Forum: PC Hard- und Software Webseite zum Download von Dateien ohne Endung gesucht


Announcement: there is an English version of this forum on EmbDev.net. Posts you create there will be displayed on Mikrocontroller.net and EmbDev.net.
von Fragender (Gast)


Lesenswert?

Hallo,

ich bin auf der Suche nach einer Webseite, die es ermöglicht einen Link 
zu einer anderen Seite anzugeben um indirekt Dateien ohne Endung zu 
laden.
Habe so etwas vor Jahren mal gesehen, aber vergessen wo.
Der Grund dürfte bekannt sein, eine völlig vertrottelte IT-Abteilung.

Also nochmal verdeutlicht:

Ich gehe auf Seite A und gebe da in einem Eingabefeld den Link zu einer 
Datei auf Seite B an. Dann Startet der Server den Download von Seite A 
und reicht mehr oder minder onthefly die Datei ohne die Dateiendung an 
mich weiter.

von Niklas G. (erlkoenig) Benutzerseite


Lesenswert?

Gib den Link hier ins Forum ein. Klicke auf Vorschau. Rechtsklick auf 
den Link, "Ziel speichern unter", fertig.

Oder Tools wie curl, wget nutzen.

Beitrag #7263780 wurde von einem Moderator gelöscht.
von Fragender (Gast)


Lesenswert?

Das Problem ist es lauft eine transparente Firewall im Netzwerk, die die 
SSL Verbindung aufbricht und alles mögliche Filtert. Also komme ich da 
mit curl und wget nicht weiter.

Aktuell behelfe ich mir damit, dass ich eine Mail an einen Kumpel 
schicke und der mir die Datei dann eben bei sich auf den Webspace legt, 
aber ich habe keinen Bock ihm immer wieder wegen so einer Scheiße auf 
die Nerven zu gehen.

von Thomas W. (dbstw)


Lesenswert?

Es waere wohl einfacher, wenn Du um eine Kuendigung bitten wuerdest. 
Bruch von Company policies haben meistens Konsequenzen.

Ba!

von Fragender (Gast)


Lesenswert?

Und hier mit der Vorschau hilft mir auch nicht weiter, da die 
betreffenden Endungen (z.B. .bin, .hex, .iso, .zip usw.) von allen 
Webseiten geblockt werden.

von Fragender (Gast)


Lesenswert?

Dann sollen sie kommen, mein Problem ist, dass ich eher der einzige bin 
den es stört das ich nicht vernünftig arbeiten kann.

von Purzel H. (hacky)


Lesenswert?

Dann soll die IT Abteilung diese Datei runterladen. Wenn sie nicht 
wollen, dann eben nicht. Es gibt sicher auch noch anderes zu tun.

Beitrag #7263797 wurde vom Autor gelöscht.
von Thomas W. (dbstw)


Lesenswert?

Fragender schrieb:
> Dann sollen sie kommen, mein Problem ist, dass ich eher der einzige bin
> den es stört das ich nicht vernünftig arbeiten kann.

Ist wie mit den Geisterfahrern: Einer? Hunderte.

Ba!

von Sean G. (atmega318)


Lesenswert?

Selber basteln! Eine kleine VM bei Hetzner (ich hätte dir da nen 20 Euro 
Weiterempfehlungsgutschein wenn du willst), dann NGINX drauf 
installieren, und den als Reverse proxy konfigurieren.

content-type header durch application/octet-stream ersetzen & die 
dateiendung raus-regexen. Das sollte funktionieren

von Fragender (Gast)


Lesenswert?

Purzel H. schrieb:
> Dann soll die IT Abteilung diese Datei runterladen. Wenn sie nicht
> wollen, dann eben nicht. Es gibt sicher auch noch anderes zu tun.

Genau, erstmal ein Ticket schreiben und 1-2 Tage warten, bis dahin hab 
ich die Datei selber auf dem Rechner.

Thomas W. schrieb:
> Fragender schrieb:
>> Dann sollen sie kommen, mein Problem ist, dass ich eher der einzige bin
>> den es stört das ich nicht vernünftig arbeiten kann.
>
> Ist wie mit den Geisterfahrern: Einer? Hunderte.
>
> Ba!

Nein, das ist ja das traurige, wenn ich gegen die Policy verstoße 
interessiert das genauso wenig jemanden, außer den Vortänzer in der IT 
und dann kann der versuchen einen zu finden der was dagegen unternimmt. 
Ich wäre mehr als froh wenn es endlich mal richtig knallen würde und 
dann tatsächlich mal eine Entscheidung erzwungen werden würde. Entweder 
arbeiten können oder diese unsinnige Policy weiter pflegen.

Sean G. schrieb:
> Selber basteln! Eine kleine VM bei Hetzner (ich hätte dir da nen 20 Euro
> Weiterempfehlungsgutschein wenn du willst), dann NGINX drauf
> installieren, und den als Reverse proxy konfigurieren.
>
> content-type header durch application/octet-stream ersetzen & die
> dateiendung raus-regexen. Das sollte funktionieren

Das klingt interessant, werde ich heute nach der Arbeit mal testen, 
einen kleinen V-Server hätte ich sogar noch.

von Niklas G. (erlkoenig) Benutzerseite


Lesenswert?

Fragender schrieb:
> Purzel H. schrieb:
>
>> Dann soll die IT Abteilung diese Datei runterladen. Wenn sie nicht
>> wollen, dann eben nicht. Es gibt sicher auch noch anderes zu tun.
>
> Genau, erstmal ein Ticket schreiben und 1-2 Tage warten, bis dahin hab
> ich die Datei selber auf dem Rechner

Exakt. Nach dem 5. Mal überlegt man sich da dann ob das nicht 
effizienter geht. Das gleiche Spiel wenn man 3× täglich nach lokalen 
Adminrechten fragt.

von Toor (Gast)


Lesenswert?

Genau wegen solchen Leuten wie dir haben auch wir in der Firma (ich 
selbst war Head of IT) solche Policys eingeführt. Weil ein Entwickler 
wie DU das gefühl hat, alles zu wissen und alles zu können und sowieso 
Admin-Rechte braucht. Für etwas sollte es Toolchain Manager geben, 
welche zusammen mit der IT abklären was wie gebraucht wird und mit was 
entwickelt wird. Genau Leute wie DU schleppen dann Viren ein, weil ja 
Unbedingt Tool X und Downloader Y dort benötigt wird. Und warum macht 
man SSL Interception? Schonmal an den Sicherheitsaspekt gedacht? Auch 
Verstreuer von bösartiger Software werden schlauer und wissen, dass eine 
Firewall auf SSL Verbindungen ohne Interception keinen Content-Scan 
durchführen kann.

Wenn ich solche Leute wie dich erwischt habe, gab es via HR zuerst eine 
Verwarnung und beim nächsten Mal die fristlose Kündigung. Mit deinem 
Verhalten bringst du die ganze Firma in gefahr.

Wenn es dir nicht passt wie du arbeiten sollst, und auch nicht daran 
interessiert bist Lösungen zusammen mit der IT zu finden, rate ich dir 
schnellstmöglich zu Kündigen und einen Branchenwechsel in betracht zu 
ziehen.

Dank solchen Leuten wie dir Kotze ich im Strahl!

von Niklas G. (erlkoenig) Benutzerseite


Lesenswert?

Toor schrieb:
> Weil ein Entwickler wie DU das gefühl hat, alles zu wissen und alles zu
> können

Entwickler wie ich entwickeln all die schönen Tools, die ihr IT-Leute 
nur installiert.

Toor schrieb:
> Wenn ich solche Leute wie dich erwischt habe, gab es via HR zuerst eine
> Verwarnung und beim nächsten Mal die fristlose Kündigung

IT-Leute sind leichter zu ersetzen als Entwickler.

von Yalu X. (yalu) (Moderator)


Lesenswert?

Die Schutzmaßnahmen der Firma (egal ob IT-Sicherheit oder Arbeitsschutz)
eigenmächtig auszuhebeln, ist nie eine gute Idee. Du weitest damit das
ursprüngliche Problem, für das du nicht verantwortlich bist, zu einem
größeren Problem aus, dessen Verursacher du allein bist. In irgendeiner
Form wird das früher oder später ganz gewaltig auf dich zurückfallen.

