[SR4] Eingangstür-Hacken zu einfach?

    Hi,


    Wenn der Hacker/TM sich die Zugriffsrechte eines Admin-Accounts erschlichen hat sollte es doch kein Problem sein sich einen Regulären-Admin-Account zu erstellen.


    Mit diesen er dann auch uneingeschränkten zugriff auf alle Sub-Knoten hätte oder?


    Natürlich ist all das eine Frage Zeit bis der echte Admin online kommt und dann sieht was fürn ein misst auf seinem Knoten verzapft wird.



    Noch eine andere Frage,


    Ich meistere in letzter Zeit auch desöfteren SR. Ich weiß nicht wie ich den Hacker das leben schwer machen kann, wenn er erstmal eingeloggt ist. Denn warum sollte ein IC oder Agent misstrauisch gegenüber einen Admin sein? Was überprüft das IC/Agent überhaupt.


    Wie werden Hacker/TM´s überhaupt entdeckt? Mir fällt es sehr schwer da etwas stimmiges was nicht nach meisterwillkür aussieht zu erschaffen.

    Ich kann da auch nicht so ganz folgen. Wenn der Hacker sich schon Admin-Rechte verschafft hat, heißt das für mich, er kann alles tun was der/die richtige(n) Admin(s) auch darf bzw. dürfen.


    Der Admin muss ja auch nicht jedes Mal sein Passwort neu eingeben, wenn er einen anderen Bereich des Netzes betritt - oder doch? Ist das wieder so eine Frage, Bequemlichkeit vs. Sicherheit?


    Also, wenn der Besitzer des Systems faul war, reicht einmal Passwort eingeben und er kann im ganzen Netz rumspazieren - Personal, Finanzen, Kunden, Technik, Sicherheit. Ist für ihn bequemer, aber macht sein Netz auch verwundbarer gegen Hacker.


    Ist er etwas paranoider, dann braucht jeder der oben beschriebenen Teilbereiche eine separate Passworteingabe, oder hat evtl. sogar eigenes IC, das Zugriffe prüft. Okay, langsam kapier ich's.


    Wie wird das dann regeltechnisch gehandhabt? Muss der Hacker für jeden Knoten separat sondieren, oder kommt er mit Schleicher in die einzelnen Unter-Knoten rein?


    Wenn er immer wieder sondieren müsste - komplett mit Zeitaufwand - würde das Hacker in der Tat ziemlich entschärfen, weil das Risiko, von einem richtigen Admin oder Sicherheitshacker entdeckt zu werden, ziemlich groß sein dürfte.


    Hat da jemand eine Idee oder Meinung dazu?

    "As the size of an explosion increases, the number of social situations it is incapable of solving approaches zero." - Varsuvius, OOTS # 696.

    Letzendlich ist es natürlich Meisterwillkür, wie sicher ein System ist.
    Wir handhaben das so, daß jeder Knoten einzeln gehackt werden muß, ob nun schnell oder langsam. Sonst könnte man ja immer problemlos über die schlecht gesicherte Kaffeemaschine, das komplette System lahmlegen.


    @Passcodes: Da ein Commlink beliebig viele Zugangsdaten speichern kann, wäre jeder Knotendesigner ja blöd, wenn er für alle Knoten die selben Daten verwenden würde. Dem Commlink kann es ja ziemlich egal sein, ob es auf Anfrage den einen oder den anderen Code sendet.


    @IC: Die Programme überprüfen Nutzer anhand ihrer Zugangsdaten. Wie genau das IC zwischen einem echten und einem falschen aber funktionierendem Zugang unterscheiden kann, wird IIRC im GRW nicht beschrieben. Wird der Nutzer als unberechtigter Eindringling identifiziert leitet es Gegenmaßnahmen ein. Was das genau ist, steht im GRW.

    Zu Oldschool für SR5 und viel zu Oldschool für SR6 - Sofern nicht anders angegeben, beziehen sich alle meine Beiträge auf SR4.

    Meiner Meinung nach sollte es für IC unmöglich sein nach dem Anlegen eines regulären Admin-Accounts den Hacker/TM noch als unerwünschten Endringling zu identifizieren.


    Jedoch bis dieser Zugang angelegt ist sollte jedes IC/Agent die Möglichkeit haben den Eindringling zu entarnen.

    Noch mal, damit keine Mißverständnisse aufkommen, Hacken (ob nun schnell oder langsam) erstellt keinen Admin-Zugang. Es nutzt lediglich eine Sicherheitslücke aus, so daß der Hacker die gleichen Rechte hat wie der Admin.


    Ob man sich durch Manipulationen der Dateien auf einem Knoten einen legitimen Zugang verschaffen kann, bleibt Entscheidung des SL.

    Zu Oldschool für SR5 und viel zu Oldschool für SR6 - Sofern nicht anders angegeben, beziehen sich alle meine Beiträge auf SR4.

