News CD Projekt Red: Hacker erbeuten Source Code und erpressen Studio

[Cool Master]

Sehr empathischer Kommentar.

Ich muss gegenüber @Trinoo keine Empathie zeigen, vor allem wenn man vorschlägt Menschen zu kündigen ohne eine Untersuchung bzw. Ergebnisse dieser zu haben. Was @Trinoo geschrieben hat ist Stammtisch Niveau und nichts anderes.

Na freilich hilft das.

Es kann evtl. helfen. Dafür müssen aber alle Sterne super stehen und das passiert in der Regel eher nicht. Hat man ja erst bei "sudo" gesehen, dass ein 10 Jahre alter Bug erst jetzt entdeckt wurde. Dies war zwar dank einem security audit aber das so etwas dabei heraus kommt ist wie gesagt nicht immer so. Des Weiteren muss man das immer wieder für jede Version machen da es sonst einfach nichts bringt. Das audit müsste nun also eigentlich erneut gemacht werden mit der neuen Version von "sudo", damit man wirklich sagen kann dass es passt.

 

[Florianw0w]

Einbruch bleibt Einbruch,
Diebstahl bleibt Diebstahl,
Erpressung bleibt Erpressung usw.

Um welchen Gegenstand, in welchem Zustand und Alter es sich handelt, ist völlig unerheblich. Ebenso, welche Art von Schwachstelle ausgenutzt wurde.

Glaube niemand versteht was Ich schreibe.... Außerdem habe ich nicht mal angezweifelt ob es Diebstahl ist oder nicht.

Witcher 3 wurde released, okay?
Was bringt es den hackern jetzt den sourcecode von Witcher 3 zu haben, es kommen keine updates oder dlc's mehr die man leaken könnte. Außer eventuell Witcher 4 das in der pre-pre alpha ist.
Ich hoffe mal das man es so versteht.

 

[Lyle]

In einem gewissen Rahmen, wohl. Aber der hat Grenzen.
Es gibt nicht ohne Grund regelmäßig Softwareupdates.
Bugs treten immer wieder auf und können auch unbemerkt bleiben.
Zudem kann in einer heterogenen Umgebung mit einem gewissen Grad an persönlicher Freiheit niemand in angemessener Zeit alle Softwarekomponenten durchtesten.

Zustimmung. Absoluten Schutz gibt es nicht. Allerdings dreht es sich an dieser Stelle nicht zuletzt wieder um die Ansage von der oberen Etage: als wie sensibel werden die Daten eingestuft? Welche Freiheiten werden entsprechend eingeräumt bzw. ausgeschlossen in Sachen Software/Hardware? Da sollte es ein entsprechenden Sicherheitskonzept in Theorie und Praxis geben.
Ich gehe davon aus, dass auch bei CDPR ein solches Konzept vorliegt.

Weiß jemand, wie es sich mit solchen Hacking Untersuchungen verhält? Wird da am Ende Genaures veröffentlicht, ohne allzu sensible Stellen offenzulegen?

 

[Che-Tah]

Wo sind die Kontaktdaten?

Damit die Hacker jetzt zugespammt und von hunderten Moddern um den Quellcode angebettelt werden?
Die Kontaktdaten hätt ich auch raus gelöscht.

Das vortäuschen einer Straftat trau ich CDPR nun auch nicht zu... erst recht nicht wenn man an der Börse ist. Kursmanipulation usw...

Und wenn eine junge Frau einen zu kurzen Rock trägt ist sie auch Schuld an der Vergewaltigung.
"Schuld" hat der Täter, niemand sonst. Meine Güte...

"Schuld" hat nur der Täter... Die Frage "warum ausgerechnet ich" danach, könnt aber nochmal schwierig zu verkraften werden.

Im Nahen Osten ist das übrigens erschreckender Weise anders...

 

[andy_m4]

Developer sind nun mal keine Basis-IT Admins.
Die einen sind Netzwerk-Hiwis, die anderen Coden.
Das sind völlig unterschiedliche Bereiche.

Schon klar. Trotzdem finde ich es ne andere Hausnummer, ob ein Bäcker oder Malermeister seine IT nicht im Griff hat oder eine Softwarebude.

