Hacker als Beruf: Bug Bounty Hunting & Recht | Anwalt Solmecke & Morpheus Tutorials
Вставка
- Опубліковано 21 жов 2024
- Hier geht es zu unserem Kooperations-Video von Morpheus Tutorials:
• Wichtige Tipps für Bug...
Immer mehr Unternehmen fordern weltweit im Rahmen von sog. Bug Bounty-Programmen dazu auf,
ihre Systeme zu testen und versprechen eine Entlohnung dafür. Mithilfe von so genannten
Penetrationstests sollen Sicherheitslücken in den IT-Systemen der Unternehmen gefunden werden.
Dieses Video ist in Kooperation mit dem UA-cam-Channel Morpheus Tutorials, der sich mit Themen
wie Informatik und Programmieren befasst, entstanden. Wenn ihr an einem Bug Bounty-Programm
teilnehmt, tauchen auch immer viele Rechtsfragen auf. Alle wichtigen Antworten dazu in diesem
Video.
Rechtsanwalt Christian Solmecke
Christian Solmecke hat sich als Rechtsanwalt und Partner der Kölner Medienrechtskanzlei WILDE BEUGER SOLMECKE auf die Beratung der Internet-, IT- und Medienbranche spezialisiert. So hat er in den vergangenen Jahren den Bereich Internetrecht/E-Commerce der Kanzlei stetig ausgebaut und betreut zahlreiche Medienschaffende, Web 2.0 Plattformen und App-Entwickler.
Neben seiner Kanzleitätigkeit ist Solmecke Geschäftsführer des Deutschen Instituts für Kommunikation und Recht im Internet an der Cologne Business School (www.dikri.de). Dort beschäftigt er sich insbesondere mit den Rechtsfragen in Sozialen Netzen. Vor seiner Tätigkeit als Anwalt arbeitete er über 10 Jahre als freier Journalist und Radiomoderator (u.a. für den Westdeutschen Rundfunk).
▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬
Virtueller Kanzlei-Rundgang: wbs.law/rundgang
Startet euren Rundgang in 3D und 360°durch die Kanzlei WBS (inkl. UA-cam-Studio)
▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬
Social Media-Kanäle von WBS
Wir freuen uns, wenn du uns auch auf unseren weiteren Social Media Kanälen besucht und uns dort folgst. Jeder unserer Kanäle steht für sich und bringt dir garantiert einen Mehrwert.
▬Recht2Go▬
Auf unserem erfolgreichen Kanal Recht2Go räumen wir täglich mit Rechtsirrtümern auf und präsentieren dir rechtliche Life-Hacks. Mit Recht2Go bist du immer auf dem Laufendem und bekommst deine tägliche Dosis Alltagsrecht. Kurz, knackig und immer auf den Punkt. I&U TV (produziert sternTV) kümmert sich um Realisation, Verpackung und Produktion des Ganzen. Es gibt jede Woche ein Oberthema, zu dem wir dich täglich mit spannenden Infos versorgen. Aha-Momente sind vorprogrammiert! Folge uns auf Recht2Go und du kannst vor deinen Freunden mit neuem Wissen glänzen.
➥ Instagram: wbs.law/recht2go
➥ Facebook: wbs.law/recht2goFacebook
➥ TikTok: wbs.law/recht2goTikTok
▬Discord▬
Unser Discord-Server dient insbesondere der Unterstützung dieses UA-cam Kanals. Nutzerfragen, Challenges, Themenvorschläge - all das kannst du dort posten und natürlich Gleichgesinnte treffen und dich austauschen. Schau gerne vorbei. Hier der Link:
➥ wbs.law/discord
▬Podcasts▬
Du bist unterwegs, unter der Dusche oder hörst einfach gerne Podcasts? Dann haben wir etwas für dich: Höre die Tonspur unserer Videos täglich auf Spotify, Soundcloud und iTunes. So bleibst du immer aktuell! Hier die Links:
➥ wbs.law/spotify
➥ wbs.law/soundc...