    "Swordman" schrieb:

    Meiner Meinung nach sollte es für IC unmöglich sein nach dem Anlegen eines regulären Admin-Accounts den Hacker/TM noch als unerwünschten Endringling zu identifizieren.


    Jedoch bis dieser Zugang angelegt ist sollte jedes IC/Agent die Möglichkeit haben den Eindringling zu entarnen.


    so ist es wohl nicht gedacht, da sich das ic bzw der agent ja erst IM knoten befindet, wäre das zeug ja dann irgendwie sinnfrei oder.
    desweitern nutzt du evtl zwar einen admin-account aber deine ip stimmt nicht überein, du dürftest also gar nicht erst auf dem knoten zugreifen, oder was auch immer. man nutzt halt nur eine sicherheitslücke wie mein vorredner meinte.

    Zitat

    so ist es wohl nicht gedacht, da sich das ic bzw der agent ja erst IM knoten befindet, wäre das zeug ja dann irgendwie sinnfrei oder.


    Verstehe mich nicht falsch. Die IC/Agenten hätten ja genügend möglichkeiten den Hacker beim erstellen eines Accounts zu erwischen. z.B. Wenn der Hacker auf dem Weg ist zu den Benutzerkonten-Verzeichnis und vielleicht kommt ja die ein oder andere Sicherheits überprüfung vor oder er läuft den IC/Agent über den weg.


    Aber soweit der Account erstellt ist sollte es unmöglich sein.

    die ic programme hatten noch gar keine möglichkeit, man ist ja erst druch die firewall. und die ic-programme kann man viellicht mit aktiven virenprogrammen vergleichen, die ja auch alles durchsuchen. wie ich oben sagte die ic-programme greifen erst NACHDEM man in einem knoten ist.

    Und erst wenn man im Knoten ist, kann man einen legitimen Benutzer mit Admin-Rechten anlegen. Vorher nutzt man eine Lücke aus, die so groß ist, daß man alles tun kann, was ein Admin darf.
    Auf die Gefahr hin mich zu wiederholen, man darf die Person Administrator nicht mit einem Admin-Zugang (für einen Knoten) verwechseln.

    Zu Oldschool für SR5 und viel zu Oldschool für SR6 - Sofern nicht anders angegeben, beziehen sich alle meine Beiträge auf SR4.

    Ganz allgemein muss man unterscheiden zwischen:


    1) Lücken nutzen um Dinge zu tun, für die man 'eigentlich' Admin-Rechte bräuchte.
    2) Einen Account nutzen, dem man Admin-Rechte 'geschenkt' hat.
    3) Und einem rechtmässigem Admin-Account.


    Wenn der Hacke/TM frech genug ist, ganz offen als DER Admin durch den Knoten zu wuseln, dann mag er für kurze Zeit durchaus ein bequemes Leben haben - sollte sich aber nicht wundern, wenn er durch oben erwähntes 'Moment, ist unser Admin nicht gerade in der Konferenz?!' auffliegt.


    Dem Account von Lohnsklave Meier Admin-Rechte zu geben umgeht das Problem - nur dass es eben nun auf einen Kampf gegen die Sicherheitsfähigkeiten des Systems ankommt. Irgendwann wird dieses wohl merken, dass da was nicht stimmt.
    Trotzdem ist diese Methode meiner Meinung nach die 'beste'. Sie ist nicht so nervenaufreibend wie das durchgehende ausnutzen von Sicherheitslücken - und nicht so anfällig für 'äussere Probleme' wie das benutzen eines echten Adminaccounts.

    Wenn ich mir vorstelle...


    ... ich bin Firmen-Chef einer kleineren Mülltransport Firma. Ich besitze ein Kommlink und Simmodul also alles was mich braucht da ich kenntnisse vom erstellen einer Hompage habe bin ich auch mein eigener Administrator. Da stehen doch die Chancen extrem hoch das ich immer, in meiner "Taskleiste", ein Fenster von meiner Internet-Presenz offen habe.



    Somit kann man doch davon ausgehen das Matrix-Seiten relativ gut von ihren Adminstratoren überwacht werden. Ich würde gar sagen das alle 30 min auf die Seite mal ein Blick geworfen wird.



    Wahrscheinlich ist das mit dem durchschleichen einer der am meisten eingesetzen methoden da hier das Risiko des erwischt werdens am geringsten ist.


    MFG Michael

    "Swordman" schrieb:

    ... ich bin Firmen-Chef einer kleineren Mülltransport Firma. Ich besitze ein Kommlink und Simmodul also alles was mich braucht da ich kenntnisse vom erstellen einer Hompage habe bin ich auch mein eigener Administrator. Da stehen doch die Chancen extrem hoch das ich immer, in meiner "Taskleiste", ein Fenster von meiner Internet-Presenz offen habe.



