Reale Erfahrungen und Shadowrun

    also bei uns in der firma (größerer laden für maschinenbau) kommt man ohne ausweis (RFID) oder pförtern z.B. nicht aufs gelände. besucher sind z.B. an der wache abzuholen, was bis auf regelmäßige besucher auch echt so gehandhabt wird. allerdings habe ich noch nicht mitbekommen, wie das z.B. mit baufirmen läuft. beim ersten mal werden die sicher recht gründlich gecheckt, aber ich vermute mal, spätestns am nächsten tag steigt da nur noch der fahrer des kleintransporters aus und meldet die truppe an. ist aber mehr eine spekulation meinerseits.


    was das einschüchtern bzw. wichtig tun angeht: wir wurden in sicherheitstrainings eigentlich auch gegen solches "social engineering" sensibilisiert. also sollten die leute fremde nicht "mal so eben" reinlassen. wie die realität ausschaut? grute frage ...

    Also jetzt will ich auch mal über die Sichheitspraktiken meines Exarbeitgebers herziehen. Also ich hab in einer Erlebnissgastro in nem Schwimmbad gearbeitet (Schwimmbad Angestellte ca 40+)(Gastro Angestellte 9+ unzählige immer wieder wechselnde Aushilfen). Es gibt da eine ganz nette Geschichte unzwar war ich zum Vorstellungsgespräch geladen: Ich komm zum Kassenbereich rein und sag der netten Servicekraft das ich wegen nem Vorstellungsgespräch für Firma XY, alles garkein problem niemand ruft dort an niemand will wissen wer ich bin, bekomm son paar Überzieher für die Schuhe und dann sagt man mir noch welchen Weg ich einschlagen muss und läßt mich alein. Ich stiefel also los durch dieses riesen Badparadies, alle Leute ignorieren mich(Ich der einzige in Straßenkleidung mit einer Umhängetasche "bewaffnet"), tja leider haben mich die Schilder an der Decke schnell in diee Irre geführt und ich suche jemanden vom Personal, da ich niemanden finden kann wollte ich eine der Blauen Türen nehmen auf denen Personalbereich steht, da man dort ja sicher jemanden vom Personal findet. Tja die Tür war nichtmal abgeschloßen und ich schaute auf in einen grauen Gang mit Schaltkästen und ner Treppe, niemand dort und meine Zeit wird langsam knapp um noch pünklich zu kommen also ruf ich einfach mal die Treppe runter und als mit niemand antwortet riskier ich auch mal nen blick (mehr aus neugier als jemaden zu suchen der mir hilft). Unten gabs ne menge rohre die alle zu einer Tür fürhten die nur angelehnt war wie der geräuschpegel mir zeigte.
    Ich hab die Stelle bekommen und irgendwann mal aus Neugier nachgefragt worum es sich bei dem Geräuschfollen raum handelt. Nun da ist die Chlormischanlage + die dazugehörigen mengen an Chlor in Druckflaschen, für einen nicht so netten Zeitgenossen wie ich einer bin währe das ganze eine einfach einladung gewesen mal eben das ganze Badeparadies in eine Chlorgass Hölle zu verwandeln.
    Ob die Tür mitlerweile verschloßen ist weis ich nicht aber mit dem ich hab ein Vorstellungsgespräch komm ich immer mal wieder im Sommer kostenlos in den Freibadbereich :D



    Ach und meine Connection ist vollkommen unnütz außer für Squatter die hungrig auf Bioabfälle sind und meine Familie wenn sie zu Feiern malwieder einen kostenlosen Kochservice braucht.

    Tipp- und Rechtschreibfehler sind absichtlich eingebaut und dienen nur der Belustigung des Lesers.

    Och, so unnütz seh ich das gar nicht... in SR könnte ich mir schon vorstellen, dass jemand in deinem Job durch den richtigen finanziellen Anreiz es möglich machen kann, Freikarten zu besorgen (um z.B. den Familienvater aus dem Büro zu kriegen) oder z.B. um besagtes Chlorgas zu klauen... mit sowas läßt sich was anstellen.
    Oder du läßt Leute durch einen Nebeneingang herein, hängst ein "Außer Betrieb"-Schild an die Sauna und vermietest das als Treffpunkt für Johnsons. Ist nämlich auch beliebt, so ein Treffen in der Sauna, da sind versteckte Waffen schwer mitzunehmen.
    Also mit genügend Kreativität kann man da etliche Nutzen finden, ohne den Realismus zu sehr zu quälen.