➥ wbs.law/apple
▬Twitter▬
Erfahre als erster, wenn es wichtige Rechts-News gibt. Knackige Statements zu aktuellen Themen bekommst du auf unserem Twitter-Account! Stay tuned! Hier der Link:
➥ wbs.law/twitter
▬Instagram▬
Du willst rechtlich immer auf dem Laufenden bleiben und gerne interessante Einblicke in den Kanzlei-Alltag bei WBS erhalten? Dann bist du bei uns auf Instagram goldrichtig. Hier der Link:
➥ wbs.law/instagram
▬Facebook▬
Auf Facebook sind wir inzwischen schon alte Hasen, denn seit Jahren informieren wir dich dort täglich über aktuelle Rechts-News. Gerne kannst du uns dort auch eine Anfrage als private Nachricht schicken. Schau vorbei! Hier der Link:
➥ wbs.law/facebook
▬Unser Zweitkanal▬
Unseren weiteren UA-cam-Kanal „WBS-Die Experten“ kennst du, oder? Wenn nicht, dann unsere dringende Empfehlung: Schau rein! Denn hier erfährst du immer donnerstags ausführlich alle wichtigen Infos zu unseren Rechtsbereichen - präsentiert von sechs unserer Top-Rechtsanwälte. Ob Medienrecht, Urheberrecht, Markenrecht, Social-Media-Recht, Verkehrsrecht oder Datenschutzrecht: Das alles und mehr nur auf unserem Zweitkanal und zwar aus erster Hand von unseren WBS-Experten. Hier der Link:
➥wbs.law/dieexp...
▬Kontakt▬
Hotline: 0221 / 400 67 550
E-Mail: info@wbs-law.de
⏵Video produziert von: So geht UA-cam (www.so-geht-you...)
Der Herr Solmecke wieder mal fffresh im Stone Island Sweater unterwegs 😎
Danke, wollte schon fragen wie die Marke heißt :D
@@Ben-zw3sc lösch dich
@@Ben-zw3sc warte mal - du sprichst von einer Erkrankung ("15.000 Neuerkrankungen pro Jahr"), gleichzeitig behauptest du, es sei nur die böswillige Simulation einer Erkrankung durch den Geheimdienst für "Inlandsaufklärung" (gibt es übrigens gar nicht, gibt nur den Verfassungsschutz), der eine sog. "Voice-To-Skull"-Technologie einsetzt (also "Stimme-zu-Schädel"-Technologie), um Menschen irgendwelche Sprachnachrichten in ihren Kopf zu senden, damit die sich dann umbringen und die Geheimdienstler was zum Lachen haben... die Frage, die ich mir da stelle, ist: Welche Stimme hat dir diese streng vertraulichen Informationen zugeflüstert und kommt sie eventuell auch per "Voice-To-Skull"-Technologie direkt vom Geheimdienst für "Inlandsaufklärung"?! 😳
Ich habe einen Woll-Pulli von LACOSTE....... (die mit dem kleinen grünen Krokodil)........ 🤣
stoned ice
Ja Morpheus ist wirklich ein guter UA-camr ich verfolge ihn schon lange 👍
Der Name "Wildebeuger" ist im Zusammenhang mit "Anwalt" einfach die Härte. Es wird einfach alles wild gebeugt .... ^^
Wilde, Beuger & Solmecke.
Es sind drei Namen. 🧐
@@Flare-Media Ja- ich weiß, nur passte das zu gut ins Kopfkino. :-)
Der wilde Beuger namens Solmecke.
@Christian Solmecke wann kommt der Kanzlei WBS merch raus?🤔
Zwei meiner Lieblings Kanäle coopen, mega cool :D
Ich habe einmal dazu eine Frage gestellt gehabt, aber leider keine Antwort erhalten vom Hern Solmecke. Ist es erlaubt das eigene Passwort auf einer fremden Plattform zu hacken bei welchem man angemeldet ist ? Es ist zwar eine andere Plattform, aber mein eigenes Account und mein eigenes Passwort, demnach müsse es doch erlaubt sein.
Sehr gute Frage!
