News CD Projekt Red: Hacker erbeuten Source Code und erpressen Studio
- Ersteller SVΞN
- Erstellt am
- Zur News: CD Projekt Red: Hacker erbeuten Source Code und erpressen Studio
- Status
PietVanOwl
Commander
- Registriert
- Mai 2007
- Beiträge
- 2.871
Also eine Sicherheitslücke zu entdecken ist das eine, Daten abgreifen das andere. Aber dann auch noch Erpresser spielen kann ja echt nicht sein. Da fragt man sich ob es überhaupt anständige Hacker gibt. Hoffentlich haben die genug Spuren für die Ermittler liegen lassen und werden erwischt. MFG Piet
Flatsteff
Lt. Commander
- Registriert
- Nov. 2005
- Beiträge
- 1.445
Offensichtlich ist diese Firma ( nicht jeder einzelne Mittarbeiter für sich natürlich, klar ) komplett unfähig.
Darüber, dass ein Spiel verkauft wurde, dass auf den Konsolen einfach nicht funktioniert, ist ja nun genügend geredet worden, ebenso über die falschaussagen gegenüber den Investoren.
Das ist für mich aber das gleiche Level:
Und auch wenn ich diese Aktion natürlich nicht gut finde, darf man eins nicht vergessen: Es war möglich , diese daten über das Internet zu klauen!!
Das heißt, dass Daten, die im zweifel für die Firma exestenziell sind, so gespeichert sind, dass man aus dem Internet zugreifen kann. Das ist für mich fast ein genauso großes Verbrechen den Investoren und insbesondere Mitarbeitern gegenüber! Selbst wenn man alles bei mir zuhause übernehmen würde, wären meine wirklich wichtigen Dinge trotzdem von außen nicht zu erreichen. Alles andere ist doch Irrsinn?!
Darüber, dass ein Spiel verkauft wurde, dass auf den Konsolen einfach nicht funktioniert, ist ja nun genügend geredet worden, ebenso über die falschaussagen gegenüber den Investoren.
Das ist für mich aber das gleiche Level:
Und auch wenn ich diese Aktion natürlich nicht gut finde, darf man eins nicht vergessen: Es war möglich , diese daten über das Internet zu klauen!!
Das heißt, dass Daten, die im zweifel für die Firma exestenziell sind, so gespeichert sind, dass man aus dem Internet zugreifen kann. Das ist für mich fast ein genauso großes Verbrechen den Investoren und insbesondere Mitarbeitern gegenüber! Selbst wenn man alles bei mir zuhause übernehmen würde, wären meine wirklich wichtigen Dinge trotzdem von außen nicht zu erreichen. Alles andere ist doch Irrsinn?!
Zuletzt bearbeitet:
Faust II
Banned
- Registriert
- Okt. 2016
- Beiträge
- 1.170
Hier wurde schon viel über IT-Sicherheit diskutiert. Aber ich sehe es auch so. Wichtige Sachen sollten 2021 möglich sein vernünftig abzusichern, wenn man denn nicht komplett an den falschen Enden spart...Flatsteff schrieb:
Also die haben es einfach komplett zerrissen, und sollten sich daher auch nicht wundern wenn sie es werden...
C
Ctrl
Gast
das "hacken" klingt eher nach grober Fahrlässigkeit und Ransomware.
die PR Abteilung hat daraus einen Hack gemacht damit es weniger blöd wirkt ?
die PR Abteilung hat daraus einen Hack gemacht damit es weniger blöd wirkt ?
