Hallo
laut logfiles hat jemand einem Kunden von mir Schaden in Form von Datenverlust zugefügt. IP ist bekannt - Zeit auch. Ich konnte den Übertäter auch einigermaßen geogrfisch lokalisieren. Was ist der nächste Weg? Anwalt, Polizei oder was?

Lieben Gruß
Ronny

Nächster Weg ==> Polizei.

Dein Anwalt kann jetzt ohnehin nichts weiter ausrichten, als ebenfalls Strafanzeige zu erstatten, da du das aber auch selbst kannst und nebenbei die Kosten sparst, kannst du das auch selber.

Den Anwalt würd ich erst einschalten, wenn Schadensersatzforderungen gegen den Täter geltend gemacht werden sollen und/oder die Beweislast nicht wirklich eindeutig bzw. schwierig ist und dein Anwalt ergänzend ermitteln kann etc, als Beistand zur eventuellen Nebenklage etc.

Das Loch lokalisieren und schliessen.
Dies geht natürlich mit der rechlich notwendigen Analyse einher.

1. Schritt => Polizei und Anzeige aufgeben, da das Eindringen in eine Datenverarbeitungsanlage strafrechtlich verfolgt wird. Dies kann für den "Eindringling" sehr üble Folgen haben, die nicht selten mit Gefängnis oder einer hohen Geldstrafe enden (je nach Schwere und Absicht). Das Eindringen in eine Datenverarbeitungsanlage ist kein Kavaliersdelikt.

2. Schritt => Stellt die "Staatsanwaltschaft" das Verfahren ein, kann dein Anwalt einsicht nehmen in die Akten und du kannst das auf dem zivilen Weg verfolgen (Schadenersatz und Co.).

Ps. Natürlich das was Alain gesagt hat als erstes tun

Laut LogFile ist er (wie auch immer) über das Adminzugang reingekommen. Heißt aber er muss ein Passwort gehabt haben.
Ich werde den Kunden fragen ob er einen Strafantrag stellen will.

Gruß Ronny

Frag ihn gleich nochmal, ob das Passwort admin oder test war...

Nein,- die Passwörter sind frei und MD5 verschlüsselt

Ronny

Hallo Ronny,

Du musst nicht den Umweg über die Polizei nehmen, sondern kannst direkt bei der Staatsanwaltschaft Anzeige erstatten.

Mit Schadensersatzforderungen würde warten, bis die strafrechtliche Seite geklärt ist.
Wird der Täter rechtskräftig verurteilt, ist eine Schadensersatzklage eine reine Formsache.

Sylvia

Das ist nicht ganz korrekt (meines Wissens) die erste Instanz ist immer die Polizei. Diese übergibt das Protokoll dann dem zuständigen Amt.

Ich habe nochmal über den Vorfall nachgedacht.

Daß jemand bei einem guten PW in ein Adminmenü reinkommt, spricht für einen Fehler im Code. Ich würde daher meine Energie darauf verwenden, das Ding wieder dicht zu bekommen.

Die Strafverfolgung dürfte möglicherweise im Sand verlaufen. Selbst wenn nach Monaten ein vermeintlicher Täter ermittelt ist, hast Du noch lange keinen Schadensersatz realisiert.

Ich denke, ich würde eher technisch rangehen, das Loch stopfen und ein Backup drüberbügeln.

Das Loginprinzip ist meines erachtens nicht gerade leicht zu knacken
Das Paswort als Formularwert wird MD5 verschlüsselt und datenbankseitig mit dem MD5 String veglichen welches (sofern vorhanden) zum Namen passt. Alles wird als Formularvariable nicht als Url-Variable übergeben.
Injektons wie "... or where 1=1" werden nicht zugelassen

Gruß Ronny

Ist das wirklich so? Oder nur in der Schweiz?
Ich hatte vor einigen Wochen das Problem, dass ein Mitbewerber sich Zugang zu unserem internen Bereich verschaffte und hier munter mitlas. Ob betriebsinterne Informationen weiter gegeben wurden, kann ich nicht sagen.
Identifizieren konnte ich 4 verschiedene IP-Adressen (ich spreche hier absichtlich nicht von Personen).

Ich habe mich daraufhin an meinen Anwalt gewandt, dieser meinte jedoch, dass dies keinerlei Straftatbesand darstellen würde und ich - so lange mir kein nachweislicher Schaden entstanden ist - nichts dagegen machen könne.

Daher würde es mich mal interessieren, wie hier die Gesetzeslage ist (für Deutschland zumindest).
Gibt es hierzu Geetzestexte und/oder Gerichtsentscheide?

Danke,
LG
André

Hallo Marc,

doch das geht tatsächlich in Deutschland.

Ich habe vor einiger Zeit eine Anzeige erstattet, das sagte mir die Polizei selbst ich könne dies bei der Staatsanwaltschaft tun.
Sie würden die Anzeige auch nur dorthin weiterleiten.

