Apple News: Obszöne Nachrichten von Hackern

[PCGH-Redaktion]

Jetzt ist Ihre Meinung gefragt zu Apple News: Obszöne Nachrichten von Hackern

Das Portal Fast Company ist Opfer einer Cyberattacke geworden. Etliche iPhone-Nutzer haben daraufhin obszöne Nachrichten via Apple News erhalten.

Bitte beachten Sie: Der Kommentarbereich wird gemäß der Forenregeln moderiert. Allgemeine Fragen und Kritik zu Online-Artikeln von PC Games Hardware sind im Feedback-Unterforum zu veröffentlichen und nicht im Kommentarthread zu einer News. Dort werden sie ohne Nachfragen entfernt.

Zurück zum Artikel: Apple News: Obszöne Nachrichten von Hackern

 

[xActionx]

Was PCGH schreibt:

Das Portal Fast Company ist Opfer einer Cyberattacke geworden.

Was ich lese:

Das Portal Fast Company hatte seine Security nicht im Griff.

Das in heutiger Zeit noch immer von Attacken/Angriffen und ähnlichem geredet wird, wenn so etwas passiert, zeigt einfach, dass dieses Land nicht verstanden hat, wie IT-Sicherheit funktioniert. Wenn ich ein Loch im Dach habe, das ich nicht flicke und es reinregnet, spricht auch niemand von einer "Wetterattacke".

 

[Schinken]

(...)
Das in heutiger Zeit noch immer von Attacken/Angriffen und ähnlichem geredet wird, wenn so etwas passiert, zeigt einfach, dass dieses Land nicht verstanden hat, wie IT-Sicherheit funktioniert. (...)

Aber perfekte Sicherheit gibt es nicht. Egal wie sehr man sich vorbereitet, es bleibt nur eine Frage des Aufwands.

 

[xActionx]

Aber perfekte Sicherheit gibt es nicht. Egal wie sehr man sich vorbereitet, es bleibt nur eine Frage des Aufwands.

Wenn der Hack dazu dient, obszöne Nachrichten an Apple-User zu schicken und somit wahrscheinlich keinen monetären Gegenwert bereithält, kann der Aufwand nicht sonderlich hoch gewesen sein.

Mal ganz abgesehen davon, ist das auch immer eine Ausrede die man von irgendwelchen zweitklassigen Webentwicklern hört, die ihr Frameworkchaos nicht durchblicken. Da braucht man gar nicht an perfekte Sicherheit denken, wenn man sieht wie die Codebases exponentiell wachsen. Man sieht es wieder an der aktuellen libexpat-Lücke.

 

[Schinken]

Wenn der Hack dazu dient, obszöne Nachrichten an Apple-User zu schicken und somit wahrscheinlich keinen monetären Gegenwert bereithält, kann der Aufwand nicht sonderlich hoch gewesen sein.

Ist das nicht ne Recht begrenzte Vorstellung? Es geht nicht allen immer nur ums Geld. Gerade hier ist ja klar, dass die Motivation woanders lag. Spieltrieb? Antipathie gegen die Firma oder was man meint, wofür sie steht? Ne Mutprobe? Einstellungstest bei irgendeinem geheimen Hackerkollektiv? Gelangweiltes Wunderkind? Was weiss ich, aber ich kann mir genug Motivationen vorstellen die auch höheren Aufwand rechtfertigen.

Aber vielleicht war es auch ein blöder Zufall? Auch gegen sowas ist man bei bester Vorbereitung nicht gefeit. Oder lass die Lücke in Third Party Soft- oder gar Hardware gewesen sein.

Jedenfalls ist es müßig ohne weitere Infos zu spekulieren oder gar ein Urteil zu fällen.

 

[xActionx]

Ist das nicht ne Recht begrenzte Vorstellung? Es geht nicht allen immer nur ums Geld. Gerade hier ist ja klar, dass die Motivation woanders lag. Spieltrieb? Antipathie gegen die Firma oder was man meint, wofür sie steht? Ne Mutprobe? Einstellungstest bei irgendeinem geheimen Hackerkollektiv? Gelangweiltes Wunderkind? Was weiss ich, aber ich kann mir genug Motivationen vorstellen die auch höheren Aufwand rechtfertigen.

Das sind alles keine Gründe, die einen exorbitanten Aufwand rechtfertigen. Ich bin mir relativ sicher, dass hier kein ZeroDay ausgenutzt wurde. Dinge wie 'Einstellungstest bei irgendeinem geheimen Hackerkollektiv' oder 'Gelangweiltes Wunderkind' klingen wie die romantisierte Vorstellung des "Hackers", die Hollywood ganz gerne vermittelt.

Aber vielleicht war es auch ein blöder Zufall? Auch gegen sowas ist man bei bester Vorbereitung nicht gefeit. Oder lass die Lücke in Third Party Soft- oder gar Hardware gewesen sein.

Für so etwas gibt es Vulnerability Management, entsprechened Audits und mehrstufige Sicherheitskonzepte. Ich nehme an, um derartige Dinge mit dem System anstellen zu können, sind stark privilegierte Zugriffe notwendig. Wenn die überhaupt von Extern komprommitierbar sind, lief schon organisatorisch etwas komplett falsch.

Jedenfalls ist es müßig ohne weitere Infos zu spekulieren oder gar ein Urteil zu fällen.

Nein, eigentlich nicht. Solche Vorfälle sind mein Arbeitsalltag und bisher lag es immer daran, dass jemand schlampig gearbeitet hat. Mit 99%iger Sicherheit war es hier nicht anders.

 

[Schinken]

Das sind alles keine Gründe, die einen exorbitanten Aufwand rechtfertigen.

Für dich. Nur für dich. Das war mein Punkt.

