunden wird, dann kann man da ja schon mal die Firma kontaktieren und anbieten das Netzwerk gründlich zu untersuchen.

Die Frage ist ja auch:
Zitat von @CC3P0O0:
wie oft kontaktieren Euch Anbieter, welche auf Schwachstellen in der IT-Infrastruktur aufmerksam machen und ignoriert ihr diese Schreiben bzw. wie geht ihr damit um?
Es gibt gibt an der Stelle sicher auch kleinere DL die einfach bei einer kritischen Schwachstelle (Stichwort nochmal Hafnium-Exploit) Unternehmen auf gut Glück anschreiben.

Gruß
Doskias
Member: ukulele-7
ukulele-7 Apr 25, 2022 at 13:54:10 (UTC)
Goto Top
Ich kenne nur Fälle in denen allgemeine Schwachstellen in Unternehmen angesprochen wurden, die ggf. durch aktuelle Ereignisse in den Medien präsent sind. Das ist übliches Marketing und daran ist nichts illegal oder Grauzone, das darf jeder verschicken der meint er generiert dadurch Kunden.

Die nächst nervigere Stufe ist dann der Anrufer, der nachfragt ob man die E-Mail den erhalten und gelesen habe. Ich habe schon echt penetrante Fälle gehabt da wollte man mir einen Termin vorschlagen Zwecks Präsentation und hat dann angerufen und es ging natürlich um "eine Terminvereinbarung, die noch statt finden muss". Am Ende ist das aber auch Marketing.

Wenn jemand auf eine konkrete Sicherheitslücke in deinem System hinweist würde ich das auf keinen Fall einfach abtun. Auch das ist nicht zwingend illegal, kann aber. Du musst natürlich tätig werden und die Sicherheitslücke abstellen.

Je nach Intention des "Angreifers" würde ich rechtliche Schritte in Erwägung ziehen wenn dem Angreifer etwas vor zu werfen ist (z.B. unlauterer Wettbewerb, er Daten nicht herausgeben oder löschen will oder er versucht einen wirtschaftlichen Vorteil daraus zu ziehen). Wenn das nur ein "hilfsbereiter Bürger" oder ein Wissenschaftler ist dagegen nichts zu sagen.

Oder es handelt sich um jemanden der nur Behauptungen aufstellt, also Marketing Dummschwätzer. So dreist war bisher auch noch keiner bei mir.
Member: C.R.S.
C.R.S. Apr 25, 2022 at 14:12:03 (UTC)
Goto Top
Hi,

das kam in 15 Jahren jetzt genau einmal vor, und das auch nur im Kontext eines Großkonzerns. Der Hinweis des "Security-Researchers" war so mäßig glaubwürdig, aber natürlich wurde dem nachgegangen, das erfordert die Sorgfaltspflicht. Wenn ihr regelmäßig Post bekommt, die ebenso regelmäßig gelöscht wird, macht das etwas skeptisch.

Mal von der anderen Seite betrachtet: Mein früheres Unternehmen ist im Bereich der OSINT-Gewinnung für Sicherheitsbehörden tätig. Kann man sich in dem Zusammenhang etwa wie Shodan vorstellen. Es war praktisch Alltag, Backups, E-Mail-Archive, oder "Data-Rooms" auf irgendwelchen offenen FTP- und Web-Servern (htaccess vergessen) aufzugabeln; führend dabei die Rechtsdienstleistungs- und Werbebranche.
Für einen überschaubaren Zeitraum (und da selbst Jurist) dachte ich, es sei angebracht, zumindest einzelne inländische Betroffene zu kontaktieren. Bei solchen konkreten Fällen in unserem Tätigkeitsbereich erfordert das schon eine gewisse Hingabe und Prüfungsaufwand, Stichwort Methodenschutz. Trotz aller Diskretion konnte man den Anschreiben auch entnehmen, was wir tun, und dass wir es vermutlich nicht darauf abgesehen hatten, zukünftig anstelle des verantwortlichen Dilettanten dort unter den Schreibtisch zu krabbeln.
Das haben wir schnell wieder eingestellt, denn tatsächlich ist keine Antwort darauf die freundlichste Reaktion.

Grüße
Richard
Member: Mystery-at-min
Mystery-at-min Apr 25, 2022 at 14:49:08 (UTC)
Goto Top
Hallo,

die Frage ist doch nicht, wer euch kontaktiert, oder wie groß diese sind, sondern was tatsächlich anliegt. Aus dem Verlauf hier lässt sich zumindest erahnen, dass die Sophos zwar im Einsatz ist aber vielleicht nicht optimal eingerichtet ist. Auch eine WAF Bringt nur so viel, wie Sie sicher eingerichtet wurde.