Falls du wieder keine Antwort von WBS bekommst, kann ich dir zumindest sagen, wie es in der Praxis läuft. Nein, das ist dennoch nicht erlaubt. Auch wenn deine Intention darin besteht, nur Zugriff auf deine "eigenen" Daten zu erlangen, hast du dennoch weder ein Einverständnis des Infrastrukturbetreibers, noch des Inhabers der Website oder sonstiger Backend-Inhaber (wie z.B. internet Service Provider). Alle jedoch geraten ohne Zustimmung in den Fokus deines Angriffsverhaltens. Gerade bei intrusiveren Verfahren wie dem Versuch von SQL oder Command Injections, besteht ein gewisses Risiko, dass du Services oder dem Server die Lichter ausknippst und damit eine Störung verursachst. Im Zweifelsfall, sofern du eine Lücke ermittelst, hast du "schlimmstenfalls" sogar Zugang zu personenbezogenen Daten anderer Teilnehmer erhalten, auch wenn du das vielleicht nicht wolltest. SIEM und IDS Systeme (also Technologien zur Angriffserkennung) wissen dein Verhalten auch nicht vom dem Verhalten "echter" Angreifer zu differenzieren, da diese Systeme zumeist mit statischen oder Machine Learning Erkennungstechnologien arbeiten und nicht wissen, dass du ggfs. der Besitzer des Zugangs bist. Heißt zusammengefasst: Wenn du auch "nur" deine eigenen Daten abfragst, leuchtet genau so die Lampe auf, wie bei jedem anderen auch und wenn dem Inhaber egal ist, ob das nun deine Daten waren oder nicht, hast du dich strafbar gemacht (p.s.: und ihm besteht selbstverständlich das Recht der Anzeige).
Es ist in der Praxis auch relativ schwammig ab welchem Punkt in der Reconnaissance Phase (also dem Ermitteln der Systeminformation und Konfiguration) dein Verhalten von "üblichem Systemverhalten" zu "versuchter Sabotage" wird. Auftragsannahme, Haftungsausschluss und Verantwortungsklärung sind die Grundbasis jeglicher Form von Penetrationstests.
Ich find's dennoch immer cool wenn interessierter Nachwuchs in dem Bereich entsteht und habe als junger Kerl auch echt beschissene Erfahrungen mit sogar CCC Mitgliedern gemacht. Auch wenn ich den Kanal von Morpheus aus persönlichen Gründen nicht sonderlich gut leiden kann, schau dir gern mal an was er dir dazu nahelegen kann - fachlich hat der gute Mann eine solide Grundlage. Und wenn du dich in dem Bereich ausprobieren willst, schau dich mal auf vulnhub.com um (kostenlos) und probier dich in deiner eigenen, legalen, virtuellen Umgebung aus. Da machste nichts kaputt (auch nicht ausversehen) und lernst dennoch, auf vernünftige und legale Art die Grundlagen und den Tiefgang in der technischen IT-Sicherheit und dem Hacking.
@@MrSeppSuper, vielen vielen Dank für deine ausführliche Antwort, das hat mir geholfen und mich sehr gefreut.
Steuerliche Fragen wären noch interessant gewesen. Gibt es Freibeträge für solche Einnahmen? Viele der Unternehmen sitzen in den USA, müsste man evtl. sogar doppelt Steuer auf die Bug Bounty zahlen?
@Kanzlei WBS Ich hätte hier auch eine Frage die zu dem Thema indirekt passt. Ich wurde von meinem damaligem Arbeitgeber beauftragt, klage Datenschutzverstöße in eine Webseite einzubauen. Mein Arbeitgeber war ein Personaldienstleitungsunternehmen... Sprich, er hat Leiharbeiter verwaltet und vermittelt. Damit "Javascript" Schnell Zugriff auf die Datenbank hatte, wurden große Teile der Datenbank in Javascript Variablen direkt in den HTML Quellcode geschrieben. (rechte Maustaste, "Quelltext anzeigen" und man konnte die Daten sehen) ... Darunter waren alle Namen der Leiharbeiter, deren Arbeitszeiten, Geburtsdatum, Telefonnummer, alle Stechzeiten von jedem Leiharbeiter... so wie Daten zu allen Firmen-Kunden... Name der Ansprechperson der Personalabteilung, Telefonnummer, welche Leiharbeiter die Firma jemals geliehen hat (seid Erstellung der Datenbank) .... Datensätze wurden auch nie gelöscht, sprich, Leiharbeitskräfte und Firmenkunden die schon längst nicht mehr in dem Unternehmen beschäftigt sind, konnten eingesehen werden.... usw
Ich habe zu erst meinem Teamleiter informiert, das ich das für einen schweren Datenschutzverstoß halte.... dann habe ich es dem Abteilungsleiter und der Firmenleitung gesagt.... die haben gesagt "Du bist erst seid nem Monat bei uns, wir vertrauen deinem Teamleiter der das Projekt schon lange macht, das was er sagt machst du!"