Wenn du wegen der Restriktionen nicht vernünftig arbeiten kannst,
solltest du das mit deinem Vorgesetzten besprechen und zusammen mit ihm
und der IT-Abteilung nach einer praktikablen Lösung suchen.

Führt dies nicht zum Erfolg, wirst du notgedrungenerweise weiterhin mit
reduzierter Effizienz arbeiten müssen. Da du dieses Problem aber bereits
gemeldet hast und nachweislich¹ offen für mögliche Lösungen warst, ist
das Problem ab sofort nicht mehr dein eigenes, sondern das deines
Vorgesetzten und der IT-Abteilung.

─────────────
¹) Dazu am besten ein Protokoll der Besprechung erstellen und an die
   Beteiligten zur Kenntnisnahme schicken.

von René H. (mumpel)


Lesenswert?

Fragender schrieb:
> mein Problem ist, dass ich eher der einzige bin den es stört das ich
> nicht vernünftig arbeiten kann.

Dann musst Du eben auch sagen "Ja dann l... eg ich mich halt nieder". 😁

von Nano (Gast)


Lesenswert?

Yalu X. schrieb:
> Wenn du wegen der Restriktionen nicht vernünftig arbeiten kannst,
> solltest du das mit deinem Vorgesetzten besprechen und zusammen mit ihm
> und der IT-Abteilung nach einer praktikablen Lösung suchen.
>
> Führt dies nicht zum Erfolg, wirst du notgedrungenerweise weiterhin mit
> reduzierter Effizienz arbeiten müssen.

Das halte ich auch für die sinnvollste Vorgehensweise.

Letzten Endes ist es das Problem der Firma, wenn ihre Mitarbeiter mit 
geringerer Effizienz arbeiten und sollte das der Firma das Genick 
brechen, macht es ohnehin Sinn, sich frühzeitig nach etwas anderem 
umzusehen bevor das geschieht.

Und in schlechten Zeiten suchen Firmen ohnehin gezielt Gründe, um den 
ein oder anderen loszuwerden. Da sollte man dann keine Angriffsfläche 
bieten, was man ja täte, wenn man die Sicherheitsregeln in der Firma 
aushebelt bzw. umgeht. Mit so einem Schritt kann man also nur verlieren.

von Georg (Gast)


Lesenswert?

Niklas G. schrieb:
> Entwickler wie ich entwickeln all die schönen Tools, die ihr IT-Leute
> nur installiert.

Entwickler wie du, die sich für gottgleich und unfehlbar halten, 
produzieren keine Qualtitätssoftware. Warum sollten sie überhaupt auf 
Fehlersuche gehen, sie machen ja keine.

Georg

von User #0815 (Gast)


Lesenswert?

mal so nebenbei gefragt: Wo gibt es denn so viele Dateien ohne 
Dateierweiterung, dass Du die so oft benötigst?

Da ist das Problem doch nicht bei Eurer Firewall sondern beim Anbieter 
dieser files?

Mir käme nicht in den Sinn irgendwo im Internet nach Programmen oder 
Dateien zu suchen, um diese dann auf dem Firmenrechner zu verwenden.
Natürlich benötige ich auch Datenblätter, Zeichnungen, 3D-Modelle oder 
sourcecode / Programmbibliotheken - das wird doch aber alles von 
seriösen Quellen zur Verfügung gestellt. Egal ob TI, NXP, Mouser, oder 
sonst was, selbst GitHub werden wohl die meisten ITs als "sicher" 
freischalten...


Und wenn alle anderen Kollegen zurecht kommen - was machen die dann 
anders? - die arbeiten eben alle nicht so gut und effizient wie Du? 
schonmal ernsthaft und gutwillig mit der IT geredet?

Den ITlern geht es doch nicht anders als uns Entwickler - wenn alles 
läuft sieht man Dich nicht und wenn es eben nicht läuft bist Du "zu 
dumm!" - IT ist auch kein einfaches Brot...

von René H. (mumpel)


Lesenswert?

User #0815 schrieb:
> Wo gibt es denn so viele Dateien ohne Dateierweiterung,

Wenn ich es richtig verstanden habe, geht es darum, dem Firmen-Server 
einen Link ohne Dateiendung vorzugaugeln, um den Virenscanner 
auszutricksen.

von h4ck3r (Gast)


Lesenswert?

Ich betreibe sowas für Penetrationstester. Für 10€ Grundgebühr zzgl. 
0,5€ pro angefangene 100MB. (+ Steuern). Dafür erhältst du Zugang zu 
einer Plattform, die genau das bietet (und noch viel mehr, um Datein 
weiter zu obfuskieren=.

von René H. (mumpel)


Lesenswert?

Ich bezweifle, dass sich ein guter AV-Scanner davon beeindrucken lässt.

von h4ck3r (Gast)


Lesenswert?

René H. schrieb:
> Ich bezweifle, dass sich ein guter AV-Scanner davon beeindrucken
> lässt.

Wenn kein Virus in der Datei ist, hat auch ein AV-Scanner nichts zu 
melden. Und wenn ein Virus drin ist, gibt es genug Techniken den AV 
Scanner auszutricksen.

von René H. (mumpel)


Lesenswert?

h4ck3r schrieb:
> René H. schrieb:
>
>> Ich bezweifle, dass sich ein guter AV-Scanner davon beeindrucken
>> lässt.
>
> Wenn kein Virus in der Datei ist, hat auch ein AV-Scanner nichts zu
> melden. Und wenn ein Virus drin ist, gibt es genug Techniken den AV
> Scanner auszutricksen.

Unser Emailserver hält erstmal alle Mails zurück. Dann werden Anhänge 
und Links geprüft. Verdächtige Inhalte werden einer schärferen Prüfung 
unterzogen. Manchmal werden Links nach der Prüfung auch entfernt, oder 
geändert. Durch eine verschärfte Prüfung verzögert sich die Zustellung 
der Mail bis zu 30 Minuten. Mit Austricksen ist da nicht viel.

von h4ck3r (Gast)


Lesenswert?

René H. schrieb:
> Mit Austricksen ist da nicht viel.

Du hast nicht genug Phantasie. Mit Steganographie kann man eine Menge 
verstecken. Natürlich ist die Datei beim Empfänger dann nicht mehr 
direkt ausführbar, aber ein Powershell Script, um die Dateien wieder 
zusammenzusetzen kann man mal als Text einer E-Mail reinschicken. Ganz 
davon abgesehen geht es hier um Dateien von einem Webserver. Da wird 
noch viel weniger geprüft und es gibt kaum Beschränkungen im Hinblick 
auf die Dateigröße.

Du darfst nicht vergessen, dass hier der Komplize schon an einem Rechner 
im internen Netz sitzt. Die initiale Infektion des Rechners entfällt 
also.

von René H. (mumpel)


Lesenswert?

h4ck3r schrieb:
> Ganz davon abgesehen geht es hier um Dateien von einem Webserver. Da
> wird noch viel weniger geprüft und es gibt kaum Beschränkungen im
> Hinblick auf die Dateigröße.

Da kennst Du unseren Emailserver nicht. Der prüft alles. Und vom 
Intranet (BKU) ins Internet darf auch nicht jeder. Programme 
installieren darf auch nur DB-Systel, und die prüfen Programme bevor sie 
zur Nutzung im BKU freigegeben werden (viele Programme werden erst 
garnicht freigegeben) und verlangen auch noch Geld für die Installation.

Nur im privaten Bereich der Tablets/Smartphones kann man installieren 
was man will. Das hat aber keinen Einfluss auf den Arbeitsbereich, da 
ein gegenseitiger Zugriff ausgeschlossen ist. Im Arbeitsbereich hat man 
auch keinen Zugriff auf externe Datenträger und auch keinen Zugriff per 
PC (Datensicherung nur in der dienstlichen Cloud möglich). (Android 
Enterprise Recommended, oder das Apple-Pendant).

von Εrnst B. (ernst)


Lesenswert?

USB ist auch vernagelt? Oder kannst du deine Schadsoftware über einen 
USB-Stick einschleusen?
Notfalls über einen Stick der sich als Tastatur meldet, und ein 
Schadsoftware-Powershell-Script live in einen Editor tippt?