    oder man könnte die Tochter des Execs, die dort regelmäßig am Kinderschwimmen teilnimmt auf ein Eis einladen. Und den Exec so von der (W/R)ichtigkeit eures anliegen überzeugen :mrgreen:


    Möglichkeiten gibt es zu hauf jede connection sinnvoll einzusetzen :)



    Ich bin wohl der Typische Matrix-Jockey und als solcher für größtenteils Anwälte/Notare tätig kann aber bestätigen das "richtig/wichtig aussehen" + "fach Gelaber" + ein par Firmen interner nahezu jede Tür öffnen.
    Es ist so leicht an einen gesicherten Server zu kommen das ich manchmal weinen möchte...
    "mmmh Sie haben nicht zufällig das Server PW?" klappt erstaunlich oft.


    Ich hab mich z.b. mal in der Tür geirrt (Asche über mein Haupt) und bin bei einem falschen Büro ohne große Probleme an deren Server gekommen. Hab mich dann gewundert das die Domain und das Passwort nicht passte und hab mich dann noch mal erkundigt ob ich überhaupt richtig wäre. Die Empfangsdame hatte zu dem Zeitpunkt schon das Passwort rausgesucht und mir aufgeschrieben... den frisch aufgebrühten Kaffee hab ich dann noch getrunken und die Nette Dame vom Empfang drauf hingewiesen das so etwas nicht so gut ist ^^


    Anderer Arbeitgeber: Das Deutsche Militär
    Man kommt extrem gut in so gut wie jeden Sicherheitsbereich wenn man nur mit einem Schriftlichen Befehl (aka Stückpapier mit unleserlicher Unterschrift) wedelt. Ein Kamerad hat es mal mit einer unleserlichen Pizza Bestellung in eine Fremde Kaserne geschafft, weil er sein Truppenausweis bei uns liegen gelassen hat...

    Vor zehn Jahren hatte ich einen netten Studentenjob in einer großen Steuerberatungskanzlei mit knapp 200 Mitarbeitern, die auf fünf Etagen verteilt, gearbeitet haben. Im Erdgeschoss gab es einen, durchaus aufmerksamen Empfang, der immer gleich gefragt hat, wer man ist und zu wem man möchte. So einfach kam man nirgendwo hinein. Zudem begleitete die zweite Rezeptionistin die Klienten zum Aufzug, der nur mit Magnetkarte bedienbar war (ebenso wie die Eingänge zu den jeweiligen Etagen), fuhr mit diesen hoch und begleitete sie direkt zum Büro des jeweiligen Beraters oder zu einem der Konferenzräume.