Flatsteff
Lt. Commander
- Registriert
- Nov. 2005
- Beiträge
- 1.445
Eben, IT Sicherheit ist das eine... Gerade mit Social Hacking kann man fast alles überwinden. Das aber der komplette Code der beiden wichtigsten Produkte online erreichbar ist ( damit meine ich nicht " unzurecihend Gesichert, sondern wirklich rein " machanisch " mit dem Internet verbunden ist ), halte ich für ein sehr gutes Bild dafür, was in dieser Firma los istFaust II schrieb:
Ergänzung ()
Wer braucht im Homeoffice den ganzen Code der beiden wichtigsten Produkte?Rexaton schrieb:
F
foo_1337
Gast
Das ist doch völlig normal und gängig. Was glaubst du, was alles in private github repos so rumliegt?Flatsteff schrieb:
Und ob der Kram nun per vpn in einer möchtegern sicheren Umgebung liegt, oder per 2FA irgendwo public ist, macht nicht den großen Unterschied. Oh wait: Doch, macht es. Letztere wissen in der Regel eher wie man etwas abzusichern hat, als der Turnschuhadmin, der irgendwo mal ein VPN Gateway hinrotzt, damit das Netz "sicher" ist.
Es geht nicht darum alles gleichzeitig auf dem heimischen PC zu lagern, sondern die Berechtigung des Zugriffs. Du weißt nicht im voraus, an welchem Modul du morgen oder übermorgen vielleicht ein Bugfix machen musst. Da wird vorher niemand in der Firma eine Festplatte umstecken, um den Zugriff zu ermöglichen.Flatsteff schrieb:Wer braucht im Homeoffice den ganzen Code der beiden wichtigsten Produkte?
Außerdem gibt es mindestens einen Account mit dem Zugang zum Buildserver, weil der regelmäßig (im Notfall auch spontan vom Homeoffice aus) gepflegt werden muss.
Faust II
Banned
- Registriert
- Okt. 2016
- Beiträge
- 1.170
Die kann man zur Not auch temporär legen, muss nicht dauerhaft da sein. Bei irgendwelchen Sonderfällen wird auch gerne mal was an der Hardware gemacht, wir reden hier von einer größeren Software Firma, und nicht von der Gemeinde Verwaltung vom Dorf Nikolaus im belgisch Schießmichtod mit ihren Windows Server 2003.Rexaton schrieb:
Die haben es in der IT-Sicherheit verbockt genauso wie mit CP da gibt es kein wenn und aber... es ist ne Tatsache.
F
foo_1337
Gast
Ja, die von CDPR sind genau so Flachpfeifen wie die Heinis aus Redmond, die zu blöd waren ihren Sourcecode vernünftig abzusichern und sich ein Einfallstor über irgendwelchen Solarwinds Crap gebaut haben. Wer Ironie findet, darf sie behalten. Auch wenn ich den Laden nicht leiden kann, werden die wohl keine absoluten Vollhonks beschäftigen und sehr wohl wissen was sie tun. Was ich damit sagen will: Es kann jeden Treffen. Irgendeine Lücke ist immer da. Und wer heute darüber lacht, kann bereits morgen schon der gearschte sein. Es ist völlig utopisch zu denken, man sei gegen jede Art von Angriff gewappnet.
Ach und da war ja noch was mit so ner komischen Spielebutze in Japan die irgendwas mit Klempnerfiguren macht.. Aber deren IT hat sicher von Security auch noch nie was gehört
Ach und da war ja noch was mit so ner komischen Spielebutze in Japan die irgendwas mit Klempnerfiguren macht.. Aber deren IT hat sicher von Security auch noch nie was gehört
1.) Mit einer gezielten Attacke ist jeder grundsätzlich angreifbar besonders ein Team von Softwareentwicklern, wo man nicht jeden PC so absichern kann, dass er außer der lokalen Intranetseite und dem Buchhaltungsprogramm nichts mehr starten darf.
Möglicherweise kommt der Angriff sogar von ehemaligen Mitarbeitern, die über Insiderwissen den IT Strukturen bzw. der strukturellen Abläufe haben. Da ist eine Social Engineering Attacke nicht schwierig.
Abgesehen davon ist das immernoch ein Entwicklerstudio für ein Computerspiel und kein internationaler Konzern oder das Pentagon. Hier kann man zwar erwarten, dass die IT Infrastruktur einigermaßen sauber aufgebaut ist aber sicher nicht, dass hier Milliarden pro Jahr nur in die Absicherungs des Netzwerks gesteckt werden.
2.) Eine richtig eingerichtete VPN Verbindung ist deutlich sicherer als den Code auf privaten Github Servern, nur geschützt durch die Zugangsdaten der Entwickler zu hosten und ich halte es für grob fahrlässig, dass dies von großen Softwareunternehmen wie Microsoft teilweise gemacht wird.