Zugriff auf die Daten hat man aber nur (ausgenommen der direkt Angestellten), wenn man ein Firmen-Abo bei dem Unternehmen hat - Von Daher können nur Kunden-Firmen die Daten einsehen... die erhalten damit aber kompletten Zugriff auf die Daten aller Kunden und Leiharbeitskräfte. Da ich für das Unternehmen nicht mehr Arbeite, habe ich leider auch keinen Zugriff mehr darauf und kann nicht sagen, ob das weiterhin noch der Fall ist oder nicht. Bin ich verpflichtet, etwas zu unternehmen?
Ich würde mir in so einem Fall schriftlich mit der Unterschrift des Teamleiters und des Geschäftsführers geben lassen, dass das so gemacht werden soll. Damit wärst du als ausführende Kraft zumindest aus dem Schneider.
Wobei ich denke, dass kein Auftraggeber dieser Welt ein Dokument unterschreiben würde, in dem drin steht, dass Verstöße gegen Gesetze und Vorschriften des jeweiligen Landes eingebaut werden soll, niemand unterschreiben würde.
Wenn Morpheus Tutorials und WBS gleichzeitig ein Video zum selben Thema hochladen, kann das kein Zufall sein.
jihaaaaaaaaaaaaaaaa! morpheus!!!!!!!!!! cool. son video hab ich mir gewünscht!!!!!!!!!!!!!!!!!!!!!!!
Wie sieht es eigentlich mit Save Harbour/Responsible Disclousure aus? Sind die in Deutschland auch verbindlich? (Das sind Dokumente die Firmen erstellen um Hacker dazu zu bewegen unbekannte schwachstelle aufzudecken. Also die Firma bietet damit Straffreiheit an wenn ihr einen umfangreichen Bug Report ab gebt.)
So, nur eine Aufklärung zum Thema:
bug bounty != penetration test
Als penetration tester wird man explizit beauftragt, eine Webseite, Infrastruktur usw zu testen. Als bug bounty hunter nimmt man in einem öffentlichen Programm teil. Wichtiger Unterschied ist die explizite Beauftragung, noch eine wichtige Sache ist, dass man von bug bounties *nur* bezahlt wird, wenn der report kein duplicate ist, also Belohnung ist völlig anders als mit einem Pentest.
Ich mach das nebenbei als "Freelancer", heißt ich bewerbe meine Dienste und kleinere Websites melden sich dann bei mir, damit ich mir deren Systeme anschaue. Für nebenbei gibt das echt gutes Geld!
Ire ich mich oder hat der smoothe Sebastian Freizeit Klamotten an?
Cedric ist in der Tat überall haha
Erst letztens auf Morpheus gestoßen :D
Beste Coop 👍
Beste Grüße
Anmerkung zu dem Thema Drittanwendungen miteinbeziehen (Minute 7) Einige der großen anbieter haben dafür sogar Formulare und geben nach Absprache mit denen und ihrerseits Rücksprache mit dem Auftraggeber (also deren Kunden) grünes Licht (Amazon, Microsoft und Google zum Beispiel).
Darf man einen Anwalt direkt nach seiner Erfolgsprozentzahl fragen? Darf man dann eiskalt Wettbewerb treiben und den Anwalt mit der besten Prozentzahl beauftragen?
fragen darfst du alles, nur ob wer antwortet und dir die antwort gefällt?....
Ein Video zur aktuellen Diskussion zum Rubdfunkbeitrag wäre nice
Bin gespannt, wie die Sache ausgeht und wie das Bundesverfassungsgericht, das jeweilige Urteil begründen wird.
Hallo habe mal eine Frage, habt ihr das Video von frontal gesehen,, die Spur des Geldes von den Bodo schiffmann und co, das Geld verschwindet ins Ausland , die Firmen sind nicht greifbar, also wenn ich spenden würde würde ich mich betrogen fühlen, schaut mal die Reportage, ich hätte gewusst ob das eine Straftat wäre was die machen.lg
#FragWBS darf ein Arzt einen Impfstoff den man selbst mitbringt (das gibt es ja) ablehnen, weil er mitbekommen hat, dass er aus einer Online-Apotheke kommt? Ist hier das Recht des Kunden oder der Auftrag des Arztes für Gesundheit zu sorgen als wichtiger anzusehen?
