Studenten finden Sicherheitslücke und werden von Hochschule ausgeschlossen

**docanonymous** · 22. 01. 2013, 23:07

Weil er zusammen mit einem Kommilitonen eine schwere Sicherheitslücke in den Systemen seiner Hochschule fand, wurde ein kanadischer Student von seiner Hochschule ausgeschlossen. Auch eine Beschwerde über zwei Instanzen konnte dies nicht verhindern. Doch Hilfe kommt nun von unerwarteter Seite.

zur News

**Trollolol** · 22. 01. 2013, 23:30

Dieser Cyberterrorist ist noch viel zu gut davon gekommen.

**Chaosweaver** · 22. 01. 2013, 23:57

Warum kommen diese bösen Hacker nicht lebenslang ins Gefängnis?

**ponal** · 23. 01. 2013, 00:27

hat nix falsch gemacht und noch profit raus geschlagen, so funktionierts und nicht wie es diese anons spinner ständig vorführen

**Kraeuterdude** · 23. 01. 2013, 01:52

Warum sollte man jemanden einstellen, nur weil er URL Parameter geändert hat? Was ist das denn für eine Leistung?

**Gacksi** · 23. 01. 2013, 01:55

Zitat von Kraeuterdude

Warum sollte man jemanden einstellen, nur weil er URL Parameter geändert hat? Was ist das denn für eine Leistung?

Naja, damit ist er immerhin besser als die jetzigen Entwickler :P

**N8wolf** · 23. 01. 2013, 02:24

Zitat von Kraeuterdude

Warum sollte man jemanden einstellen, nur
weil er URL Parameter geändert hat? Was ist das denn für eine Leistung?

*hust* frag da mal ein Kreditkarteunternehmen dem wegen URL Parametern mal zig tausend Daten geklaut worden sind. offiziel war es natürlich eine harte Attacke mit überlegenen Kenntnissen ... *hust*

Aber erklär mir mal bitte was darin denn nicht gut sein soll? Meinst du Post Variablen sind sicherer? oder das finden einer XSS auf Paypal ist schwieriger? Die gefährlichsten Lücken sind meist die offensichtlichen und warum soll ich die Hintertür aufbrechen, wenn die Vordertür offen ist.

Nicht verständlich finde ich allerdings die Reaktion. Wieso runterwerfen? Sollen doch froh sein das er es meldet. Unsere HS hat damals nen Job angeboten das System abzusichern und haben das System vorübergehend abgeschaltet.

**TheOnlyOne6520** · 23. 01. 2013, 05:49

Zitat von N8wolf

*hust* frag da mal ein Kreditkarteunternehmen dem wegen URL Parametern mal zig tausend Daten geklaut worden sind. offiziel war es natürlich eine harte Attacke mit überlegenen Kenntnissen ... *hust*

Aber erklär mir mal bitte was darin denn nicht gut sein soll? Meinst du Post Variablen sind sicherer? oder das finden einer XSS auf Paypal ist schwieriger? Die gefährlichsten Lücken sind meist die offensichtlichen und warum soll ich die Hintertür aufbrechen, wenn die Vordertür offen ist.

Nicht verständlich finde ich allerdings die Reaktion. Wieso runterwerfen? Sollen doch froh sein das er es meldet. Unsere HS hat damals nen Job angeboten das System abzusichern und haben das System vorübergehend abgeschaltet.

Das schlimme ist ja, man kann "Sicherheitssoftware" relativ einfach verkaufen, den solange nichts passiert denken die Kunden die Software muss ja bombig funktionieren.

Aber kommt nur irgendein Pups, macht die Software schon schlap, das schiebt man dann entweder auf den Kunden, der ja "offensichtlich" etwas an den Einstellungen falsch eingestellt haben muss, oder die Angreifer sind absolut radikal und mit "extrem" viel Know-How vorgegangen.

Die Hochschulen haben teilweiße ziemlich miese Sicherheitskonzepte, kommt man meist ohnehin überall rein mit einfachen Karten die im Prinzip jeder überschreiben kann.