Allerdings ist dies ja hier gar nicht das Thema, da ja nicht ein öffentlich zugänglicher Server leergeräumt wurde sondern sich der Angriffer Zugriff auf das interne Netzwerk verschafft hat und von dort die Daten nach Hause gesendet hat.
Möglicherweise kommt der Angriff sogar von ehemaligen Mitarbeitern, die über Insiderwissen den IT Strukturen bzw. der strukturellen Abläufe haben. Da ist eine Social Engineering Attacke nicht schwierig.
Abgesehen davon ist das immernoch ein Entwicklerstudio für ein Computerspiel und kein internationaler Konzern oder das Pentagon. Hier kann man zwar erwarten, dass die IT Infrastruktur einigermaßen sauber aufgebaut ist aber sicher nicht, dass hier Milliarden pro Jahr nur in die Absicherungs des Netzwerks gesteckt werden.
2.) Eine richtig eingerichtete VPN Verbindung ist deutlich sicherer als den Code auf privaten Github Servern, nur geschützt durch die Zugangsdaten der Entwickler zu hosten und ich halte es für grob fahrlässig, dass dies von großen Softwareunternehmen wie Microsoft teilweise gemacht wird.
Allerdings ist dies ja hier gar nicht das Thema, da ja nicht ein öffentlich zugänglicher Server leergeräumt wurde sondern sich der Angriffer Zugriff auf das interne Netzwerk verschafft hat und von dort die Daten nach Hause gesendet hat.
Benji18
Rear Admiral
- Registriert
- Jan. 2005
- Beiträge
- 5.377
Social Engineering über Schadsoftware auf einem PC z.b. Sekretariat bist du schneller im LAN als dir lieb ist. Dann verhölt man sich still und beobachtet was so passiert, da bekommt man interessanterweise viel mit teilweise auch passwörter 🤷🏻♂️nospherato schrieb:
F
foo_1337
Gast
Und genau das ist das Problem: Das interne Netzwerk wird in den allermeisten Firmen als vertrauenswürdig und sicher eingestuft. Da nimmt man es dann auch nicht so genau mit Härtungen der Server, vernünftiger Authentifizierung oder aktuellen Softwareständen. Weil: Ist ja intern. Und NAT ist ja sowieso der beste Schutz, auf unsere RFC1918 IPs kann ja eh keiner Zugreifen. Und weil das ja so sicher ist, verlängert man den Arm dann via IPSEC VPN oder Alternativen zu den Mitarbeitern nach Hause und zu anderne Standorten. Aber ob VPN oder nicht ist eh egal, weil in das ach so sicherer Interne Netz gibt es nach wie vor genügend Möglichkeiten zu kommen. Völlig egal, ob per Social Engineering oder nicht. Und so lange es diese Denke in den Betonköpfen vieler IT Entscheider gibt, ändert sich daran auch nichts.andr_gin schrieb:
Solange man nicht begreift, dass es kein sichereres internes Netz gibt, wird sich an der Problematik nichts ändern. Ich halte von dieser Denke rein gar nichts, auch nicht von VPNs. Designed eure Applikationen so, dass jeder, der darauf Zugriff braucht, Zugriff erhält. Und zwar nicht über irgendwelche Gateways davor, sondern über die Applikation. Und wenn die Applikation zu legacy ist, dann überlegt euch was anderes, aber VPN ist immer die schlechtere Lösung. Genauso wie eine Authentifizierung per Passwort.
Übrigens traut sich deshalb auch niemand in klassischen Enterprises, v6 richtig zu deployen. Weil es ist ja ganz böse, dass jeder Rechner eine public IP hat. Nein, ist es nicht.
Ja, weil? Und o365 ist natürlich auch viel unsicherer als der Exchange, Sharepoint und das andere Microsoft Geraffel im sicherern Unternehmensnetz, richtig?andr_gin schrieb:
Übrigens sprach ich nicht von "privaten Github Servern", sondern von private repos.