Das ist er ja. Der Stammdisliker
Und du bist ein Stammliker?
@@flixkoln5777 wenn ich es sehe, ja. Ich unterstütze das Vorhaben den Laien wie mich über Rechtsthemen informiert zu werden
@@marcelcastellano6128 Und wenn dir das Video nicht gefällt?
Du müsstest ja gerade geliket haben und dann erst das Video vollständig angesehen haben
@@flixkoln5777 dann habe ich das Recht meine Meinung zu ändern und den Daumen nach unten zu setzen
@@marcelcastellano6128 Oder einfach mit etwas Weitsicht handeln
Darf ich um Rat Bitten 🙏
Hab Massage Sessel gekauft- Juni war
In Juli habe ich reklamiert weil 1 Funktion ist defekt/ von Anfang an.
Hab paar Emeil geschrieben- kam Antwort die schicken neue Fernbedienung aber bis jetzt garnicht passiert und auf meine Emeil keine Antwort mehr auf Telefon ist zu ständige nicht da.
Was soll ich machen? Sessel über 1300€ gekostet und nach paar Wochen habe ich reklamiert und jetzt 6 Monate später keine Lösung. Ist das normal? Ist das nicht Garantie 2 Jahren? Würde mich freuen wenn ich eine Rat bekomme
Der Vergleich ist zwar schwierig aber ich meiner ehemaligen Firma (großer Milliardenkonzern) gibt es eine Belohnung für Vorschläge, womit Geld eingespart wird. Man bekommt einen prozentualen Anteil der Ersparnis aber bei 150.000€ ist Schluss. Und ich habe damals einen Vorschlag eingereicht, wie man in der Produktion an einer bestimmten Stelle etwas anderes nutzen kann und somit eingekaufte Gummiteile einspart, die vorher gekauft werden mussten. Ich habe dadurch ca. 90.000€ bekommen. Ist zwar schon zehn Jahre her aber das war echt ein Geldsegen. Und bißchen hab ich sogar noch :)
Ich finde das sehr lobenswert!
Ich bin auch so einer - Schwachstelle gesehen, Verbesserungsvorschlag rausgehauen. Ich habe schon einige Datenschutzlecks bei großen Unternehmen aufgedeckt und dafür nicht einen Pfennig bekommen.
Ich mein, ich mache das ja auch nicht unbedingt beruflich, aber in der Branche wird einfach teilweise auf Menschen, die sich sehr mit dem “Helfen“ identifizieren kein Wert gelegt. Was andere sagen ist falsch und das Unternehmen hat recht.
Wenn man aus Versehen eine Sicherheitslücke findet (kein Passwort umgangen oder so) und vorher nicht im Kontakt mit dem Unternehmen stand, wie sieht es denn dann aus?
Wenn’s wirklich ein Versehen war dann kriegst du zumindest keinen juristischen Ärger. Betonung liegt auf wirklich.
Dir bleibt nur zu hoffen, dass es keinem Auffällt.
Du wirst das versehen niemals belegen können, insb. nicht wenn du auch nur entfernt mit SW oder IT zu tun hast, und hast damit rechtlich eine Straftat begangen, für die du nicht nur Geld- und Haftstrafe riskierst, sondern auch ("kreativ" berechneten) Schadenersatz und Berufsverbote aufgebrummt bekommen könntest.
Ganz dumm ist es, den Webseiten Betreiber über die Lücke zu informieren, das kommt einer Selbstanzeige (inklusive beigefügter Beweise) gleich.
Am besten du wendest dich im Zweifelsfall an z.B. den CCC oder zumindest einen Anwalt.
@@snygg1993 Naja genau genommen ist es so, dass ich eine Möglichkeit gefunden habe, auf einer Website sämtliche Skripte ausführen zu lassen und auch dafür zu sorgen, dass diese nach einem Browserneustart immer noch ausgeführt werden. Das führt dazu, dass (wenn ein Nutzer einmalig auf meinen Link klickt) ich einen Keylogger auf die Seite setzen könnte und dadurch Dinge wie Kreditkartendaten abzapfen könnte.