Wenn so etwas passiert muss man es eigentlich direkt riesen groß an die Glocke kleben, damit es auch wirklich überall bekannt wird, wie hier bekommt man dann in jedem Fall von irgendwem ein Jobangebot, allein wegen der PR-Wirkung.

**PiratenPinky** · 23. 01. 2013, 11:40

Soll nun heißen: "Wenn man mal Ahnung hat, Fresse halten!" (?)

Das soll einer verstehen...

Aber immerhin hat der Junge Glück im Unglück.

**Sierb2** · 23. 01. 2013, 12:12

Neugierig, ob die Schwachstelle tatsächlich behoben wurde, testete Hamed Al-Khabaz die Webseite zwei Tage später mit dem Programm Acunetix. Daraufhin teilte ihm der Chef der Herstellerfirma Skytech mit, man habe seinen Angriff auf das Programm protokolliert und sei nicht erfreut. Es habe die Gefahr eines Server-Absturzes bestanden. Angeblich soll auch mit der Polizei gedroht worden sein. Dies bestreitet der Chef von Skytech allerdings.

Diesen Absatz mag ich nicht so recht verstehen. Von was ist Skytech die Herstellerfirma? Angriff auf welches Programm?
Und daraufhin ist er dann zur Hochschulverwaltung gerannt und hat es denen erzählt? War doch klar, dass die nicht begeistert sind.

**sevenply** · 23. 01. 2013, 15:30

Zitat von Sierb2

Diesen Absatz mag ich nicht so recht verstehen. Von was ist Skytech die Herstellerfirma? Angriff auf welches Programm?
Und daraufhin ist er dann zur Hochschulverwaltung gerannt und hat es denen erzählt? War doch klar, dass die nicht begeistert sind.

Ebenfalls, ABSOLUT NICHT VERSTANDEN.

**blahblah** · 23. 01. 2013, 16:32

Wie jetzt?

Der Leiter des College hat sich zunächst sogar bei den Studenten bedankt, sie dann aber der Schule verwiesen als sie testen wollten, ob die Lücke ordnungsgemäß geschlossen wurde?

Und warum installiert die Firma überhaupt eine Protokollierung statt die Lücke einfach zu schliessen und macht dann so ein Theater, dass die beiden rausgeworfen werden, um ihnen dann später Stipendien und Jobs anzubieten? Dann doch schlechtes Gewissen oder wie?

Oder wurde ihnen beim ersten mal nur deshalb vom Leiter gedankt, weil es keine Beweise für den "Angriff" gab, welche dann nach Installation der Protokollierung beim Nachkontrollieren dann aber vorlagen?

Sehr seltsam. :X

**JdaSpliff** · 23. 01. 2013, 17:01

Zitat von sevenply

Ebenfalls, ABSOLUT NICHT VERSTANDEN.

Genau das schreibt er doch, du könntest es ihm auch einfach erklären statt das Forum mit so einem nutzlosen Rotz vollzumüllen, das ist ein ziemlich schäbiges Sozialverhalten, das du hier an den Tag legst.

@Sierb2: Skytech ist der Anbieter des Hochschulsystems. Der Student hat getestet, ob die Sicherheitslücke bereits geschlossen wurde und dieser Test wurde von Skytech als versuchter erneuter "Angriff" protokolliert.

**Kraeuterdude** · 23. 01. 2013, 18:58

Zitat von N8wolf

Aber erklär mir mal bitte was darin denn nicht gut sein soll?

Also ich würde niemanden einstellen, nur weil er ein bisschen mit URL Parametern rumgespielt hat und dabei eine Lücke gefunden hat. Das zeugt nämlich nur von einer sehr geringen Qualifikation. Mag sein, dass derjenige noch mehr aufm Kasten hat. Dies wäre im Vorstellungsgespräch zu eroieren.

Aber nur aufgrund von etwas Script-Kiddie Gehabe einen Job zu vergeben (man könnte es zumindest so rauslesen)?