Ja, ist doch klar. Es läuft alles Cloud basierend. Das ist heute Industriestandard. Es ist aber auch Standard, dass seit Corona viele ihr Home-Office auf ihrem alten, privaten, Laptop, mit dem auch die Gören irgendeinen bullshit machen, einrichten. Da haben die Hacker leichtes Spiel. Ich kenne Großkonzerne in denen die IT-Abteilung ein VPN ins Firmennetzwerk auf dem alten Laptop einrichtet und dann behauptet, dass sie sicher sind. iPSec und so...^^ Wozu eine teure Hardwarefirewall kaufen, wir haben doch einen VPN-tunnel? (Und überall das selbe Passwort +- ein !) 🙈🙈🎉🎉🎉nospherato schrieb:
F
foo_1337
Gast
Hehe ja, das trailing ! dürfte der Klassiker sein
sverebom
Vice Admiral
- Registriert
- Aug. 2004
- Beiträge
- 6.306
Florianw0w schrieb:
Die Engine ist die Grundlage für die Spiele, die CDPR nach Witcher 3 entwickelt hat - also Cyberprunk - und die zumindest in nahe Zukunft noch entwickeln wird. Da drin stecken sicherlich einige technische Geheimnisse, die die CDPR lieber nicht in den Händen von Leuten sehen würde, die die Engine aufdröseln und kopieren könnten.
Außerdem können und werden derartig komplexe Software-Produkten nicht von allen Altlasten und Verwirrungen einer langen Entwicklungszeit befreit. Aus dem Code kann man sicherlich auch einiges ableiten, dass bisher nicht der Öffentlichkeit bekannt. Ob das wirklich derartig gefährlich für den Börsenkurs von CDPR werden kann, wird man sehen müssen.
Fixkomma
Cadet 2nd Year
- Registriert
- Jan. 2021
- Beiträge
- 27
Es ist schon ironisch, wenn ausgerechnet die Macher von Cyberpunk gehackt werden, aber m. E. ist spätestens durch Homeoffice eine wasserdichte Security nicht zu bewerkstelligen. Nicht über das Internet.
Selbst in einem vom Internet getrennten Bunker ist immer noch der Faktor Mensch ein Risiko. Ich persönlich betreibe ein zweites Netz, das immer offline ist, um mein geistiges Eigentum zu schützen. Ich denke CDPR hatte sicher keine Zeit und Möglichkeit (durch Covid) für solche Spielereien.
Selbst in einem vom Internet getrennten Bunker ist immer noch der Faktor Mensch ein Risiko. Ich persönlich betreibe ein zweites Netz, das immer offline ist, um mein geistiges Eigentum zu schützen. Ich denke CDPR hatte sicher keine Zeit und Möglichkeit (durch Covid) für solche Spielereien.
H
h3@d1355_h0r53
Gast
Nunja, man sollte erwähnen, dass deren Infrastruktur halt beschissen ist. Sonst würde sowas nicht passieren.
Goforhistory
Cadet 3rd Year
- Registriert
- März 2015
- Beiträge
- 39
Danke für deine Einschätzung, sehe das ganz ähnlich. Aber bei einem Punkt musste ich doch sehr die Stirn runzeln: 100k Lines of Code? Doom 3 BFG von 2012 (ursprünglich ja aber von 2004...) hatte bereits über 600k LoC (https://kotaku.com/the-exceptional-beauty-of-doom-3s-source-code-5975610). Ich schätze wir liegen hier inzwischen 1-2 Größenordnungen darüber...Kuestennebel79 schrieb:
Interessant ist das Doom 3 Beispiel aber auch aus einem anderen Grund: id Software hat hier den Code vor 8 Jahren als Open Source veröffentlicht: https://github.com/id-Software/DOOM-3-BFG
Es gab allerdings zumindest keine großen Projekte mWn, die den Code auch tatsächlich verwendet haben. Das deckt sich mit deiner Einschätzung, dass mit Code "gearbeitet" werden muss und dass tatsächlich die Programmierer den wahren Wert für das Unternehmen darstellen, nicht allein die Code-Basis.
- Status