Da ich das natürlich nicht gemacht habe, kann mir auch niemand vorwerfen, etwas Schlimmes gemacht zu haben. Habe weder Server beeinträchtigt, noch Nutzern irgendeinen Schaden zugefügt. Es ist im Prinzip nämlich reine Client-Sache. Aber man kann eben relativ einfach und vom Nutzer praktisch unbemerkt da viel Schaden anrichten
@@bspringer Ich bin kein Experte.
Ich persönlich würde mich mit so einer (dramatischen) Entdeckung an zB. den lokalen CCC wenden. Die kennen sich besser aus. So ein Verein kann mit einem Betreiber auf einer ganz anderen Ebene reden als du, fungiert so als Schutzschild für dich und die haben schon Erfahrung, wie das zu beurteilen und was zu tun ist.
Ich bin nur irgend so ein Typ auf YT.
[Edit] Bei genauer Überlegung, möchte ich das "ich würde" auf eine "nachdrückliche Empfehlung", dich rasch an den CCC zu wenden, hoch stufen.
@@snygg1993 ich würde deine Empfehlung noch dadurch ergänzen, dich ggfs. an dein Landes- oder Bundes-CERT zu wenden. Beim lokalen CCC weißt du nie, was da für Leute sitzen und wie professionell sie damit umgehen... Direkt auf den Betreiber zugehen beinhaltet wirklich immer ein gewisses Risiko. Und wenn du RICHTIG schlau bist, wartest du bis zur Meldung >10 Tage, dann ist deine IP nämlich nach DSGVO eigentlich nicht mehr im Access Log des Servers :D
Ein Tool das den Server stark belastet ist in erster Linie ja EIN Programm, d.h. es wird nicht 'distributed' (verteilt) ausgeführt (von mehreren Systemen).
Eine DDOS Attacke wird von vielen (mehreren Tausend) (meist gehackten/Virus infizierten) Rechnern aus zeitgleich auf ein Ziel/Netzwerk Knoten ausgeführt.
Eine reguläre DOS Attacke (also von einem System alleine ausgehend) wird entsprechend sicherlich nicht verboten sein (da diese nie Erfolg haben sollte).
✌️
8:00 Auch Tools die automatisch Lücken durchtesten und finden sind meist in Bug Bounty Programmen verboten. Ebenso wie Spam.
Häufige Anfragen an den Server stellen sehe ich daher kritisch.
So ein Schwachsinn. Fuzzer sind alltäglich für das Finden solcher Lücken.
@@ciaokid2104 Nicht in Bug Bounty Programmen. Zum Beispiel bei GitHub, Algolia und Figma sind automatisierte Tools komplett verboten. Nur um einige Beispiele zu nennen.
@@ciaokid2104 Es geht nicht darum ob Fuzzer für so etwas eingesetzt werden, sondern ob die Nutzung dieser Tools vom Bug Bounty Angebot als legales Mittel abgedeckt ist und das ist aus den Gründen, die Rahmschnitzel schon nannte, meist nicht der Fall. Den Fuzzzer darfst du also nicht einsetzen. Bei Pentests wird für so etwas ein zweiter Server aufgestellt, da geht das dann, weil das dann nicht den eigentlichen Server betrifft, der für Kundenanfragen oder allgemein die Infrastruktur der Firma notwendig ist.
Das stimmt einfach nicht. Wieso sollte ich bei mir lokal keine Binaries fuzzen dürfen? Und wie sollte mir das jemand nachweisen? Deine Aussage wirkt auf mich reißerisch. Aus meiner Erfahrung kann man sehr wohl Fuzzer benutzen. Ich verstehe aber vielleicht den Begriff Pentester falsch, vielleicht liegt da das Problem. Paar Tools aus dem Internet über eine Webseite laufen lassen ist für mich kein Pentesting.
@@ciaokid2104 Du behauptest immer noch richtig zu liegen und nennst meine Aussagen Schwachsinn, obwohl ich dir Beweise geliefert habe, die dir aufzeigen dass du falsch liegst, aber uns nennst du reißerisch?
