Am 9. Oktober zum Thema Presse
Interview mit Sicherheitsexperte Boris Koch
Ich habe ein kurzes Interview gegeben, zu den Themen Google Hacking, unsichere NAS Festplatten und FTP Server, sowie zu weiteren relevanten und aktuellen Sicherheitsproblemen im Web.
Interview mit Boris Koch auf Magnus.de
Hacker und Sicherheitsexperte Boris Koch hat ein größeres Sicherheitsproblem bei NAS-Systemen aufgedeckt und berichtet in seinem Blog www.boris-koch.de darüber. Er lebt bei Münster und arbeitet als Social-Network-Berater. Das Interview führte Wolf Hosbach.
Hier gehts zum Interview auf Magnus.de
War dieser Artikel für Sie interessant? Empfehlen Sie mich weiter! Auch über Ihren Kommentar würde ich mich freuen. Beste Grüße, Boris Koch
Facebook Kommentare:
Zusammenfassend kann man also sagen, dass du auf einer Suchmaschine nach offenen ftp Servern gesucht hast und dir dann mittels eines Firefox Plugins deren Inhalte angeschaut hast? Wo ist da die von dir entdeckte Sicherheitslücke bzw. das entdeckte Sicherheitsproblem?
sorry, da ist die falsche Email Adresse reingerutscht…
Was genau hat das jetzt mit Hacking tun? Du bist halt einer derjenigen, die wissen wie man eine Suchmaschine vernünftig bedient.
Ich definiere Hacking irgendwie anders..
@Martin Auf unzähligen FTP Servern und falsch konfigurierte NAS Festplatten finden sich mitunter sensible Daten, die da so nicht hingehören. Über eine spezielle Suchtechnik kann man diese Daten dann an die Oberfäche befördern. Das waren in der Vergangenheit mitunter brisantes Material. Sorry, wenn ich bei einigen Datenfunden hier nicht näher ins Detail eingehen kann.
Cheers
Boris
@Boris – das habe ich auch so verstanden. Der Text bei magnus.de suggeriert jedoch, dass du in allen NAS eine Sicherheitslücke gefunden hast. Was du ja gerade selbst wiederlegt hast. Du hast, wie beschrieben, einfach eine Suchmaschine bedient.
Hinzu kommt, dass, wie du auch im Text angegeben hast, der Server erstmal irgendwie an die Suchmaschine reportet sein muss – und wohl in den wenigsten Fällen ist es der Vorgang, wie du ihn beschreibst (Link an Freunde gegeben und irgendwann landet er im Netz). Dass du dann noch Material gefunden hast, welches sicher nicht öffentlich zugänglich sein sollte, liegt allein an der Blödheit der User. Das hat nichts mit irgendwelchen Sicherheitsproblemen von NAS FTP Servern und auch nichts mit hacking zu tun.
Mich würde ehrlich gesagt auch mal interessieren, wie man zu dem Titel Sicherheitsexperte kommt. Laut deinen Vorträgen bist du bisher nur in Sachen Social Media aufgetreten….
Sorry, soll kein bashing sein…
@Martin Also es gestaltet sich wie folgt: Die Hersteller diverser NAS Festplatten laden gewisse Handbücher in Form von .pdf auf die NAS. Hiermit sparen sich sich die hohen Druckkosten. Die User schalten FTP auf ihrer NAS frei, somit wird dieses besagte .pdf indexiert. Über Suchparameter kann man genau diese .pdf Dateien finden. Somit muss man die jeweiligen NAS Systeme zuvor genau kennen, denn bei jedem Hersteller lauten die Dokumente anders.
Was in der Presse immer wieder beschrieben wird ist das Google Hacking. Das aber nur ein Teil des Suchmaschinen-Hackings darstellt. Mit diverse FTP Suchmaschinen kann man ebenfalls hacken, bzw. den Suchcode so gestalten, dass dort andere Ergebnisse angezeigt werden als bei der Standartsuche eines Ottonormalbürgers.
So, diese Erkenntniss muss man zunächst einmal herausgefunden haben. Mir ist nicht bekannt, dass sich zuvor Jemand mit einer speziellen FTP Suche beschäftigt hat. (Jedenfalls nicht in der Form). Es wird doch lediglich immer vom Google Hacking, bzw. Deep Web Crawling im Web berichtet.
Es war ja auch nicht angedacht, das es dort auf Magnus.de eine detallierte Anleitung zum Eindringen in fremde Systeme gibt. Das können die sich garnicht erlauben.
Cheers
Boris