Ich bin mir relativ sicher, dass hier kein ZeroDay ausgenutzt wurde. Dinge wie 'Einstellungstest bei irgendeinem geheimen Hackerkollektiv' oder 'Gelangweiltes Wunderkind' klingen wie die romantisierte Vorstellung des "Hackers", die Hollywood ganz gerne vermittelt.

Das sollte auch nur die Fantasie anregen . Es gibt mehr Motivationen als wir uns vorstellen können.

Für so etwas gibt es Vulnerability Management, entsprechened Audits und mehrstufige Sicherheitskonzepte. Ich nehme an, um derartige Dinge mit dem System anstellen zu können, sind stark privilegierte Zugriffe notwendig. Wenn die überhaupt von Extern komprommitierbar sind, lief schon organisatorisch etwas komplett falsch.

Schon klar, mein Arbeitsalltag ist es auch. Und trotzdem solltest du doch wissen, das alles kompromittierbar ist, was einen externen Zugang hat.

Sieh es Mal so, vielleicht ist das Sicherheitskonzept ja aufgegangen, die Hacker haben nur die Kontrolle über laufende Feeds bekommen aber sind nicht an die wirklich wichtigen Datenbanken, Zahlungsinformationen etc. gekommen.

Nein, eigentlich nicht. Solche Vorfälle sind mein Arbeitsalltag und bisher lag es immer daran, dass jemand schlampig gearbeitet hat. Mit 99%iger Sicherheit war es hier nicht anders.

Ohne genauere Infos können wir das nicht wissen. Wenn die Erfahrungen eines einzelnen SIs (nehm ich an?) repräsentativ wären, wär die Welt schön einfach. Leider ist sie das nicht.

 

[xActionx]

Für dich. Nur für dich. Das war mein Punkt.

Nein, nicht nur für mich. Das gilt für jeden. Dass ein "Wunderkind" oder eine einzelne Person einen ZeroDay findet und dann noch erfolgreich exploited ist absolut nicht die Norm. Solche Lücken werden idR von großen Firmen oder Geheimdiensten gefunden.

Das sollte auch nur die Fantasie anregen . Es gibt mehr Motivationen als wir uns vorstellen können.

Keine die diesen Aufwand rechtfertigen.

Schon klar, mein Arbeitsalltag ist es auch. Und trotzdem solltest du doch wissen, das alles kompromittierbar ist, was einen externen Zugang hat.

Das ist naiv so etwas zu behaupten. Mit einem vernünftigen Sicherheitskonzpet, mehrstufiger Authentifzierung, PAM, etc. müsste ein derart immenser Aufwand betrieben werden, dass es ebenfalls nicht den Nutzen rechtfertigt.

Sieh es Mal so, vielleicht ist das Sicherheitskonzept ja aufgegangen, die Hacker haben nur die Kontrolle über laufende Feeds bekommen aber sind nicht an die wirklich wichtigen Datenbanken, Zahlungsinformationen etc. gekommen.

Unwahrscheinlich. Solche Live-Feeds -besonders bei größeren Anbietern- sind idR durch PAM und mehrstufige Authentifizierung geschützt. Wenn du so einen Zugang erstmal hast und es auf Zahlungsinformationen oder interne Datenbanken abgesehen hast, hälst du deine Präsenz im Netzwerk so geheim wie möglich, um dich lateral zu bewegen, bis du die Zugänge hast, die du brauchst, um an die interessanten Daten zu kommen.

Ohne genauere Infos können wir das nicht wissen. Wenn die Erfahrungen eines einzelnen SIs (nehm ich an?) repräsentativ wären, wär die Welt schön einfach. Leider ist sie das nicht.

Das sind nicht einzig und alleine meine Erfahrungen. Das deckt sich quasi mit den Erfahrungen aller in dieser Branche... Vom Security Consultants bis hin zum CySec-Engineer.

Ganz wichtig ist in diesem Kontext nicht wie du von einem Black-Swan-Event wie "dem Wunderkind" oder dem "Hackerkollektiv" auszugehen. Bei Hufgeräuschen denkt man ja auch nicht direkt an Zebras.

 

[Schinken]

Nein, nicht nur für mich. Das gilt für jeden. (...)

Joa, auf der Grundlage diskutiere ich nicht weiter. Schönen Abend.

 

[xActionx]

Joa, auf der Grundlage diskutiere ich nicht weiter. Schönen Abend.

Auf welcher Grundlage?

Dieses "nur für dich" und "kann man nicht ausschließen" sind ohnehin argumentative Bankrotterklärungen. Man kann auch nicht zu 100% ausschließen, dass da interstellare Echsenmenschen am Werk waren. Es geht rein um Wahrscheinlichkeiten.

 

[Mahoy]

Das in heutiger Zeit noch immer von Attacken/Angriffen und ähnlichem geredet wird, wenn so etwas passiert, zeigt einfach, dass dieses Land nicht verstanden hat, wie IT-Sicherheit funktioniert. Wenn ich ein Loch im Dach habe, das ich nicht flicke und es reinregnet, spricht auch niemand von einer "Wetterattacke".

Bisher konnte man Regen noch nicht dabei beobachten, gezielt nach undichten Stellen in Dächern zu suchen, um vorsätzlich deinen Teppich zu versauen.

Insofern ...

 

[xActionx]

Bisher konnte man Regen noch nicht dabei beobachten, gezielt nach undichten Stellen in Dächern zu suchen, um vorsätzlich deinen Teppich zu versauen.

Insofern ...

Glaub es oder nicht aber von gezielter Suche kann man bei den meisten dieser Vorfälle auch nicht sprechen. Da grasen Botnetze ganze IP-Ranges ab und testen automatisiert auf mögliche alle möglichen Verwundbarkeiten.