Zumal niemand, sowohl Herr Solmecke an genannter Videostelle noch ich, von Angriffen gegen lokale Binaries gesprochen haben.
Bug Bounty Hunting is a complicated profession
this is the way!
10:00 Also ich würde mal sagen, dass sich das auf Fälle bezieht, bei denen ein anderer Hacker schon die Schwachstelle gefunden hat, aber das Unternehmen noch Zeit braucht einen Schutz einzubauen.
Könntest du ein Video über Scurrows machen. Er wurde Lebenslang von Twitch genannt. Und geht dagegen schon gerichtlich vor seit 1nem jahr. Würde gerne deine Meinung zu dem Thema wissen. Mittlerweile macht er auch wieder Yt würde gerne trotzdem deine Meinung dazu wissen weil es ziemlich kompliziert ist
Alle Bewertungen auf Hackpond auf Instagram sind echt, ich habe mit ihm zusammengearbeitet und kann Ihnen versichern, dass er der Beste ist!
Vor einem Penetrationstest, immer fragen. Besser wäre noch eine schriftliche Erlaubnis. 🙏
Dienstleister: "Wir lassen die Infrastrukturen der Kunden die wir aufgebaut haben durch Pentester testen."
Ich: "Testen Pentester eure eigenen als Dienstleister genutzten Netzwerke?"
Dienstleister: "nein..."
Ich: "rufen die bei euch an und testen euren Support auf Anfälligkeit zu Social Engineering?"
Dienstleister: "nein..."
Ich: "gibt es bei denen Dumpster Diving?"
Dienstleister: "weiß ich nicht..."
Ich: "tja..."
Mein Kollege und ich arbeiten seit 2 bzw. 6 Jahren als Pen-Tester, davon lange Zeit in unterschiedlichen Unternehmen... Social Engineering & Dumpster Diving wurden wirklich noch nie beauftragt... Pen-Tests sind in der Regel auch Audit getrieben und fokussiert auf bestimmte Assets,. Bug Bountys sind halt ultra abgegrast, aber da gehts wirklich um den richtig harten Kern. Hat beides seine Daseinsberechtigung, Stärken und Schwächen.
leider wird der begriff hacking hier mal wieder ins falsche licht gerueckt.
An sich wäre es doch sinnvoll nicht als Privatperson zu handeln sondern vorher eine GmbH zu gründen und dann als diese auf Bug Bounty zu gehen. Sollte irgendwas nicht stimmig sein haftet man immerhin nicht Privat.
Dieses Jahr könnt ihr die 700k Marke noch knacken
Der CCC überprüft ja auch regelmäßig bestimmte Apps der Sparkassen, etc. pp.
10:10 jaaa aber wie beweisst man dass man erster war?
Gar nicht. Man sendet einen Bericht über die Schwachstelle und der Auftraggeber gibt dem der den ersten Bericht der ankommt die Belohnung.
Ja das ist keine Antwort auf die Frage aber zu beweisen dass die Schwachstelle nicht bekannt war ist schwierig wenn man die Schwachstelle ja im Detail beschrieben hat.
Normalerweise ist die Schwachstelle aber bekannt wenn behauptet wird dass die schon bekannt war weil ja sonst keiner mehr an deren Bug Bounty Programmen teilnehmen würde.
Es gibt sicher noch bessere Antworten und ich hoffe hier kommt noch eine aber im Grunde ist es halt so wie ich geschrieben habe.
Ich brech bei jemanden in das Haus ein um eine schwachstelle zu offenbaren und danach will ich natürlich eine Prämie dafür haben.
pls andere kamera bit überbelichtet
Befass dich mal mit Kameras.. Dafür brauchst du keine Kamera, das ist ne einfache Einstellung ^^
Wie viele (teure) Stone Island Sachen hat der "wilde Beuger" Solmecke? 🤣.......... ICH glaube ICH habe das falsche Leben 😥
Ich kann andersonfrankk auf Instagram nur empfehlen, er hilft mir in dieser Angelegenheit
Thing is, most successful hacks, are the result of someone in the company, not looking at the email address, and comparing it to their allowed contacts list, before opening it.
Auf Deutsch, the Schwachstelle ist meisten der Arbeiter(oder chef😝).