    Ich habe mir damals schon überlegt wie man in so ein Gebäude tagsüber einsteigen könnte. Im Vorfeld könnte man sich durch das Stehlen/Auslesen/Nachbasteln einer Magnetkarte oder durch Bestechung des Werkstudenten, der die Magnetkarten programmiert (hey, für paar hundert Nuyen, äh Euro, hätte ich da schon was machen können), eine solche Magnetkarte besorgen. Damit stehen einem alle Türen offen und man wird als Mitarbeiter oder Servicekraft mit Gastkarte wahrgenommen.
    Am Empfang spielt man den im Blaumann gekleideten Hausmeister-Typen ("Hallo, Gebäudeservice, bin von der Hausverwaltung, mache heute den Jahreskontrollgang/die Elektronikabnahme/die Monatswartung im Keller wegen der Heizungsanlage/dem Wasserrohrbruch/dem toten Marder/dem seltsamen Geruch/dem Feuermelder..."). Zum Keller brauchte man keine Karte, aber vom Keller führte ein Aufzug in die restlichen Etagen^^. Wird man gefragt, wo der eigentliche Hausmeister ist, so kann man ohne Bedenken sagen, dass der "auch mal Urlaub hat/im Krankenhaus liegt/gekündigt hat/versetzt wurde".
    Im Keller zieht man sich dann einen schicken Anzug an (den man sich im Handwerkerkoffer mitgenommen hat) und fährt mit dem Aufzug in das gewünschte Stockwerk. Sollte wirklich jemand fragen wer man ist, so stehen zwei Möglichkeiten offen:
    - einer der vielen wechselnden Praktikanten / Rechtsreferendare: "Guten Tag, ich bin neu hier, habe gestern erst angefangen und mache hier ein Teil meines Referendariates, bin also nur drei Monate hier. Wo haben Sie ihr Büro? Ach ok, ja ich bin ganz unten, muss leider jetzt weiter...schönen Tag noch, man sieht sich [vermutlich nie wieder]."
    - ein wichtiger Senior Partner aus einer anderen Niederlassung: "Guten Tag, bin nur heute hier wegen der Blubbbla-Konzernsteuerprüfung. Ist schon zwei Jahre her als ich das letzte mal hier war, arbeite sonst in Genf/Paris/London. Und sie? Sind sie neu hier?"
    Gerät man zufälligerweise an den Filialleiter ist das Spiel leider vorbei. Aber die Chance liegt bei 1:1000, dass der sein Büro verlässt oder sich gar eigenhändig den Kaffee macht.
    In die Büros kommt man relativ leicht ungesehen hinein (auf die Mittagspause warten, die betreffende Person an den Empfang rufen lassen etc.). In den Büros kann man dann nach Herzenslust die jeweiligen Ordner (nur wegen denen steigt man eigentlich in so eine Kanzlei ein) heraussuchen und mitnehmen. Dass ein Ordner weg ist, fällt in hundert Jahren nicht auf. Will man aber absolut sicher gehen, so schnauzt man einen der Werkstudenten an, dass man dringend eine Kopie dieses Ordners braucht, aber "Pronto!" und solange in der Kaffeeküche wartet :-). Bei großer Paranoia kann man die Kopierarbeit natürlich auch selbst erledigen.
    Und in den Ordnern lagern manchmal doch ganz spannende Korrespondenzen, sensible Protokolle des letzten Geschäftsführertreffens, wie man welchen Konzern beraten möchte und wie auf welche Weise in einer Firma "Humankapital freigesetzt" werden soll.

    Bei uns sind die Gästekarten personalisiert und nur so lange gültig, wie dieser Gast im Hause sein soll und nur für die Bereiche freigeschaltet, in die er gehen darf. Student Verwaltung nicht in Hausmeisterbereiche etc...

    acid - Azrael - Brain - Dr. Strange - Flash - Jack - Jamiroquai - Mouse - Mr. Nash - Puppetmaster - Surprise - Templer

    Surprise
    Klingt nach einer vorbildlichen Sicherheitsarchitektur. Siehst du eine Möglichkeit wie du da einsteigen könntest?
    Studenten, Hilfs- und Zeitarbeiter sind vermutlich deutlich leichter zu bestechen als festes Personal. Ich glaube ich werde mal ne Zeitarbeitsfirma oder Werkstudenten in nen Run einbauen^^

    Ein ehemaliger Steuerfahnder hat mir mal gesagt, er hofft,dass die NSA nicht so viel über die Menschen weiß, wie die deutschen Finanzbehörden.


    Überlegt mal, was ihr so alles für die Steuererklärung angeben müsst und ihr ahnt vielleicht, was er meinte.

    "Dunkelsinn" schrieb:

    Surprise
    Klingt nach einer vorbildlichen Sicherheitsarchitektur. Siehst du eine Möglichkeit wie du da einsteigen könntest?
    Studenten, Hilfs- und Zeitarbeiter sind vermutlich deutlich leichter zu bestechen als festes Personal. Ich glaube ich werde mal ne Zeitarbeitsfirma oder Werkstudenten in nen Run einbauen^^


    Sich als Student, Zeitarbeiter, Werkvertragler oder am besten noch beim Reinigungsdienstleister einstellen lassen. Vor allem die Reinigungsdienstleister kommen (heutzutage) ja in fast alle Bereiche und das zu Zeiten, wo sie das dort arbeitende Personal nicht stören.

    acid - Azrael - Brain - Dr. Strange - Flash - Jack - Jamiroquai - Mouse - Mr. Nash - Puppetmaster - Surprise - Templer

    Übrigens, mal eine kleine Anekdote zu Internet und Datensicherheit... ich arbeitete bei einer Krankenkasse und wir haben dementsprechend eigene Server für all unsere Anwendungen. Der letzte große Virus, der unser System angegriffen hat, hat circa 25 Sicherheitsschranken durchbrochen. Damit hat er noch nicht einmal die Hälfte aller Blockaden geschafft. Würde man das auf Shadowrun übertragen, hätten Hacker wesentlich mehr Probleme.