: Bearbeitet durch User
von Nichtzuständiger (Gast)


Lesenswert?

Fragender schrieb:
> ich habe keinen Bock ihm immer wieder wegen so einer Scheiße auf
> die Nerven zu gehen.

Der ist ja auch nicht zuständig.
Zuständig ist die IT, geh der auf die Nerven
und informiere Deinen Chef, wie lange Du jeweils warten musstest, bevor 
Du weiter arbeiten konntest.

von René H. (mumpel)


Lesenswert?

Εrnst B. schrieb:
> USB ist auch vernagelt? Oder kannst du deine Schadsoftware über einen
> USB-Stick einschleusen?

USB-Sticks auf Desktoprechnern sind erlaubt. Aber eine Installation von 
Programmen ist nicht möglich. Und da der Standardnutzer keinen 
Internetzugriff hat,  nützen auch "portable apps" nichts. Offiziell sind 
nur von DB-Systel geprüfte Datenträger zulässig. Theoretisch könnte man 
per VBA was machen, aber aufgrund der sehr umfangreichen Restriktionen 
eher nicht.

Auf den dienstlichen Tablets jedoch sind USB-Sticks im Arbeitsbereich 
nicht nutzbar, und Side-Load ist da auch nicht möglich. Im 
Arbeitsbereich können nur Apps aus dem dienstlichen App-/Play-Store 
installiert werden.

Die Restriktionen bei uns sind sehr stark, leider auch zum Nachteil 
mancher Mitarbeiter.

: Bearbeitet durch User
von Max M. (prokrastinator)


Lesenswert?

Fragender schrieb:
> dass ich eher der einzige bin
> den es stört das ich nicht vernünftig arbeiten kann.
Sucht ihr noch Leute?
Kann man auch in Homeoffice nicht arbeiten bei Euch?
Könnte ich das auch nebenbei zu meinem eigentlichen Job machen?

Ich finde es schwer zu verstehen das Du häufig Dateien aus dem Netz 
benötigts, die diese Endungen haben.
Fragender schrieb:
> (z.B. .bin, .hex, .iso, .zip usw.)

Zumindest ist ein mutwilliges Aushebeln der IT Sicherheitsregeln eine 
gefährliche Sache.
Melden macht frei.
Zeiten aufschreiben, Begründung liefern, Minesweeper spielen oder eine 
Fremdsprache lernen.

von h4ck3r (Gast)


Lesenswert?

René H. schrieb:
> Da kennst Du unseren Emailserver nicht. Der prüft alles.

Magst du mal Kontakt zu eurer IT herstellen? Würde mal eine kunstvoll 
kodierte exe reinschicken, falls eure IT zustimmt. Ich sag dir, das 
geht. Man muss nur genug Aufwand treiben. Wie gesagt, wer einen 
Komplizen am empfangenen Rechner hat, der bekommt auch Software 
ausgeführt. Und dieser Komplize wäre hier ja der TO.

René H. schrieb:
> Und da der Standardnutzer keinen
> Internetzugriff hat,  nützen auch "portable apps" nichts.

Ok. Das ändert natürlich schon etwas die Ausgangslage. Ist aber nicht 
die Ausgangslage des TO und in den meisten Firmen auch unüblich.

René H. schrieb:
> Offiziell sind
> nur von DB-Systel geprüfte Datenträger zulässig. Theoretisch könnte man
> per VBA was machen, aber aufgrund der sehr umfangreichen Restriktionen
> eher nicht.

Aha, daher weht der Wind. Ihr seid also kritische Infrastruktur? Da 
erfolgen Infektionen tatsächlich gerne mal etwas anders (siehe auch 
Stuxnet). Hier im Thread ging es bislang offensichtlich um eine 0815 
Firma. Aber bei der DB ist eine Angriff auf interne Systeme zur Sabotage 
zum Glück gar nicht nötig, solange es reicht die richtigen Glasfasern 
durchzuschneiden.

von René H. (mumpel)


Lesenswert?

h4ck3r schrieb:
> solange es reicht die richtigen Glasfasern durchzuschneiden.

Es reicht ja schon, die Zugzielanzeiger und Fahrplanseiten anzugreifen, 
die sind ja bekanntlich von außen zugänglich. 😉

von Niklas G. (erlkoenig) Benutzerseite


Lesenswert?

h4ck3r schrieb:
> Aber bei der DB ist eine Angriff auf interne Systeme zur Sabotage
> zum Glück gar nicht nötig, solange es reicht die richtigen Glasfasern
> durchzuschneiden.

Laub auf den Schienen reicht auch.

von René H. (mumpel)


Lesenswert?

h4ck3r schrieb:
> Würde mal eine kunstvoll kodierte exe reinschicken, falls eure IT
> zustimmt.

Wenn Du Dich entsprechend bewirbst, soll ja Firmen geben, die auf 
Auftrag die Sicherheit testen. Mit "Social Engineering" an der richtigen 
Stelle würdest Du auch ins Herzstück des BKU kommen.

: Bearbeitet durch User
von René H. (mumpel)


Lesenswert?

BTW:

Eventuell reicht schon das Umbennen der Dateien in "txt". Funktioniert 
bei mir in VBA problemlos, da gebe ich eine Exe-Datei als txt-Datei aus 
(die wird trotzdem als Exe ausgeführt).

: Bearbeitet durch User
von rbx (Gast)


Lesenswert?

Fragender schrieb:
> Ich gehe auf Seite A und gebe da in einem Eingabefeld den Link zu einer
> Datei auf Seite B an. Dann Startet der Server den Download von Seite A
> und reicht mehr oder minder onthefly die Datei ohne die Dateiendung an
> mich weiter.

Das klingt alles irgendwie sehr gesucht. Ich bin eher ein Freund davon, 
wenn sich gewisse Dinge in gewisser Weise von allein erledigen.
Das kann man natürlich nicht immer erwarten  - ich bin aber 
diesbezüglich (des "gesuchten" bzw. des "erzwungenen" )vorsichtiger 
geworden.

Versuch mal eine Hindernisanalyse, Zusammenhangüberschau, 
Ist-Soll-Reflexion, sowas in der Art.
https://de.wikipedia.org/wiki/Trojanisches_Pferd

von h4ck3r (Gast)


Angehängte Dateien:

Lesenswert?

René H. schrieb:
> Wenn Du Dich entsprechend bewirbst, soll ja Firmen geben, die auf
> Auftrag die Sicherheit testen.

Genau so etwas mache ich tatsächlich. Denke aber, dass systel da schon 
gut beraten wird.

Ich habe dir gerade mal den echten wannacry in ein PNG geschrieben. 
Virustotal stuft die Datei als unverdächtig ein. Am Mailfilter käme sie 
also sehr wahrscheinlich vorbei. Vielleicht ist sie etwas groß, aber man 
könnte sie ja in mehrere Teile aufteilen.

Auf dem Clientrechner muss die natürlich wieder zur exe werden. Das 
könnte man z.B. per JavaScript mit der Canvas API im Browser machen. Das 
JavaScript dazu kann man ebenfalls per Text als Email reinschicken oder 
per Post/Fax zum abtippen. An dieser Stelle sollte natürlich im Fall von 
Wannacry der Virenscanner aktiv werden. Aber der ist nur so gut wie 
seine Signaturen und wird angepasste Schadsoftware nicht erkennen.

von René H. (mumpel)


Lesenswert?

h4ck3r schrieb:
> Ich habe dir gerade mal den echten wannacry in ein PNG geschrieben.

Du glaubst doch nicht wirklich, dass ich darauf reinfalle. Den 
Holzhammer kannst Du wieder wegpacken. 😉

von h4ck3r (Gast)


Lesenswert?

René H. schrieb:
> Du glaubst doch nicht wirklich, dass ich darauf reinfalle. Den
> Holzhammer kannst Du wieder wegpacken. 😉

Was meinst du damit?

von Yalu X. (yalu) (Moderator)


Lesenswert?

h4ck3r schrieb:
> wannacry.png
> ...
> Auf dem Clientrechner muss die natürlich wieder zur exe werden. Das
> könnte man z.B. per JavaScript mit der Canvas API im Browser machen. Das
> JavaScript dazu kann man ebenfalls per Text als Email reinschicken oder
> per Post/Fax zum abtippen.

