Ekkhart, die Russen ... Deutsche Regierung gehackt?

Hab leider viel zu lange für den Verein gearbeitet und wenn T-Systems eins fehlt, dann Einsicht und Weitsicht.
Sie lernen einfach nicht aus Fehlern der Vergangenheit. Gut, wenn ein Projekt mal läuft, dann läuft es meistens, wenn es auch immer wieder Probleme geben kann.
Aber die Anfangsphase ist (ich kenne es nur von T-Sys) katastrophal. Da können die Mitarbeiter auch nix für, auch bei T-Sys gilt: Der Fisch stinkt vom Kopf her. Teamleiter und höhere Führungstiere sägen sich gerne gegenseitig an den Stühlen, Hauptsache der eigene Profit stimmt.

 

Teile der Antwort koennten manche Leute verunsichern

https://blog.fefe.de/?ts=a4597b03

 

Wieso wundert mich das Ganze so überhaupt nicht

 

Das haben Konfigurationsdateien so ansich.

 

Zum Thema "westliche Medien" gibt es schon eine interessante Anstaltsfolge. Und diese bezieht sich nur auf Deutschland.
Und dass Russland als Großmacht seine eigenen Interessen verfolgt ist nun wahrlich keine neue Erkenntnis. Es ist nur kein Grund alles unreflektiert zu glauben was unsere Medien zum Thema Russland äußern.

Wer etwas mehr über russische Interessen in gewissen Regionen erfahren möchte, dem kann ich nur folgende Videos empfehlen. Dannach kann man vielleicht auch diverse Spannungen und Konflikte besser verstehen


https://www.youtube.com/watch?v=d95PuxKfWpM

https://www.youtube.com/watch?v=-iqIUjNABfU

https://www.youtube.com/watch?v=Kn1r1elWIoI

 

PW müssen in einer Config-Datei im Klartext liegen? Seit wann denn das?

 

Schon immer.

 

Bist du betrunken? man legt sie ZUMINDEST gehashed ab, im Idealfall noch mit einem secret salted.

Wer unhashed/unverschluesselte Passwoerter (sprich: den Schluessel direkt daneben legen, oder unsichere Hashverfahren verwenden) speichert, dem gehoert der Computerfuehrerschein entzogen.

 

Schon klar. Aber darum gehts hier nicht.

In Squirrel (SQL-Client) kannst du Server speichern, also IP, Benutzer, Passwort. Damit du dich schnell zu deinem Server verbinden kannst. Natürlich ist das Passwort dann unverschlüsselt gespeichert.
Natürlich kann man versuchen das Passwort irgendwie zu verschleiern, aber es bleibt trotzdem unverschlüsselt. Ist ähnlich wie im Browser, wenn dort kein Masterpasswort gesetzt ist sind die natürlich auch alle unverschlüsselt.

 

Kennen sie: Access/Session Token? 2FA? Oder warum benutzt man nicht die Schnittstelle des OS zum speichern der Passwoerter?

 

Das musst du die Entwickler fragen.

 

Das klingt so, als sollte die Software im Idealfall genau niemand nutzen

 

wieder was gelernt

 

Ich kenne auch dutzende Software die Passwörter unverschlüsselt in die Ini Files packt.

Nicht nur die für die Software sondern Datenbankverbindungen usw. direkt dazu.

Für nicht sicherheitsrelevante Bereiche ist das meistens bumms

 

Die Frage ist, wie man das anders lösen will. Features wie Favoriten/Bookmarks von Servern (sei es SSH, Datenbanken, FTP ...) dienen genau dazu, dass man sich Verbinden kann ohne ein Passwort einzugeben.
Serverseitig schaut es natürlich ähnlich aus, ein Wordpress hat die Datenbankverbindung natürlich unverschlüsselt gespeichert.

 

Naja, das ist ja eigentlich auch nicht das Problem. Das Problem faengt an, wenn Unbefugte auf deinen Hosts rumpfuschen. Und das geht nur, wenn entweder deine Security scheisse und voll Schlangenoel ist, oder deine Leute unfaehig sind und ungefragt attachments ausfuehren.

Als jemand der mit 'Cyber' sein Geld verdient, sind die wenigsten Angriffe (sprich: keiner) krasse advanced persistent threads mit $fortlaufender Nummer. Das ist alles die uebliche Wald- und Wiesen Trojanersoftware, jahrelang bekannt und dann ueber Angriffsvektoren eingefallen, die immer die gleichen sind. USB-Sticks oder Email.

Die Vireninfektion ist nachher das Symptom schlechten Systemmanagements, schlechter Prozesse und schlechter Berechtigungskonzepte Dagegen hilft keine Software und auch kein auf die Russen schimpfen.