**TheOnlyOne6520** · 24. 01. 2013, 10:13

Zitat von Kraeuterdude

Also ich würde niemanden einstellen, nur weil er ein bisschen mit URL Parametern rumgespielt hat und dabei eine Lücke gefunden hat. Das zeugt nämlich nur von einer sehr geringen Qualifikation. Mag sein, dass derjenige noch mehr aufm Kasten hat. Dies wäre im Vorstellungsgespräch zu eroieren.

Aber nur aufgrund von etwas Script-Kiddie Gehabe einen Job zu vergeben (man könnte es zumindest so rauslesen)?

Das kann durchaus sinn machen, den was bringen dir die "besten" Fach-Idioten die dann am Ende so simplen Mist übersehen. Garnix eben.

Gerade bei Testern, Sicherheitsgeschichten und in der Qalitätssicherung braucht es unterschiedliche Leute, einmal Experten und dann Leute die etwas um die ecke denken.

Den gerade die "offensichtlichsten" Sachen schaut man sich meist nicht mehr an, da muss einen dann erstmal einer drauf hinweißen.

Kennt ja jeder Coder, manchmal sucht man stundenlang nach dem "bug" und es ist so offensichtlich trivial das es einem echt peinlich sein muss.

Von daher ist man mit solchen Leuten meist gar nicht schlecht aufgestellt.

**Igel0** · 25. 01. 2013, 09:55

Zitat von blahblah

Wie jetzt?

Der Leiter des College hat sich zunächst sogar bei den Studenten bedankt, sie dann aber der Schule verwiesen als sie testen wollten, ob die Lücke ordnungsgemäß geschlossen wurde?

Und warum installiert die Firma überhaupt eine Protokollierung statt die Lücke einfach zu schliessen und macht dann so ein Theater, dass die beiden rausgeworfen werden, um ihnen dann später Stipendien und Jobs anzubieten? Dann doch schlechtes Gewissen oder wie?

Oder wurde ihnen beim ersten mal nur deshalb vom Leiter gedankt, weil es keine Beweise für den "Angriff" gab, welche dann nach Installation der Protokollierung beim Nachkontrollieren dann aber vorlagen?

Sehr seltsam. :X

also zuerst hat er die sicherheitslücke entdeckt und gemeldet. dafür hat er ein lob bekommen. zwei wochen später ist er allerdings auf die idee gekommen doch einmal die webseite des herstellers von der verwaltungssoftware zu testen, vielleicht hat die ja auch ein paar lücken.

das wurde natürlich als angriff gewertet und prompt wurd er deswegen rausgeschmissen, da so etwas gegen die uni richtlinien verstößt.

**ponal** · 25. 01. 2013, 14:48

Zitat von Kraeuterdude

Aber nur aufgrund von etwas Script-Kiddie Gehabe einen Job zu vergeben (man könnte es zumindest so rauslesen)?

oh da kommen sie schon die neider

ob er das jobangebot auch bekommen hätte wenn er von der uni nicht entlassen worden wäre? denk mal drüber nach

**Trollolol** · 25. 01. 2013, 16:21

Oder sie sind erst durch dieses "Fehlverhalten" auf ihn aufmerksam geworden und
stellen ihn jetzt nur ein, damit er die Webangebote ihrer Konkurrenten auf Fehler untersucht".

**Kraeuterdude** · 25. 01. 2013, 20:27

Zitat von ponal

oh da kommen sie schon die neider

Neid? Lol, ne danke, dafür hab ich keine Zeit.

Das Jobangebot soll er ruhig annehmen, das gönne ich ihm. Ich finde es nur seltsam, dass die Firma ihm den Job überhaupt angeboten hat.
Vielleicht ist es auch nur ein unbezahltes Praktikum

**Flying-Ghost** · 28. 01. 2013, 15:16

Das ist doch wie mit einem Backup: Erst wenn der User es braucht, weiss man als Admin, ob es funktioniert hat. Wieso dann den User anscheissen, weil er seine Daten ausversehen gelöscht hat und nun das Backup vom Admin nicht funktioniert?