Na ja, du kannst von einem Windows-User vielleicht erwarten, dass er
einen E-Mail-Anhang gedankenlos anklickt, mehr aber auch nicht.

Wenn er erst noch JavaScript-Code im Browser laufen lassen soll, den er
zuvor aus einer Briefsendung abtippen muss, wird er damit hoffnungslos
überfordert sein und deswegen Unterstützung bei der IT-Abteilung holen.
Dort wird ihm natürlich erst einmal ordentlich der Kopf gewaschen :)

Wobei das Verschicken von Malware per E-Mail am Thread-Thema vorbeigeht,
denn der TE will die (potentiell verseuchten) Dateien ja selber direkt
vom Web herunterladen.

: Bearbeitet durch Moderator
von Karl (Gast)


Lesenswert?

René H. schrieb:
> Aber eine Installation von
> Programmen ist nicht möglich. Und da der Standardnutzer keinen
> Internetzugriff hat,  nützen auch "portable apps" nichts. Offiziell sind
> nur von DB-Systel geprüfte Datenträger zulässig. Theoretisch könnte man
> per VBA was machen, aber aufgrund der sehr umfangreichen Restriktionen
> eher nicht.

Scheinst einen anderen BKU-Rechner zu haben, als ich hatte. Internet ist 
beim Homeoffice ja wohl zwingend. Ausführen konnte man fast alles ohne 
Adminrechte. Am Anfang war sogar der "Windowsshop" offen, da konnte man 
aus den vollen schöpfen. Hab mir Move Mouse geladen, dann hat keiner 
Gemerkt, wenn man mal 2 Stunden nicht am Rechner war ;)

von Yalu X. (yalu) (Moderator)


Lesenswert?

René H. schrieb:
> Eventuell reicht schon das Umbennen der Dateien in "txt".

Bevor der TE die Datei umbenennen kann, muss er sie aber erst einmal
herunterladen, was aber nach seiner Aussage wegen der (verdächtigen)
Endung von der IT verhindert wird.

von h4ck3r (Gast)


Lesenswert?

Yalu X. schrieb:
> Na ja, du kannst von einem Windows-User vielleicht erwarten, dass er
> einen E-Mail-Anhang gedankenlos anklickt, mehr aber auch nicht.
>
> Wenn er erst noch JavaScript-Code im Browser laufen lassen soll, den er
> zuvor aus einer Briefsendung abtippen muss, wird er damit hoffnungslos
> überfordert sein und deswegen Unterstützung bei der IT-Abteilung holen.
> Dort wird ihm natürlich erst einmal ordentlich der Kopf gewaschen :)

Natürlich, einen gedankenlosen Angriff kann ich damit nicht machen. Hier 
ist aber das Szenario doch, dass wir einen Innentäter haben, der mit 
aller Gewalt potentiell schädliche Dateien an den Schutzeinrichtungen 
des Unternehmens vorbeischmuggeln möchte. Und in diesem Szenario ist 
mein Weg durchaus gangbar.

Yalu X. schrieb:
> Wobei das Verschicken von Malware per E-Mail am Thread-Thema vorbeigeht,
> denn der TE will die (potentiell verseuchten) Dateien ja selber direkt
> vom Web herunterladen.

Stimmt. Aber was am Mailfilter vorbeigeht, geht auch am Webfilter vorbei 
und hilft damit auch dem TE.

von San Miguel de Joker (Gast)


Lesenswert?

Fragender schrieb:
> Das Problem ist es lauft eine transparente Firewall im Netzwerk, die die
> SSL Verbindung aufbricht und alles mögliche Filtert.

Und damit ist sämtliche Sicherheit von SSL dahin.

Du weißt nicht einmal ob gerade eine MITM läuft nachdem du nur das root 
CA eures dummen Filters siehst.

Klingt für mich nach sehr viel Bullshitbingo eingekauft mit AV Scannern 
usw.

Selbst wenn du eine Lösung findest um diesen Schwachsinn zu umgehen, für 
wie schlau hältst du es einem 0815 Webservice zu vertrauen dass der die 
Daten nicht auch ggf manipuliert?

Einfach Mail mit Download Wunsch an die IT und wenn es halt nicht klappt 
dann klappt es halt nicht. Das gibst du dann deinem Vorgesetzten weiter 
und legst die Beine hoch.

Wenn die Infrastruktur nicht zum Arbeiten geeignet ist, dann geht das 
halt nicht. Wenn "Sicherheits Voodoo" zu Hacks führt ist die Sicherheit 
gelinde gesagt im Arsch.

von h4ck3r (Gast)


Lesenswert?

René H. schrieb:
> Du glaubst doch nicht wirklich, dass ich darauf reinfalle. Den
> Holzhammer kannst Du wieder wegpacken. 😉

Hier ist übrigens das Tool zum dekodieren, getestet im Firefox: 
https://robin.meis.space/files/decoder/

Lad das Bild hoch und probier es aus. Beim Click auf Download wird die 
Datei nicht als .exe heruntergeladen, sodass sie selbst keinen Schaden 
anrichten sollte. Die Checksumme der dekodierten Datei lautet 
ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa und 
entspricht somit der von Wannacry.

von h4ck3r (Gast)


Lesenswert?

h4ck3r schrieb:
> Hier ist übrigens das Tool zum dekodieren, getestet im Firefox:
> https://robin.meis.space/files/decoder/

Achso: Ist natürlich alles nur Javascript und würde somit auch lokal 
laufen. Aber hier kommen dann eben zwei unverdächtige Teile zusammen, um 
an den gängigen Filtern vorbeizukommen.

Ich könnte mir sogar vorstellen, dass das ein Weg sein könnte, um 
Unternehmen doch anzugreifen. Einfach einen Link per E-Mail schicken, 
und dann auf Umwegen an allen Filtern vorbei ein Macrodokument 
bereitstellen. Beide Dateien könnten auf jedem beliebigen Webspace 
gehostet werden und sind damit auch nicht von irgendwelchen besonderen 
Servern abhängig.

von Zeno (Gast)


Lesenswert?

René H. schrieb:
> Eventuell reicht schon das Umbennen der Dateien in "txt". Funktioniert
> bei mir in VBA problemlos, da gebe ich eine Exe-Datei als txt-Datei aus
> (die wird trotzdem als Exe ausgeführt).
Man kann eine Datei ja auch mit MIME oder UUE codieren. Das sind dann 
reine Textdateien, die eigentlich fast überall durchgehen. Das Problem 
ist halt das der Empfänger einen passenden Decodierer btaucht um daraus 
wieder das Orginal zu machen.

Mit dem Totalkommander z.B. geht beides. Allerdings ist der auf 
Firmenrechnern wohl eher nicht drauf und darf i.d.R. auch nicht 
installiert werden.

Bei uns in der Firma sind die Regeln auch sehr restriktiv und behindern 
auch manchmal die Arbeit. Da hilft nur eines, den Chef informieren das 
man seine Arbeit nicht wie gefordert erfüllen kann. Da wurde in der 
Vergangenheit meistens eine Lösung gefunden.

von René H. (mumpel)


Lesenswert?

Karl schrieb:
> Scheinst einen anderen BKU-Rechner zu haben, als ich hatte. Internet ist
> beim Homeoffice ja wohl zwingend. Ausführen konnte man fast alles ohne
> Adminrechte.

Das war vielleicht mal so. Die aktuellen BKU-Rechner sind abgesichert. 
Nur bei Non-BKU-Rechnern ist der Anwender auch Administrator, mit allen 
Rechten und Pflichten, und er trägt das volle Risiko (installiert er 
eigene Software, und es kommt dabei zu Schäden, möchte ich nicht in 
seiner Haut stecken). Natürlich kommt man vom Internet aus ins BKU (muss 
man ja), aber nicht von privaten Rechnern aus, man benötigt von 
DB-Systel gemanagte Geräte oder zugelassene Non-BKU-Geräte (mit den 
entprechenden Zertifikaten drauf).

: Bearbeitet durch User
von Fragender (Gast)


Lesenswert?