    Ich mein das sind ja 2 paar Schuhe. Antivirensystem bringt dir bei Hackerangriffen nix, außer jemand versucht nen Trojaner über Social Engineering etc einzuschleusen.


    DMZ in der die Webpräsenz und sowohl davor als auch dahinter ne Firewall sind ja eigentlich "Standard", womit man 2 Layer hat.
    25 Firewalls hintereinander schalten hab ich ehrlich gesagt noch nicht gehört und ist glaube ich auch eher Kontraproduktiv.

    Wo die andren niederknien,
    Nur Staub, Verachtung sich verdienen,
    Stehe ich, komm sei mein Zeug
    Blutend, aber ungebeugt!

    Ich arbeite als Rettungsassistent in der Landrettung, mit SOTA Technik, einer der modernsten in Deutschland. Wir haben ein WLAN Hotspot in jedem Fahrzeug mit UMTS Karte um med. Daten an Krankenhäuser schicken zu können, unsere Defibrillatoren mit 12 Kanal-EKG sind per Bluetooth an unsere Tabletts angeschlossen, die wiederum im WLAN hängen, so dass wir EKGs an Kardiologen zur Auswertung schicken können, wir bekommen bei Einsätzen alle relevanten Daten automatisch auf das Navi im Auto übertragen, d.h. wenn wir im Wagen ankommen ist die Route zum Ziel schon eingegeben und die Routenführung gestartet, wir schreiben Protokolle im Einsatz nur noch auf dem Tablett (keine unleserlichen Handschriften mehr, kein Krakeln bei der Fahrt etc.), unser Tablett liest eure Krankenversichertenkarte automatisch aus. Wir haben den LUCAS 2 Reanimationsautomaten, etc. pp.


    Als Connection: Ich halte dich am Leben. Ich krieg dich zum StreetDoc. Ich trage eine Uniform und die Leute halten mich für einer "von den Guten". Du willst irgendwo rein? Fingiere einen Notruf und ich komme rein. Mit einem Kollegen. Und schweren Koffern und Geräten. 10kg Sprengstoff? Unser Defi wiegt mehr, und es guckt garantiert niemand rein.

    Auch wenn es sich dir ärmlich zeigt, Ithaka betrog dich nicht.
    So weise, wie du wurdest, und in solchem Maß erfahren,
    wirst du ohnedies verstanden haben, was die Ithakas bedeuten.

    Das mit der Landrettung und WLAN Datenübertragung ist interessant. Wie stark ist sie gesichert, sprich, könnte man zb darüber Attentate als Hacker in die Wege leiten, indem man gefälschte Daten weiterleitet, spooft, falsche Diagnosen etc zurückschickt und damit möglicherweise schädliche Medikamente oder Handlungen auslöst?


    SYL

    "apple" schrieb:

    Das mit der Landrettung und WLAN Datenübertragung ist interessant. Wie stark ist sie gesichert, sprich, könnte man zb darüber Attentate als Hacker in die Wege leiten, indem man gefälschte Daten weiterleitet, spooft, falsche Diagnosen etc zurückschickt und damit möglicherweise schädliche Medikamente oder Handlungen auslöst?


    SYL



    Mit sicherheit.
    Das Problem wird sein dein "Opfer" überhaupt in die Situation zu bringen entsprechende Medikamente zu benötigen/verabreicht zu bekommen.
    -> Da ist wahrscheinlich ein 'gewöhnliches' attentat einfacher...

    "Andrej" schrieb:

    Sorry aber das verstehe ich nicht. Was meinst du mit 25 Sicherheitsschranken?


    Kann ich selbst nicht sagen. Ich arbeite nicht in der IT und die Sicherheitsstruktur ist selbst da eher eine Geheimsache. Ich sehe es als Summe aller Maßnahmen, die die Datensicherheit digital gewährleisten sollen. Beispielsweise auch Ersatzsysteme, die einspringen, etc...

    Da muss man schon differenzieren, Ersatzsysteme, Raid oder Datenredundanz allgemein ist ja eher schädlich als positiv wenn es um Security geht ;)


    Mag sein das die Sicherheitsrichtlinien dort VIEL höher sind als bei uns aber ich glaube er hat nur irgn ne Zahl genannt =)

    Wo die andren niederknien,
    Nur Staub, Verachtung sich verdienen,
    Stehe ich, komm sei mein Zeug
    Blutend, aber ungebeugt!