Entwickler haben u.U. einen gewissen grad an Freiheit welche Software oder Hardware zum Einsatz kommt.
Sie entwickeln auf Macs oder Windows, haben unterschiedliche Peripherie.
Hunderte Mitarbeiter mit unterschiedlichen Profilen.

Du hast "Wildwuchs" aber sehr nett umschrieben. :-)

Wie hat man das für deine Begriffe denn "im Griff"?

Ich sag mal so: Wenn irgendeine dahergelaufene Ransomware Deine IT kaputt macht, dann hast Du schon ein Problem. Vor allem weil diese Form der Attacken jetzt nicht irgendwie was Neues sind. Inzwischen sollte sich das doch herumgesprochen haben. Insbesondere in einer Softwarebude der ich jetzt mal ganz frech eine Gewisse IT-Affinität unterstelle. :-)

 

[poly123]

Developer sind nun mal keine Basis-IT Admins.
Die einen sind Netzwerk-Hiwis, die anderen Coden.
Das sind völlig unterschiedliche Bereiche.

Hui, arrogante Meinung - mein Prof hat dagegen „Developer“ aus Rumänien empfohlen, vor allem wegen dem Stundenlohn.

 

[Faust II]

Kursmanipulation usw...

Hat doch bei Gamestop auch funktioniert.. wurde irgendwas bisher angeklagt? Wer was da genau los war.. aber ich vermute auch es wird tatsächlich ein Hack gewesen sein, wie schon geschrieben, liegt auf der Hand um was es geht..

 

[andy_m4]

Was ich ja bei diesen Hacks immer faszinierend finde, das die nix genaues sagen können weil es halt noch untersucht werden muss aber sofort immer die Aussage kommt, das Kundendaten zu 100% nicht betroffen sind. :-)

 

[DerTiger]

Schon klar. Trotzdem finde ich es ne andere Hausnummer, ob ein Bäcker oder Malermeister seine IT nicht im Griff hat oder eine Softwarebude.

Ja, das mag sein, aber es ist eben auch nicht die Aufgabe der Devs das Netzwerk und die Server auf Stand zu halten.

Dafür ist die IT-Abteilung zuständig. Ich als Entwickler kümmer mich um mein Projekt, meinen Kunden und dessen Software. Was bei uns in der Firma im Netz stattfindet ist Sache der internen IT-Abteilung. Insofern bin ich da auch nur Anwender wie ein Buchhalter oder Lagerist halt auch. Ist mir als anderweitig Angestellter somit egal.

Du hast "Wildwuchs" aber sehr nett umschrieben. :-)

Es gibt einfach unterschiedliche Bedürfnisse und Anforderungen. Grafiker haben gerne ihren Mac, 3D-Designer ihre große Workstation, Programmierer haben evtl. verschiedene PCs, OS + VMWare, die Buchhaltung schmale Desktops, die Außendienstler ihre Portables etc. pp.
In größeren Firmen gibts halt nicht die One-Fits-All Lösung.

Ich sag mal so: Wenn irgendeine dahergelaufene Ransomware Deine IT kaputt macht, dann hast Du schon ein Problem. Vor allem weil diese Form der Attacken jetzt nicht irgendwie was Neues sind. Inzwischen sollte sich das doch herumgesprochen haben. Insbesondere in einer Softwarebude der ich jetzt mal ganz frech eine Gewisse IT-Affinität unterstelle. :-)

Ich bin mir fast sicher das war keine "dahergelaufene Ransomware", sondern ein gezielter Angriff auf hohem Niveau.

Hui, arrogante Meinung - mein Prof hat dagegen „Developer“ aus Rumänien empfohlen, vor allem wegen dem Stundenlohn.

Meinung? Tatsachen. Ich als Dev hab nichts am Netzwerk und den Servern herumzuschrauben, so wie die Netzwerker und Admins halt keine Kundenaufträge entwickeln. Stundenlohn kriegen wir bei gleicher Ausbildung denke ich einen ähnlichen, überschneiden uns aber nicht in den Handlungsbereichen. IT-Admin ist nicht mein Job, Dev nicht deren. So einfach ist das.