San Miguel de Joker schrieb:
> Fragender schrieb:
>> Das Problem ist es lauft eine transparente Firewall im Netzwerk, die die
>> SSL Verbindung aufbricht und alles mögliche Filtert.
>
> Und damit ist sämtliche Sicherheit von SSL dahin.

Genau das, man sieht auf allen Seiten immer nur das Zertifikat der 
Firewall/Virenscanner Kombo.

> Du weißt nicht einmal ob gerade eine MITM läuft nachdem du nur das root
> CA eures dummen Filters siehst.

Auch das stimmt.

> Klingt für mich nach sehr viel Bullshitbingo eingekauft mit AV Scannern
> usw.

Exakt.

> Selbst wenn du eine Lösung findest um diesen Schwachsinn zu umgehen, für
> wie schlau hältst du es einem 0815 Webservice zu vertrauen dass der die
> Daten nicht auch ggf manipuliert?

Zum einen habe ich für die meisten Sachen den Hash und bei den anderen 
Sachen wird es eben wie ein rohes Ei behandelt bzw. es ist egal ob es 
manipuliert ist, da es nicht ausgeführt wird sondern nur Nutzdaten 
enthält.

> Einfach Mail mit Download Wunsch an die IT und wenn es halt nicht klappt
> dann klappt es halt nicht. Das gibst du dann deinem Vorgesetzten weiter
> und legst die Beine hoch.

Der Vorgesetzte stellt dann fest das die IT nicht in die normale 
Hierarchie eingegliedert ist und prinzipiell nur von der GF Anweisung 
befolgen würde. Die GF will aber mit so einem Kram, von dem sie keinen 
blassen Dunst hat, nicht belastet werden. Und wenn der ITler sagt das 
ist wegen der Sicherheit, ist das eben so.

> Wenn die Infrastruktur nicht zum Arbeiten geeignet ist, dann geht das
> halt nicht. Wenn "Sicherheits Voodoo" zu Hacks führt ist die Sicherheit
> gelinde gesagt im Arsch.

Stimmt, ändert aber nichts daran. Der Witz dabei ist, natürlich wird so 
nur das Arbeiten in der Firma erschwert, wenn ich den Rechner am Abend 
mit nach Hause nehme, kann ich alles laden wie ich will. Was teilweise 
auch der Grund ist warum ich die Kiste überhaupt mitnehme.

von René H. (mumpel)


Lesenswert?

Fragender schrieb:
> Der Witz dabei ist, natürlich wird so
> nur das Arbeiten in der Firma erschwert, wenn ich den Rechner am Abend
> mit nach Hause nehme, kann ich alles laden wie ich will.

Wenn das bei Deiner Firma geht. Bei uns könntest Du zwar laden, aber 
nicht installieren (wenn es kein NON-BKU-Gerät ist).

von rbx (Gast)


Lesenswert?

Fragender schrieb:
> wenn ich den Rechner am Abend
> mit nach Hause nehme, kann ich alles laden wie ich will. Was teilweise
> auch der Grund ist warum ich die Kiste überhaupt mitnehme.

Wenn man die Sicherheitsfragen mal außen vor lässt, könnte man zumindest 
versuchen, die Überstundenbezahlung (auch /Nacht- und Feiertagszuschuss 
usw.) hochzuzählen.

von Toor (Gast)


Lesenswert?

@Fragender

Als ob du jedesmal das Zertifikat einer Verbindung überprüfst. Sei doch 
ehrlich. Eine Mitm Attacke festzustellen ist 1. Nicht dein Problem und 
2. Innerhalb des netzwerks eher unwahrscheinlich. Hier gibt es genug 
Schutzmechanismen die eingesetzt werden können.

Was habt ihr eigentlich das gefühl dass die IT einfach irgend eine FW / 
AV Combo Nutzt? Die auch noch Mail kann? Das sind meist getrennte 
Appliances (z.B. Fortinet - FW Fortigate, Mail eine FortiMail und als 
Webfilter eine Kombo aus FortiGate und FortiWeb) welche jeweils ihre 
Aufgabe alleine oder in Kombination erfüllen.

"Wie ein Rohes Ei behandelt" - Da haben wirs wieder, du meinst du kennst 
dich mit den Gefahren aus. Gar keine Ahnung hast du davon. Was du kannst 
ist vermutlich innerhalb deiner Firma schlechte Stimmung gegenüber der 
IT Verbreiten.

Pfui.

von h4ck3r (Gast)


Lesenswert?

René H. schrieb:
> Wenn das bei Deiner Firma geht. Bei uns könntest Du zwar laden, aber
> nicht installieren (wenn es kein NON-BKU-Gerät ist).

Ausführen reicht doch. Zumindest Schadsoftware kommt nicht mit den 
gängigen UAC Abfragen und Installationsabfragen.

von Bart (Gast)


Lesenswert?

Alternativen:
Offene Schnittstellen nutzen, z.B. Bluetooth (bei uns ist USB 
zugestopft, aber über BT geht alles.
Zippen und Passwort drauf (so lässt sich z.B. unser dämlicher Mailfilter 
überreden, Mails mit Javascript-Anhängen zu akzeptieren).

von Bart (Gast)


Lesenswert?

Toor schrieb:
> "Wie ein Rohes Ei behandelt" - Da haben wirs wieder, du meinst du kennst
> dich mit den Gefahren aus. Gar keine Ahnung hast du davon. Was du kannst
> ist vermutlich innerhalb deiner Firma schlechte Stimmung gegenüber der
> IT Verbreiten.
> Pfui.

Wenn's nach der IT ginge, dann würden wir wieder mit Hammer und Meißel 
arbeiten.
Ganz ehrlich: Bei uns sitzen da vier Orks, einer fetter als der andere, 
und die halbe Wand voll mit Autopostern und Weibern.
Wenn wir uns mit einem RDP verbinden wollen, dann dürfen wir erstmal 
eine Abfrage a la "Ich bin nicht böse" mit OK bestätigen. Das sind dann 
die Sicherheitsmaßnahmen, die die bösen Buben fernhalten sollen.

Gleichzeitig wird plötzlich von heute auf morgen der Mailserver so 
eingestellt, dass er kommentarlos Javascript-Dateien aus den Anhängen 
löscht. Gut, dann verschicken wir das eben entweder verschlüsselt, so 
dass der Scanner gar nicht erst reinschauen kann. Oder halt gleich über 
WeTransfer. Wenn die Helden dann WeTransfer blocken, dann wird ein 
anderer Dienst benutzt.

Wenn man sich dabei geil fühlt, den Usern das Leben möglichst schwer zu 
machen ohne dabei irgendwas zu erklären, dann braucht man sich nicht 
wundern, wenn Workarounds gesucht, gefunden und tunlichst nicht 
kommuniziert werden.

Für jedes verdammte Software-Update darf ich erstmal lokale Adminrechte 
beantragen. Am Arsch, ich werd nicht bei der IT zum Bittsteller, um dann 
auch noch deren Job zu erledigen. Wenn die Updates wollen und ich die 
schon nicht selber installieren darf, dann dürfen die das schön selber 
machen.

Unten in der IT hat wahrscheinlich jeder eine Ausnahme und es wird schön 
das gecrackte Need For Speed gespielt.

Wenn man will, dass User kooperieren und mitmachen, dann sollte man sich 
nicht wie ein Arsch verhalten.

Rant over.

von René H. (mumpel)


Lesenswert?

Bei uns ist es noch schlimmer. Wir müssen erstmal einen Antrag bei 
Führungskraft und/oder Kostenstellenverantwortlichen stellen.  Und die 
entscheiden dann, ob die Software gekauft werden kann und das Budget 
dafür reicht. In anderen Firmen wird es sicher auch so sein.

: Bearbeitet durch User
von Nichtzuständiger (Gast)


Lesenswert?

Bart schrieb:
> Gleichzeitig wird plötzlich von heute auf morgen der Mailserver so
> eingestellt, dass er kommentarlos Javascript-Dateien aus den Anhängen
> löscht. Gut, dann

schreiben wir ein Ticket mit Fehlerbeschreibung.
Kopie an Chef - klar.
Und warten auf dessen Bearbeitung.

von San Miguel de Joker (Gast)


Lesenswert?

