[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Datenschutz: Anzeige gegen T-Online



On Thu, Apr 24, 2003 at 11:50:09PM +0200, Florian Weimer wrote:
> Natürlich ist das eine strunzdumme Implementierung auf Seiten des
> vermeintlichen Opfers, aber wenn die Idee des automatisierten
> Gegenangriffs einmal salonfähig ist, muß man mit so etwas rechnen.

So gesehen bei einem (durch den Kunden gekauften) Security Scan:
Kunde bestellt das dümmste aller Tigerteam Pakete (Untersuchen
Sie unseren Server von außen, wie auch immer, wir geben keine
weiteren Informationen dazu, d.h. Sie sind Angreifer ohne
Vorinformationen).

Probe scheitert schon beim Portscan durch exzessive DROPs.

Vermutung: Windows-IDS mit automatischem IP-Blocking.

Beweis durch Dauer-Portscan mit Paketen, die als Absenderadresse
die Router-IP des letzten traceroute-Hop vor dem IDS haben, und
mit Paketen, die die Absenderadresse der Secondary MXe des
Kunden haben und mit Paketen, die als Absenderadresse die IP des
Kunden-Webservers bei deren Provider haben.

Warten auf Rückruf des Kunden - 2 Stunden später:

"Ja, wir haben ein IDS, und es hat Autoblocking eingeschaltet. 
 Wir wissen jetzt, das das eine dumme Idee ist. Könnten sie die
 Probes bitte abschalten?"

"Ja, gerne. Im übrigen steht ihr Cisco-Router nicht nur vor dem
 IDS, sondern hat auch SNMP aktiviert und das IOS ist
 exploitbar.  Sie sollten das ändern."

> Mein Anspruch ist nun der, daß jemand, der Gegenangriffe als Teil
> einer Lösung präsentiert will -- eine rein technische Maßnahme (mit
> lauter nichttechnischen Implikationen, was aber die Technizität nicht
> aufhebt), die Dinge so weit zuende denkt, daß solche Probleme wie das
> oben Skizzierte offenbar werden -- und rechtzeitig einen Rückzieher
> macht, möglichst bevor die Außenwelt von dem Gedanken etwas
> erfährt. 8-)

Yep.

Kristian

-- 
To unsubscribe, e-mail: debate-unsubscribe@lists.fitug.de
For additional commands, e-mail: debate-help@lists.fitug.de