 

[M@tze]

Und nicht doch wieder irgendwo eine Option vergessen wurde die alles andere durchlässig werden lässt xD

So sieht es aus. Oder der Haken bei der Option macht was anders als eigentlich dasteht. War doch erst letztes Jahr (?) der Fall, dass die Patientenakten einer Arztpraxis im Internet zugreifbar waren. Der IT Dienstleister hatte den Telekom Router ordentlich konfiguriert, allerdings hat die Firmware des Routers was anderes gemacht. Wenn 1 Port in der GUI freigegeben wurde, hat der Router in Wirklichkeit 10 Ports freigegeben. Es wurde eigentlich nur 443 für https Zugriff aktiviert, aber der Router hat 443 - 452 freigegeben. Und damit war auch 445 für CIFS zu erreichen...

Der Angriff geschieht also von innen heraus. Und dort gibt es immer irgendeinen Port, eine OS- Schwachstelle usw. der(die) nach außen Kommuniziert bzw. ein Hop wird in der Angriffskette ausgemacht, der nach außen kommunizieren kann.

Eben. Zumal die Regeln von Innen nach Aussen auch bei weitem nicht so exzessiv sind wie beim Zugriff von Aussen nach Innen.

Binding Corporate Rules sind genau das: Verpflichtend für ALLE Mitarbeiter.

Ja, sehe ich auch so. Ich kann sowas aber nur nach oben weitermelden und wenn der CSO nicht den Arsch in der Hose hat und den Vorstand rund macht, kann ich leider nix tun - das ist sein Job.

Achso. Wenns Bugs sind, dann fällt das nicht unter "seine IT nicht im Griff haben".

So gut wie jede Softwareschmiede wird Third Party Tools einsetzen und da kann man nicht wissen oder kontrollieren, ob diese Bugs haben welche sicherheitsrelevant sind.

 

[Razorex]

Wie kann man aber so blöd sein, und solche wichtigen internen Server ans Internet anschliessen? Wie ist das möglich?

Mit Ausnahme von einigen sehr wenigen Szenarios gibt es immer notwendigen Datentransfer vom Internet in eine Firma. Ist alles eine Frage der eingesetzten Sicherheitsmechanismen. Der Entwickler im Homeoffice will seine Erzeugnisse speichern und seinen Urlaub buchen. Natürlich benötigt der Zugriff auf Sourcecode und seine HR Stammdaten.

VPN....

Was willst du damit sagen? Meinst du wenn man ein sicheres VPN nutzt, kann man nicht mehr angegriffen werden? Ein kompromittierter Mitarbeiter-PC reicht aus und das VPN spielt keine Rolle mehr.

naja spätestens nach 100 Dateien sollte es dem Virenschutz auffallen, dass da was nicht passt und den Prozess stoppen.

Ich hoffe nicht, dass irgendein Virenschutz auf die Idee kommt und bei Abarbeitungen von mehr als 100 Dateien oder mehr meine Prozesse stoppt, weil es ihm "komisch" vorkommt.

 

[poly123]

@DerTiger ich denke, du willst schlicht auf die Zuständigkeit hinweisen, dennoch bezeichne ich aber keinen als „Netzwerk-Hiwi“, weil Gluecode Schreiberlinge sind auch nicht besser 😁

 

[Razorex]

Glaube niemand versteht was Ich schreibe.... Außerdem habe ich nicht mal angezweifelt ob es Diebstahl ist oder nicht.

Witcher 3 wurde released, okay?
Was bringt es den hackern jetzt den sourcecode von Witcher 3 zu haben, es kommen keine updates oder dlc's mehr die man leaken könnte. Außer eventuell Witcher 4 das in der pre-pre alpha ist.
Ich hoffe mal das man es so versteht.

So wie es sich liest, gibt es eben doch noch ein Update für Witcher 3. Was das genau ist, weiß niemand außer CDPR und den "Dieben". Kann sich nur um ein Grafikupdate für die neuen Konsolen handeln oder man meint mit Augenzwinkern ein Witcher 4. Deswegen ist es evtl. doch nicht so uninteressant.

