Sicherheitsproblem "Kennwort knacken"

[Fuerchau]

@Ludger
Die Stellungnahme deines Kollegen finde ich ja höchst interessant!

Klar ist:

Sobald ich eine Tür aufmache, muss ich zusehen wen ich hereinlasse oder nicht.
Die AS/400 ist eine der sichersten Maschinen !
Wenn ich natürlich von vorneherein das Sicherheitskonzept vernachlässige und offene Türen und Fenster (Windows) einfach ignoriere, kan man natürlich schnell sagen, dass die AS/400 nicht sicher ist.

Und genau darum geht es doch: Seit es PC's gibt MUSS man sich um seine Sicherheit kümmern und kann sich nicht darauf berufen, dass das doch alles automatisch geht.

Nicht umsonst ist die AS/400 bisher virenfrei !!!

Und was die Kommunikation AS/400 zu AS/400 ist, so muss die sich überhaupt nicht im Klartext unterhalten und das ohne weitere Produkte einzusetzen. Das funktioniert sogar über WAN's !

@Dieter
Wenn man den Gerüchten glauben soll, besitzt der CIA einen Generalschlüssel für die 128-Bit-Verschlüsselung, da kann man sich mit SSL ja auf den Kopf stellen.
Wie war der Closed-Shop-Betrieb doch so angenehm.

[BenderD]

@Baldur

Das erste ist das klassische Missverständnis überhaupt. Die AS400 hat bis V3R2 gebraucht, um C2 Security zu bekommen (was nicht das höchste Level ist) und die Prüfer müssen damals volltrunken gewesen sein, wenn man sich den Stand von V3R2 ansieht (kein Adressschutz, schwache Kennwörter etc.). Was hier richtiger wäre: die AS400 ist ein System, das man mit wenig Aufwand für die Sicherheitsanforderungen typischer kommerzieller Nutzer einrichten kann. Aber auch hier muss man was tun. Ein Hochsicherheitsrechner ist dies keinesfalls: es ist kein Zufall, dass nie eine Firewall auf der AS gelaufen ist (es gab mal auf dem IPCS unter einem kastrierten OS2). Der Auslieferungszustand der Maschine hat sich zwar gebessert, aber der reicht nicht einmal für niedrige Anforderungen aus.

Das zweite ist auch so eines von selbigen; die AS400 hat sogar ein eingebautes Schadprogramm (CFINT lässt grüßen) das ist kein Virus, sondern eher ein Wurm, aber der klassische Beleg, dass das sehr wohl geht, mit ähnlich unkontrollierbaren Auswirkungen und beabsichtigten und versehentlichen Schadwirkungen. Wenn es nicht soviele gibt und da nix publiziert wird, liegt das eher daran, dass die kritische Masse an Installationen nicht da ist und sich die meisten hacker mit anderen Betriebssystemen beschäftigen (auch hier sollte man mal über die kommerziellen Aspekte nachdenken.

Das mit dem CIA, naja wenn man höchste Sicherheitsanforderungen hat, darf man eigentlich generell keine amerikanischen Produkte kaufen; aber auch hier gäbe es Alternativen PGP ist noch in ungepatchten Versionen zu bekommen.

In jedem Fall ist es eine gute Idee, wenn man sich darum kümmert, was eigentlich alles so auf einem Rechner los ist, damit man merkt, wenn jemand versucht Unfug anzurichten, damit man ihn wenigstens erwischt, wenn er Schaden angerichtet hat und ihn rechtzeitig aus dem verkehr ziehen kann. Verhindern kann man das ohnehin nur wenn man den Rechner zum Authismus verdammt.

Dieter

Klar ist:

Die AS/400 ist eine der sichersten Maschinen !

Nicht umsonst ist die AS/400 bisher virenfrei !!!

Wenn man den Gerüchten glauben soll, besitzt der CIA einen Generalschlüssel für die 128-Bit-Verschlüsselung, da kann man sich mit SSL ja auf den Kopf stellen.
Wie war der Closed-Shop-Betrieb doch so angenehm.

[Fuerchau]

Wenn ich einen Telnet zu einem Windows-Server aufbaue, wird da die Kennworteingabe verschlüsselt übertragen ?
Wie sieht es bei einer DCOM-Anwendung aus ? Erfolgt die Anmeldung da verschlüsselt ?
Wie sieht es bei einer Anmeldung bei einem SQL-Server (Microsoft/Oracle) aus, wenn ich in meinem Connection-String (ODBC/OLEDB) UID und PASSWORD im Klartext angebe ?

Ich glaube auch hier läßt sich trefflich darüber streiten, wie sicher denn die PC's im Intranet gegen Datenspionage sind !
SSL-Verschlüsselung bei PC-PC-Kommunikation findet man (ausser im Internet) auch eher selten.

Auch für WindowsXP gilt ja eigentlich dass es sicher ist. Aber wenn ich keine Firewall verwende oder zumindest die "Internetverbindungsfirewall" aktiviere kommt jeder rein und bei den "erweiterten Sicherheitseinstellungen" ist normalerweise auch nichts aktiviert sondern die Intra-/Internet-Anmeldung läuft da auch unverschlüsselt.

Fazit:
Um Sicherheit muss man sich kümmern !!
Automatisch läuft da nix !!