Allerdings kann es auch sinnvoll sein den Weg über die Polizei zu gehen, wenn man sich nicht sicher ist wie so eine Anzeige auszusehen hat.
Das ganze geht zwar formlos, doch wenn der Staatsanwalt nur ein wirres Durcheinander von Fakten vorfindet, kann es sein das er die Anzeige einstellt.

Sylvia

Wer sich solche Arbeit macht, ist meistens sowieso mit einer anderen IP unterwegs....


Würde mir da nicht allzugroße Hoffung machen, dass dort hinter der IP tatsächlich der Verursacher steckt.

Das hat derzeit nicht allzuviel zu sagen.

Bsp. kann ein gewöhnliches Suchformular (oder irgendein anderes Eingabeformular) eine Lücke enthalten. Diese kann es ermöglichen, daß man sich per Sql-Injection Daten aus den internen Masken

Nutzername MD5-Passwort

auslesen und anzeigen lassen kann.

Hat man den MD5-Wert, kann man auch rasch einen Code schreiben, der mal wild testet. Als Ergebnis erhält man den Nutzernamen und ein zugehöriges Passwort mit demselben MD5 - Wert - und man ist drin. Eine andere Variante sind Codefehler, die es ermöglichen, per JavaScript Sessionvariablen weiterzuleiten. Da braucht man gar kein Passwort dazu.

Ein anderes grundlegendes Problem besteht darin, daß jemand dasselbe Passwort für verschiedene Seiten verwendet - und eine andere Seite irgendeine Lücke aufweist, so daß das Passwort von dort stammt.

Ich bin bei server-daten inzwischen völlig davon abgekommen, daß sich Nutzer ihre eigenen Passwörter definieren können. Ich hatte zwar mal ursprünglich eine solche Logik entwickelt. Faktisch stellt sich allerdings heraus, daß es auch hervorragend ohne geht.

Schließlich: Hier hatte ich auf Probleme hingewiesen, die auch bei mySql auftauchen können, da die neueren Versionen Funktionen wie Cast unterstützen. Da reicht ein Zahlenfeld (bsp. Kategorie als Pulldownliste, die als Zahl übergeben wird), das nicht auf einen korrekten Wert überprüft wird. Und schon kann man Code der Form

einschleusen, der kein einziges ' mehr enthält.

Ja, solche hübschen Dinge meine ich.

Einfach per Union das Suchergebnis 'erheblich' vergrößern - mit allem an internen Informationen aufhübschen, was einen so interessiert.

Und wenn das erst einmal geht: Beim Update eines Datensatzes in ein Feld so etwas wie

reinschreiben.

Das führt im Ernstfall dazu, daß ab diesem Feld alles auskommentiert wird - einschließlich der Where-Bedingung, die dafür sorgt, daß bloß eine Zeile aktualisiert wird. Also werden alle Zeilen aktualisiert. Dann ist diese Tabelle wertlos - weil alle Einträge denselben Inhalt haben.

Es gibt noch zig andere Möglichkeiten. Was ich eigentlich sagen wollte: Konzentrier Dich besser auf ein Audit des Systems. Die juristische Aufarbeitung kann leicht in einer Sackgasse landen und ersetzt Punkt 1 nicht.

ohne jetzt _alle_ anderen Beiträge gelesen zu haben:

Erstens ist ein normaler MD5-String so sicher wie ne Katze auf der Autobahn.
Zweitens sollte man den Login an die IP kletten inkl. individuellem Hash, um das Ausspionieren der Daten zu verhindern.
Das könnte, wie jAuer in einem anderen Beitrag mal beschrieben hatte, natürlich auch ein nur ein bspw. durch PHP-generiertes Bild sein, was die Cookies ausliest...
Man könnte dazu noch viel schreiben, aber so far scheint deine Methode nicht die sicherste zu sein.....

Ich hatte da mal einen Beitrag geschrieben, weiss aber nicht ob der noch auf dem neuesten Stand ist, kannst ja trotzdem mal reinschauen:
http://innovative-webmedia.de/2008/02/08/x...ndert/#more-144
(Übrigens: $_GET-Variablen sind meist sicherer als $_POST-Variablen. Bei $_POST, insofern kein Verbot seitens Apache vorliegt kann ich dir praktisch jeden Sch*** rübersenden.)

Kannst du mal etwas erklären?was du genau damit meinst

Gruß Ronny

Wenn sich der "richtige" User einloggt, dann sollte man versuchen XSS zu verhindern. Wenn bspw. jemand per XSS wie auch immer die Session- bzw. Cookie-Daten klaut, dann sollte ihm das nicht reichen um ins System zu kommen. Deswegen verbindest du den Hash der im Cookie und in deiner DB steht FEST mit einer ip in der datenbank... du speicherst sozusagen die Cookie-Session in der Datenbank... wenn die IP sich auch nur leicht geändert hat, LOGOUT... dann hat er zwar username (is ja nich so schlimm) und verschlüsseltes passwort, wenn es aber nicht NUR in normalen md5 verschlüsselt ist, wird er nicht ins System kommen.