    Somit kann man doch davon ausgehen das Matrix-Seiten relativ gut von ihren Adminstratoren überwacht werden. Ich würde gar sagen das alle 30 min auf die Seite mal ein Blick geworfen wird.


    Wenn es für den Kon so einfach wäre, gäbe es das Problem gar nicht. Dann würde es überhaupt keinen zwingenden Sinn geben, warum der arme Admin seinen Knoten im Auge behalten sollte - dafür liesse sich in 2 Minuten ein Skript basteln, dass das ganze viel zuverlässiger kann.


    So deutlich sichtbar sollte ein Hacker/TM dann doch bitte nicht sein.. Immerhin 'schleicht' er selbst bei der Verwendung existierender Accounts noch duch den Knoten - zumindest hoffe ich das. ;-)


    Seite 217 sagt, das es ganz so einfach leider nicht ist. Matrixwahrnehmung läuft über "Computer + Analyse". Alles, was ein Stealthprogramm nutzt, kann nur mit einem "Opposed Test" gesehen werden - Computer + Anlyse gegen Hacking + Stealth (bzw. Firewall + Stealth, wenn es gegen ein Programm oder Knoten gewürfelt wird).


    Die von dir gewünschte Aktion mit dem laufenden Script ist regeltechnisch auf S. 217 umgesetzt - man kann sein Komlink so einstellen, daß es in gewissen Zeitabständen automatisch eine Analyse laufen läßt. Ob die aber zwangsläufig jeden Eindringling bemerkt, hängt von den Erfolgen und dem Stealthprogramm des Eindringlings ab.


    Ps: Ganz davon abgesehen, daß ein Eindringling Deine permanente Präsenz als Admin dann auch wieder ausnutzen könnte (Spoof, anyone?)

    "LeChuq" schrieb:

    Und erst wenn man im Knoten ist, kann man einen legitimen Benutzer mit Admin-Rechten anlegen. Vorher nutzt man eine Lücke aus, die so groß ist, daß man alles tun kann, was ein Admin darf.
    Auf die Gefahr hin mich zu wiederholen, man darf die Person Administrator nicht mit einem Admin-Zugang (für einen Knoten) verwechseln.


    Wobei man auch nicht vergessen sollte, dass das anlegen eines zusätzlichen Administratorbenutzers durchaus enorme Probleme verursachen kann.
    Denn bisher war man Benutzer mit Adminrechten, es gab also keine "echten" Hinweise des Systems hier einen Eindringling zu vermuten.
    Auf einmal aber steigt die Anzahl der angelegten odergar eingeloggten Administratoren. Man stelle sich bei einem Sicherheitsdecker auf dem HUD vor, wie sich die Anzahl der eingeloggten Administratoren auf einmal von 1 auf 2 ändert und der Decker sich fragt "Huch, haben wir einen 2. Admin eingestellt?" Genauso kann ein IC ja Sicherheitsmethoden haben (Heutzutage Tripwire) wo regelmässig geschaut wird "wurde ein neuer User angelegt?" nur ein Admin weiss wo er nach dem Useranlegen noch Anpassungen machen muss damit es keinen Alarm gibt, der Eindringling wird dieses nicht wissen.
    Es gibt also noch genügend Mechanismen einen Eindringling zu enddecken, und sei es dadurch, dass seine Datenspur seltsamerweise über eine Kamera das Netzwerk verlässt und nicht über das Büronetz läuft wie üblicherweise.
    Der Spielleiter hat hier freie hand, ich würde nicht Spielleiterwillkühr sagen, sondern Spielleiterfreiheit :) Das Regelwerk sagt ja nur "kann entdeckt werden", das WIE überlässt es dem SL.

    Ich wollte genau auf das was Wareagle gesagt hat heraus.


    Wenn sich ein Hacker sich die Adminrechte(nicht Account) erschlichen hat sollte so etwas bei weiten schwieriger sein zu entdecken als ein Hacker der sich einen Account anlegt.


    Gruß Michael

    naja nicht wirklich. ohne account, solltest du auf alle fälle einen schleicher laufen lassen, sonst kannst du damit rechnen, dass dich IC jederzeit scannen wird.


    hast du dir einen admin account gemacht, musst du das nicht unbedingt machen. IC sollte dich in ruhe lassen (schließlich bekommt das die info: es wurde ein neuer admin benutzer fürs system zugelassen), sicherheitshackern wird es aber unter umständen auffallen. (aber du kannst ihm/ihnen ja zb ein gefälschtes memo vom "chef" zukommen lassen, das zb besagt, dass für eine firmenprüfung ein adminaccount angelegt wurde)

    manchmal muss ich mich für meine stadtsleute schämen :-(


    women, huh? can't live with them, can't successfully refute their hypotheses.