 

[icezolation]

Mich schockt wenn überhaupt, dass CDPR scheinbar Endungen von Dateinamen ausgeblendet lässt und vermeintliche txt-Dateien dann einfach so öffnet

Oder - wahrscheinlicher - es ist ein fraglicher Stunt von CDPR mit einem selbstgeschriebenen Text.

 

[thuering]

Ausfindig machen und sich jemanden drum kümmern lassen 😃

 

[SkycladGuardian]

Dann ist das nicht das Versagen des Chefs sondern das Versagen der IT-Abteilung. Arbeitet die IT entsprechend ihrer Aufgabe, nämlich die Gewährleistung der IT-Security, kann der Chef als Nicht-ITler nämlich klicken worauf er will und er ist technisch gar nicht imstande, Schäden anzurichten.

Ergänzung (9. Februar 2021)

Da hast du prinzipiell Recht, aber die IT-Abteilung bestand in dem Fall aus einem Diplom-Informatiker, der für mehrere Dutzend PC-Arbeitsplätze verantwortlich war. Der musste halt alles machen: Administrieren, Infrastruktur aufbauen und am laufen halten, Beschaffung etc.
Typische Minimalbewirtschaftung im ÖD halt....

 

[DerTiger]

@DerTiger ich denke, du willst schlicht auf die Zuständigkeit hinweisen, dennoch bezeichne ich aber keinen als „Netzwerk-Hiwi“, weil Gluecode Schreiberlinge sind auch nicht besser 😁

Ähm, Ja, sorry, das sind so unsere Slang-Bezeichnugen. Die einen sind halt die Netz-Hiwis, die andren die Codemonkeys, ArtsiFartsi-Designer, Marketing-Bullshiter etc.
Das ist nicht abwertend gemeint, solange jeder seinen Job kompetent macht.

 

[M@tze]

Developer sind nun mal keine Basis-IT Admins.
Die einen sind Netzwerk-Hiwis, die anderen Coden.
Das sind völlig unterschiedliche Bereiche.

Hui, arrogante Meinung - mein Prof hat dagegen „Developer“ aus Rumänien empfohlen, vor allem wegen dem Stundenlohn.

Das hat nichts mit Arroganz zu tun, das ist die Realität. Die meisten meiner Entwicklerkollegen sind wirklich gut in ihrem Job, haben aber von IT keinen blassen Schimmer. Und das heißt jetzt nicht, die hätten Probleme einen Switch zu konfigurieren, das geht schon los bei:

"Ich komm nicht ins Netz"
"Was hast Du denn für eine IP Adresse bekommen?"
"???"
"DOS Box, ipconfig /all"
"???"
"Windows Taste drücken, cmd tippen, auf schwarzes Icon klicken, da ipconfig /all eintippen, IP Adresse vorlesen"

 

[SFFox]

Ich hoffe nicht, dass irgendein Virenschutz auf die Idee kommt und bei Abarbeitungen von mehr als 100 Dateien oder mehr meine Prozesse stoppt, weil es ihm "komisch" vorkommt.

Nene, das sollte kein Virenschutz tun. Das macht der Virenschutz-Beauftragte. Davon haben wir immer mindestens 2 pro Verzeichnisfreigabe. Die klicken immer alle Ordner durch und gucken ständig, ob sich was ändert, damit das wirklich angemessen beurteilt wird. Vollautomatisiert sind wir damit oft im Workflow aufgehalten worden, aber seit es die Virenschutz-Beauftragten gibt ist alles effizient und sicher.... seit Corona können sie auch noch auf andere Viren aufpassen. Einfach effizient, einfach sicher, einfach komisch!

Auf was für Ideen manche Leute kommen, wie Systeme sicher gemacht werden "sollten"... der "Virenschutz" regelt das, die "Cloud" regelt das... ich bleibe meine These, die Chatbots hier im Forum erzeugen mit 2 Zeilen Text immer ziemlich viel Text als Rückantwort, das wirkt manchmal wie eine Beschäftigungstherapie und ein Chatbot Training für die menschlichen User hier.

 

[bad_sign]

Cool CP Open Source, dürfte der Qualität deutlich zu gute kommen