Fragender schrieb:
> Stimmt, ändert aber nichts daran. Der Witz dabei ist, natürlich wird so
> nur das Arbeiten in der Firma erschwert, wenn ich den Rechner am Abend
> mit nach Hause nehme, kann ich alles laden wie ich will. Was teilweise
> auch der Grund ist warum ich die Kiste überhaupt mitnehme.

Du wirst doch bezahlt egal ob die Arbeit erledigt werden kann oder 
nicht.

Wenn es nicht geht, dann geht es da halt nicht.

Ich kommuniziere so etwas einfach schriftlich damit ich entsprechenden 
Nachweis hab und dann lese ich halt den ganzen Tag Dokumentation. Wenn 
das den Vorgesetzten stört, dann muss er halt die IT passend machen oder 
Kloheule gehen, mir kann er da nicht ans Leder, ich habe ja auf das 
Impediment (wir sind ganz fesch agil) hingewiesen und bin schlichtweg 
blockiert durch die IT. Ich habe auch kein Problem damit so etwas direkt 
beim Geschäftsführer anzusprechen, imho ist der ja auch nur daran 
interessiert, dass die Mitarbeiter möglichst produktiv arbeiten können. 
Und dann wird eigentlich immer eine Lösung gefunden.

von Max M. (prokrastinator)


Lesenswert?

Bei uns wurden alle kleinen Dateianhänge gelöscht, weil Viren kämen 
meist mit kleinen Dateien.

Aber wenn jemand ein ollen XP Rechner und einen Firefox 3.x mit 8000 
Versionen Patch Rückstand verwenden wollte, klar, kein Thema.
Der Exchance Server war so alt das ein Geschäftspartner mich frage ob 
wir eigentlich noch ganz klar sind sowas zu verwenden, wo doch jedes 
Script Kiddy da eindringen kann.

Als dann eine gefakte Bewerbung kam und gleich mit beigefügtem Passwort 
entpackt wurde um die Datei zu öffnen dateiname.pdf.exe, .exe war 
natürlich ausgeblendet vom System, fing der Rechner an zu rattern und 
das Netz wurde langsam.
Klar, ist echte Arbeit die Server mit SW Versionen aus dem Pleistozän zu 
befallen und alle Gurkenrechner am Netz.

Ich gehörte zu denen, deren Rechner nicht mal einen Krümel abbekam.
Aktuell gepatchtes WIN10, alle SW mit aktuellen Updates, Win Firewall 
aktiv, kein Online Scanner.
Vertrieb und Chef, die mit den meisten Kontakt nach aussen, waren am 
schlechtesten geschützt. Der Klassiker.

Es gab dann ein Internetsecurity Meeting mit Tipps die aus den späten 
90er kamen.
Hui, gefälschte links die durch typos so aussehen wie die echten, kapern 
deinen Rechner und alle werden sterben.
Nö, nicht in diesem Jahrtausend wenn man nur 1sek nachdenkt vor wild 
herumclicken, die verkackten Updates macht, nicht als Admin unterwegs 
ist und nicht jede Sicherheitsabfrage willenlos wegclickt.

Manipulierte USB Sticks die einem untergejubelt werden?
Fake news von Leuten die ja keine Ahnung haben.
Win XP unsicher? Ach das ist nur ein Gerücht.
Das jeder mit vollen Admin Rechten arbeitet? Normal, oder?
Die Kontaktaufnahme des BSI das wir ausgespät werden?
Freude das wir so geilen Scheiss machen das die xxxx sich dafür 
interessieren.

Was willste da sagen?
Da kann man seinen PC nur noch vor dem eigenen Firmennetzwerk schützen.

von San Miguel de Joker (Gast)


Lesenswert?

Max M. schrieb:
> Manipulierte USB Sticks die einem untergejubelt werden?

Das ist durchaus realistisch wenn man das Ziel von 
Nachrichtendiensten/Industriespionage ist. Ob man das ist hängt 
natürlich von der Firma ab, aber in 99% aller Fälle natürlich nicht. 
Kein Mensch interessiert sich für die Daten eines Gas-Wasser-Scheisse 
Installateurs. Außer der mit dem Crypto Trojaner und der ist eigentlich 
auch nur an der Lösegeldzahlung interessiert. ;)

Max M. schrieb:
> Hui, gefälschte links die durch typos so aussehen wie die echten, kapern
> deinen Rechner und alle werden sterben.

Durchaus plausibel, wird aber meist nur für Fingerprinting und 
Bestätigung ob hinter der Mailadresse ein Mensch der gerne klickt steckt 
ist. Einen Zero Day Exploit für den Browser verteilt eigentlich niemand 
auf gut Glück per Spam Mails. Viel zu kostbar...

Was bei Leuten mit einem schnellen Klickfinger hilft: iPads mit Tastatur 
für Mails austeilen. Das Zeug ist eigentlich relativ sicher und >99% der 
Schadsoftware läuft darauf gar nicht erst.

Beitrag #7265238 wurde von einem Moderator gelöscht.
von Karl (Gast)


Lesenswert?

René H. schrieb:
> Karl schrieb:
>> Scheinst einen anderen BKU-Rechner zu haben, als ich hatte. Internet ist
>> beim Homeoffice ja wohl zwingend. Ausführen konnte man fast alles ohne
>> Adminrechte.
>
> Das war vielleicht mal so. Die aktuellen BKU-Rechner sind abgesichert.

Ein Monat ist jetzt nicht solang her ;)

von René H. (mumpel)


Lesenswert?

Wer will kommt überall rein.

Beitrag #7265265 wurde von einem Moderator gelöscht.
von Schlaumaier (Gast)


Lesenswert?

Sagt mal mods wollt ihr wannacry hier wirklich stehen lassen? Habe es 
getestet und scheint echt zu sein. Bin dafür das Bild und den Link zum 
Decoder zu löschen.

Beitrag #7265664 wurde von einem Moderator gelöscht.
von Alexander (alecxs)


Lesenswert?

Erste Handlung an jedem Arbeitsplatz: lokales Administrator Passwort 
zurücksetzen, Keylogger installieren und IT an den Rechner bitten.

von San Miguel de Joker (Gast)


Lesenswert?

Schlaumaier schrieb:
> Sagt mal mods wollt ihr wannacry hier wirklich stehen lassen? Habe
> es getestet und scheint echt zu sein. Bin dafür das Bild und den Link
> zum Decoder zu löschen.

Dann führ die Datei doch einfach nicht aus?!

Sollte die diesbezügliche Lücke nicht eh schon gepatcht sein?

von DerAndereGast (Gast)


Lesenswert?

Fragender schrieb:

>> Wenn die Infrastruktur nicht zum Arbeiten geeignet ist, dann geht das
>> halt nicht. Wenn "Sicherheits Voodoo" zu Hacks führt ist die Sicherheit
>> gelinde gesagt im Arsch.
>
> Stimmt, ändert aber nichts daran. Der Witz dabei ist, natürlich wird so
> nur das Arbeiten in der Firma erschwert, wenn ich den Rechner am Abend
> mit nach Hause nehme, kann ich alles laden wie ich will. Was teilweise
> auch der Grund ist warum ich die Kiste überhaupt mitnehme.

Nun ja, wenn das möglich ist, ist der IT Abteilung wohl für eine richtig 
umgesetzte IT-Sec Strategie das Geld ausgegangen. Normalerweise läuft 
auf dem Rechner irgendwas Richtung (X)DR Agent der genau sowas 
verhindert ... und natürlich hat ein Entwickler KEINE administrativen 
Rechte auf seinem Laptop. Überhaupt finde ich das Verhältnis in deiner 
Firma zwischen Entwicklern und der IT Abteilung recht befremdlich.

von Niklas G. (erlkoenig) Benutzerseite


Lesenswert?