Natürlich kann man auch alle Warnlampen ignorieren, oder man macht sich die _Arbeit_ und trennt die Spreu vom Weizen.

Vielleicht solltest du dir mal den einen oder anderen zu Gemüte führen. Übrigens steht ein PenTest nicht am Anfang eines IT-Checks, sondern nach der ersten Runde der Internen Behebung. Sonst stopfst du vielleicht die Löcher von aussen und innen hast du ein Schwarzes...

VG
Member: GrueneSosseMitSpeck
GrueneSosseMitSpeck Apr 26, 2022 at 10:40:18 (UTC)
Goto Top
Das Abscannen einer fremden Infrastruktur auf Schwachstellen wäre in den USA ein Tatbestand, wo einem noch am selbe Tag das FBI die Bude leerräumt wenn man das mit dem "falschen" macht und man landet dann mit oder ohne Prozeß 5 Jahre in Isolationshaft. Bei uns in Deutschland ist das zwar nicht so krass, aber dennoch verboten durch den "Hackerparagraphen".

Als Betreiber einer Infrastruktur sollte man ohnehin regelmäßig selber checken oder checken lassen ob man zu 100% geschützt dasteht oder nicht.
Member: Mystery-at-min
Mystery-at-min Apr 26, 2022 at 13:07:04 (UTC)
Goto Top
Nunja, dann ist jeder Besuch einer Website bereits potenziell strafbestandwürdig. Hurra!


Beispielsweise jeder Exchange offenbar die Versionsnummer unter der er läuft. Punkt, Satz, Sieg.

Dito Wordpress, apache, nginx ungehärtet...
Member: pentester
pentester Oct 05, 2022 at 08:19:32 (UTC)
Goto Top
Ich arbeite in diesem Umfeld, zufälligerweise auch in Frankfurt - allerdings nicht bei dem Anbieter. Im Prinzip ist das unseriös und kann ignoriert werden. Es klingt eher danach, als würde ein IT-Systemhaus einen automatisierten Schwachstellen-Scan als Penetrationstest verkaufen wollen.

Wenn wir durch Zufall eine Lücke bei einem anderen Unternehmen identifizieren, dann machen wir das andere Unternehmen darauf aufmerksam und informieren dieses darüber. Ob sich daraus dann einmal ein Auftrag ergibt.. steht aber in den Sternen.

Das andere, gezielt im Netz nach Vulns bei Unternehmen suchen (VulnScanner finden immer irgendetwas... unbedeutendes, False Positive) und dann damit Vertrieb machen.. unseriös. Finger weg. Löschen.
Member: ukulele-7
ukulele-7 Oct 05, 2022 at 09:14:03 (UTC)
Goto Top
Zitat von @pentester:

Das andere, gezielt im Netz nach Vulns bei Unternehmen suchen[...] und dann damit Vertrieb machen.. unseriös.
Und ich würde behaupten illegal ohne Zustimmung vorab.
Member: pentester
pentester Oct 05, 2022 at 09:50:20 (UTC)
Goto Top
Ich würde sagen: Rechtliche Grauzone. Eventuell greift man ja niemanden an, man ruft öffentlich erreichbare Informationen ab. Wenn der Scanner XSS oder SQL Injections versucht... wird es dunkel grau. Wenn der Scanner aber nur Versionsnummern abzieht und intern gegen eine Datenbank prüft, hell grau.

Hängt also meiner Meinung nach etwas vom Einzelfall ab. Unseriös ist es aber auf jeden Fall, illegal vielleicht.
Member: Doskias
Doskias Oct 05, 2022 at 10:02:37 (UTC)
Goto Top
Ob illegal oder nicht, entscheidet im Zweifel das Gericht face-wink
Member: ukulele-7
ukulele-7 Oct 05, 2022 at 10:15:51 (UTC)
Goto Top
Zitat von @Doskias:

Ob illegal oder nicht, entscheidet im Zweifel das Gericht face-wink
Wird schon lustig das zur Anzeige zu bringen und dem Dorf-Polizist zu erklären was er jetzt bitte machen soll face-smile
Mitglied: 6376382705
6376382705 Jul 17, 2023 updated at 15:15:41 (UTC)
Goto Top
Spannend.

Exakt heute so gehabt.

Ungefragter Postscan auf unsere Domain inkl. Email direkt an die IT. Dumm nur, dass das nur der Webspace von unserem Hoster war - Danke DNS. Einerseits: frech, andererseits: hilfreich (wenn ein Admin keine Ahnung von nmap & co hat).

Dorf-Polizist
"Haben Sie etwas das Internet gelöscht?"