DerAndereGast schrieb:
> und natürlich hat ein Entwickler KEINE administrativen Rechte auf seinem
> Laptop

Wie macht das ein Entwickler, welcher z.B. einen Treiber entwickelt, 
oder "nur" ein USB-Gerät und dafür ständig Zugriff auf den Gerätemanager 
benötigt? Oder jemand, der mit SBCs (z.B. R-PI) arbeitet und dafür 
SD-Karten flashen muss (via Win32 Disk Imager), oder z.B. an einem 
FAT32-Treiber à la FatFs arbeitet und daher SD-Karten im Raw-Modus lesen 
muss (z.B. via HxD), oder der selbst eine setup.msi für ein eigenes 
Projekt entwickelt? Darf man überhaupt root-Zugriff auf einem SBC oder 
z.B. selbst entwickelten Android-Gerät haben? Was ist, wenn man alle 
paar Wochen völlig neue Projekte macht, die jeweils ganz andere 
Toolchains/IDEs inkl. Treibern brauchen? Wenn man Open-Source-Libraries 
mit Zig Abhängigkeiten nutzt/selbst kompiliert, muss man auch jede Menge 
Zeug installieren. Nicht alles davon geht ohne Admin-Rechte. Wie ist das 
mit Updates - wer so eine große Zahl an IDEs und Tools nutzt, hat auch 
ständig was zum aktualisieren.

Klar kann man das alles über die IT machen, welche einem immer alle 
Tools installiert/startet, aber bei der typischen IT-Abteilung, die 4 
Monate für das Einrichten eines User-Accounts braucht, wäre das schon 
enorm träge.

Man kann vieles davon in VMs und dort mit lokalem Admin-Zugriff machen, 
aber wie man hier so liest funktioniert das Weiterreichen von Geräten 
(JTAG-Debugger & Co) auch nicht immer so toll. Wenn man z.B. ein 
USB-Gerät entwickelt, welches sich nicht korrekt enumeriert und daher 
gar nicht erst durchreichbar ist, wird das ohne Admin-Rechte auch schwer 
zu debuggen. Und wenn man alles in der VM macht, wozu existiert dann 
noch das Host-System? Die Trojaner.exe kann auch von der VM aus auf das 
Netzwerk zugreifen. Wenn man die VM komplett von der Außenwelt isoliert 
kann man da auch nicht arbeiten (Gitlab-Zugriff, e-Mail usw.).

Interessant finde ich auch, dass ein Unternehmen einem frisch 
eingestellten IT-Menschen von der Berufsschule der nichtmal weiß wie 
mein eine "cmd" startet, mehr vertraut, als z.B. einem M.Sc. Informatik 
der viele Jahre für die Firma arbeitet und eine ganz andere 
Gehaltsklasse hat (Bestechlichkeit und so).

Da fällt mir immer wieder die Geschichte vom IT-Security-Experten ein, 
der seinen Rechner konfisziert und "desinfiziert" bekam, weil die 
IT-Abteilung dort ein Virus gefunden hatte - welches er dort gerade mit 
dem Disassembler analysierte. Keine Ahnung ob das ein Märchen ist, aber 
bei Aussagen wie "Entwickler haben keine Ahnung" wundert mich nichts.

von Bart (Gast)


Lesenswert?

Im Grunde ist das bei Angestellten nicht anders als bei einem Hund.

Wenn sich der Hund zu lang geärgert fühlt, beißt er und sucht sich seine 
eigenen Wege.
Wenn sich ein Angestellter lange genug verarscht fühlt, wird er sich wie 
oben gesagt eigene Wege an der IT vorbei suchen.
In einer Firma geht das deswegen, weil der Großteil tatsächlich nicht 
Software schreiben oder testen muss, sondern irgendwelche Word-Formulare 
ausfüllt und am Telefon klebt. Die Leute sind auch dann glücklich, wenn 
die IT ihren goldenen Käfig enger macht, weil sie weniger Freiraum 
brauchen.
Diejenigen, die den Freiraum brauchen, brechen irgendwann aus. Früher 
oder später, irgendeine Lücke gibt es fast immer. Manchmal 
offensichtlich (Bluetooth), manchmal weniger offensichtlich 
(Standardpasswort für die Konfig vom WLAN-Accesspoint).

Je mehr die IT nervt, desto mehr Antrieb haben die Power-User, ein 
Schlupfloch zu finden. Sicher, manche gehen zum Chef und jammern den 
voll. Vielleicht passiert was, vielleicht auch nicht. Wer ein 
Schlupfloch findet, ist dann nicht mehr auf den Chef angewiesen.

So ist die Lage, ob das der IT nun gefällt oder nicht.

von ungern_bevormundeter (Gast)


Lesenswert?

Niklas G. schrieb:
> Wie macht das ein Entwickler, welcher z.B. einen Treiber entwickelt,
> oder "nur" ein USB-Gerät und dafür ständig Zugriff auf den Gerätemanager
> benötigt? Oder jemand, der mit SBCs (z.B. R-PI) arbeitet und dafür
> SD-Karten flashen muss (via Win32 Disk Imager), oder z.B. an einem
> FAT32-Treiber à la FatFs arbeitet und daher SD-Karten im Raw-Modus lesen
> muss (z.B. via HxD), oder der selbst eine setup.msi für ein eigenes
> Projekt entwickelt? Darf man überhaupt root-Zugriff auf einem SBC oder
> z.B. selbst entwickelten Android-Gerät haben? Was ist, wenn man alle
> paar Wochen völlig neue Projekte macht, die jeweils ganz andere
> Toolchains/IDEs inkl. Treibern brauchen? Wenn man Open-Source-Libraries
> mit Zig Abhängigkeiten nutzt/selbst kompiliert, muss man auch jede Menge
> Zeug installieren. Nicht alles davon geht ohne Admin-Rechte. Wie ist das
> mit Updates - wer so eine große Zahl an IDEs und Tools nutzt, hat auch
> ständig was zum aktualisieren.

Danke! So sehe ich das auch - als Entwickler, der schnell Lösungen 
finden soll oder auch nur was ausprobieren muss, um zu wissen ob es der 
richtige Weg ist, gehört die Entscheidungsfreiheit, was er wann 
installiert und verwendet - Bürokratische Prozesse um Admin-Rechte sind 
da eher hinderlich, effektiv arbeiten lässt sich in meinen Augen so 
nicht.

Mit Freiheit kommt natürlich Verantwortung, das braucht eigenständiges 
Denken - das mag nur heutzutage kaum einer mehr und lässt sich lieber 
bevormunden. Aber wenn ein Arbeitgeber von mir besonders gute Leistungen 
erwartet, muss er mir auch ein paar Freiheiten zugestehen. Ansonsten 
gibt's nur Dienst nach Vorschrift...

von Purzel H. (hacky)


Lesenswert?

Ich seh das Problem nicht, an einem Notebook zu entwickeln, welcher 
nicht am Netz haengt ... Einer meiner Rechner ist ein XP Rechner mit den 
alten Tools drauf. Der braucht kein Netz.

von rbx (Gast)


Lesenswert?

Wiederholt sich hier nicht auch die Geschichte ein wenig?

Das war wohl schon bei Vista so, dass man plötzlich für den 
Process-Explorer oder einen Hexeditor Adminrechte brauchte um sie zu 
nutzen. Völliger Schwachsinn.
U.a. auch deswegen, weil ich mein Admin-Passwort für Vista längst 
vergessen habe.

Dann gab es noch die Situation der Kriminalisierung. Man musste ja 
vorsichtig sein, das Word Hexeditor überhaupt auszusprechen.
Glücklicherweise gab es Leute, die einen gewissen politischen Willen 
entwickelt hatten.

https://www.heise.de/security/meldung/Hacker-Paragraf-iX-Chefredakteur-zeigt-sich-selbst-an-191403.html

Auch Ausbildungstechnisch müsste eine oberflächliche Betrachtung von 
Werkzeugen zu schlechter Ausbildung führen.

von Niklas G. (erlkoenig) Benutzerseite


Lesenswert?

ungern_bevormundeter schrieb:
> Mit Freiheit kommt natürlich Verantwortung, das braucht eigenständiges
> Denken - das mag nur heutzutage kaum einer mehr und lässt sich lieber
> bevormunden

Mit Freiheit hat das weniger zu tun, eher mit Vertrauen. Wenn man ohne 
Admin-Rechte durch die IT-Abteilung alles eingerichtet bekommt, kann man 
ja auch alles machen, es dauert "nur" unendlich lange.

Purzel H. schrieb:
> Ich seh das Problem nicht, an einem Notebook zu entwickeln, welcher
> nicht am Netz haengt

Wie greifst du dann auf Versionskontroll-Server, Backup-Server, 
Netzlaufwerke, e-Mail, Stackoverflow zu, wie installierst du Libraries 
und Software über Paketmanager welche Internetzugang benötigen (z.B. via 
vcpkg, conan, pip), wie lieferst du kompilierte Releases aus? Was wenn 
du eine Software entwickelst die mit Cloud-Servern kommuniziert?

rbx schrieb:
> Das war wohl schon bei Vista so, dass man plötzlich für den
> Process-Explorer oder einen Hexeditor Adminrechte brauchte um sie zu
> nutzen. Völliger Schwachsinn.

Naja, wenn der Hexeditor direkt auf das Laufwerk zugreift, am 
Dateisystem vorbei, hat er Vollzugriff auf sämtliche Daten und 
Programmdateien. Es ist schon sinnvoll, dass das nur mit Admin-Rechten 
geht. Das Linux-Äquivalent, d.h. der Direkt-Zugriff auf die 
Geräte-Dateien wie /dev/sda, erfordert ebenfalls root-Rechte.

von rbx (Gast)


Lesenswert?

Niklas G. schrieb:
> Naja, wenn der Hexeditor direkt auf das Laufwerk zugreift, am
> Dateisystem vorbei, hat er Vollzugriff auf sämtliche Daten und
> Programmdateien. Es ist schon sinnvoll, dass das nur mit Admin-Rechten
> geht. Das Linux-Äquivalent, d.h. der Direkt-Zugriff auf die
> Geräte-Dateien wie /dev/sda, erfordert ebenfalls root-Rechte.

Konnte man am Anfang von Vista mit debug von Usb-Stick aus auch machen - 
ohne Adminrechte. Nun kann man mit debug auch hexedits machen, nur nicht 
ganz so schön wie mit einem schönen Hexeditor. Für debug gab es aber 
keine Adminanmeldeaufforderung.
Von mir aus darf ja der Zugriff auf C: beschränkt sein, wenn man das mit 
Benutzerkontensteuerung laufen lässt.
Aber eine einfache Datei auf Benutzerebene sollte man schon ohne 
jedesmal Admin-Anmeldung - bearbeiten können. Das war vorher auch 
unproblematisch.
Ganz ähnlich läuft das auch auf Linux. Ich meine nicht, dass man sich 
für den Aufruf von radare (oder für andere Hexeditors da) extra als 
Admin anmelden muss.

Grundsätzlich kann ich natürlich auch an meinen Windows ME PC 
zurückgehen, und da machen, was ich möchte.
Vista (32 Bit) war aber besser, wegen der wirklich guten 
DOS-Freundlichkeit. Nur Vollbild gab es nicht vom Grafiktreiber her. Da 
musste ich mir ein paar nette Sachen auch auf dem ME-Rechner ansehen, 
u.a. auch, weil so eine in Asm geschriebene (DOS) Grafik da auch nicht 
laufen wollte.

von Niklas G. (erlkoenig) Benutzerseite


Lesenswert?

rbx schrieb:
> Konnte man am Anfang von Vista mit debug von Usb-Stick aus auch machen -
> ohne Adminrechte.

Klingt nach einem gefährlichen Bug in Vista. Hast du dazu einen Link?

rbx schrieb:
> Aber eine einfache Datei auf Benutzerebene sollte man schon ohne
> jedesmal Admin-Anmeldung - bearbeiten können. Das war vorher auch
> unproblematisch.

Kann man auch, z.B. mit HxD. Wüsste nicht dass das jemals nicht ging, 
und warum auch nicht?! Windows erkennt ja wohl kaum dass es sich um 
einen Hex-Editor handelt um dann das Starten zu verweigern?

Erklärung: Der Autor deines Hex-Editors hat im Application Manifest das 
"requestedExecutionLevel" auf "requireAdministrator" gesetzt. Dann 
verlangt Windows Admin-Rechte. Bei HxD z.B. ist das nicht der Fall, 
man kann es als normaler User starten, aber nur wenn man es als Admin 
startet hat man "Raw-" Zugriff auf die Laufwerke, ansonsten nur auf 
Dateien auf die man eben die Berechtigungen hat.

: Bearbeitet durch User
von rbx (Gast)


Lesenswert?

Niklas G. schrieb:
> Klingt nach einem gefährlichen Bug in Vista. Hast du dazu einen Link?

Nein, leider nur eigene Erfahrung. Aber zu dem Zeitpunkt waren auch 
andere Dinge nicht schön, etwa keine Sonderzeichen in der Konsole.
Codec-Pack von Außen musste auch installiert werden, für dies und das.

von Purzel H. (hacky)


Lesenswert?

>>Purzel H. schrieb:
>> Ich seh das Problem nicht, an einem Notebook zu entwickeln, welcher
>> nicht am Netz haengt
>>
>erlkoenig schrieb
Wie greifst du dann auf Versionskontroll-Server, Backup-Server,
Netzlaufwerke, e-Mail, Stackoverflow zu, wie installierst du Libraries
und Software über Paketmanager welche Internetzugang benötigen (z.B. via
vcpkg, conan, pip), wie lieferst du kompilierte Releases aus? Was wenn
du eine Software entwickelst die mit Cloud-Servern kommuniziert?

Es geht darum unter widrigen Umstaenden zu Entwickeln. Auf dem Notebook 
entwickelst du, auf einem Desktop den Rest. Fuer einen Cloud Server muss 
man eh einen lokalen Server als Entwicklungs Server haben. Ich verwende 
zB eine Synology als lokalen Server.

von Niklas G. (erlkoenig) Benutzerseite


Lesenswert?

Purzel H. schrieb:
> Auf dem Notebook entwickelst du, auf einem Desktop den Rest.

Wie bekommst du Quellcode Änderungen auf das Notebook und zurück, immer 
mit USB-Sticks? Unfassbar lästig und auch nicht wirklich sicher. Wenn 
die IT wüsste dass du mit verseuchten Sticks an die Office-Rechner 
gehst...

Purzel H. schrieb:
> Fuer einen Cloud Server muss man eh einen lokalen Server als
> Entwicklungs Server haben

Nicht besonders realistisch, je nach gewünschter Cloud Software (Azure 
IoT Hub? AWS Lambda?...) nicht einfach zu installieren (ob die IT 
Abteilung das hin bekommt?), und braucht teilweise spezialisierte 
Serverhardware (nix mit Synology).

Einer der Vorteile der Cloud ist ja, dass man als Entwickler Server 
betreiben kann ohne die IT zu involvieren. Anstatt 25 Meetings und 3 
Monate abzuwarten um eine Server-VM zu bekommen klickt man sich in der 
AWS/Azure/Whatever -Konsole so viele Dienste und Server (mit 
Internetzugang!!) wie man möchte und kann damit alles machen was man 
braucht. Man kriegt dann eine schöne geschlossene Abrechnung die man auf 
das Projekt bucht (statt diffuser Kosten durch die IT, die sich schlecht 
Projekten zuordnen lassen). Spart unglaublich viel Ärger. Die IT stört 
das nicht weiter, ist ja nicht deren Server.

Ein Problem ist aber, dass die IT in der Firewall die Verbindung zur 
Cloud erlauben muss. Wenn man ein spezielles Protokoll dafür nutzt 
(insb. für IoT), kann die IT sich quer stellen, weil man "HTTPS auf 
Viren scannen kann, MQTT aber nicht" (ahja).

Wenn man die Cloud jetzt "on premise" haben will ist das ein ziemlicher 
Aufwand und Kosten für die IT, ich möchte mir gar nicht vorstellen was 
passiert wenn man das vorschlägt.

: Bearbeitet durch User
von Peter D. (peda)


Lesenswert?

Fragender schrieb:
> mein Problem ist, dass ich eher der einzige bin
> den es stört das ich nicht vernünftig arbeiten kann.

Ja so wird es wohl sein. Alle anderen verrichten ihre Arbeit an den 
Firmen-PCs ohne größere Probleme.
Daß alles über einen Firewall geht, ist doch völlig normal.

Darf man fragen, an was super speziellem Du arbeitest, daß es dabei 
Probleme gibt?

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.