Alias Social Engineering
Das machen etliche Hauptberuflich. Allerdings ist man da meist allein. So eine Auslobung das sich jeder dort bewerben kann ist schon skurril. Aber im digitalen Zeitalter wohl notwendig. Allerdings auch ein Disaster wenn der Schaden hinterher größer ist. Oft wäre es ewig gar nicht aufgefallen. Bei sovielen Unternehmen gibt es soviele Schwachstellen. Selbst in staatlichen Einrichtungen wird noch Windows 7 verwendet. Das Betriebssystem bekommt schon fast ein Jahr keine SicherheitsUpdates mehr. Also da muss man nicht viel sagen. Und die paar Einrichtungen es wenigstens auf Linux umgestellt wurden auch wieder mit Windows ersetzt. Haut eben nur alles mit Windows 7 hin. Die Leute die an den Rechnern sitzen kennen sich zudem gar nicht mit Sicherheit aus. Das wird in der Lehre kaum gelernt. Dabei musste IT Sicherheit ein Pflichtfach in solchen Bereichen sein. Da wird es in den kommenden Jahren noch etliche vermeidbare Skandale geben, da bin ich mir sicher. Man gibt ja auch Kindern seine alten Smartphones die keine SicherheitsUpdates mehr erhalten. Die Hacker freuen sich.
Da brauch man sich ja auch nur mal die Banken anschauen wo viele Geldautomaten noch mit Windows XP laufen >.
Naja kommt auch immer darauf an wie leicht man auf solche Geräte zugreifen kann. Immer dann wenn ein Internetzugang da ist, könnte man schon dafür sorgen das die Firmware aktuell ist. Wenn bei sämtlichen Rechnern nicht die automatischen Updates abgeschaltet wären, würde es noch düsterer aussehen. Aber da gibt es auch Leute die das nervt und schalten die ab, aber ohne sie regelmäßig manuell zu updaten. Also da Frage ich mich.
Und bei alten Smartphones mache ich wenigstens Lineage OS drauf. Da bleibt die Hardware zwar trotzdem alt, aber besser wie nix und ich habe monatliche Updates. Würde ich jeden empfehlen der keine Updates mehr bekommt. Schaut ob euer Smartphone dabei ist. download.lineageos.org
@@Unnon1989 vor etwa 10 jahren hab ich mal auf einem abgestürzen automaten den windows nt ladescreen gesehn^^
@@DWuk das ist ja das problem, neue updates machen oft viel kaputt weil die updates immer wieder mal mehr bugs drin haben als sie fixen, ich war mal in einem unternehmen das quasi sein eigenes windowsupdate programm gemacht hat damit nur updates auf die firmenrechner kommen die safe sind
Na wenn man in der Lage ist diese SicherheitsUpdates selber zu machen, egal bei welchem Betriebssystem, dann ist das natürlich der günstigste Fall. Früher galt mal "never Touch a running System" heute gar nicht mehr möglich bei Internetzugang.
Man sieht ja oft was Windows alles installiert, und dann ist ft nichts geht. Also ich arbeite ja nebenbei mit Linux. Das ist da unkompliziert. Mal schnell was machen geht da. Wenn man bei Windows automatische Updates eingeschaltet hat und die installiert und zwischendurch nicht nochmal neu startet und es beendet und dann herunter fährt, startet Windows erstmal mit der Aktualisierung. Da geht nicht mal eben schnell was ausdrucken.
ohhh jeaaa - drip it like its hot, drip it like its hot stoned thai island ice tea. grrrr, wär ich a madl - bring dich in sicherheit solmecke ,)
15:08 Ein Hacker ist zwar ein Programmierer, ein Programmierer aber noch lange kein Hacker. Und wer nur vorgefertigte Tools zum Hacken benutzt, der hat den Titel "Hacker" auch nicht verdient. Eher "Schmarotzer". ;-)
Genauso sehe ich das auch! Wobei die Programmier-Skills einiger "Hacker" doch sehr zu wünschen übrig lassen ... mehr als ein paar Python-Skripte sind da oft nicht drin ;)
@@Florian.Dalwigk Daher wohl der Begriff "Scriptkiddies". 😜
Viel geredet aber leider wenig gesagt!
Diese Hacker nennt man auch "white hat" hacker, und die werden meistens von Firmen angestellt.
What? Nur weil man ab und zu mal legale Aufträge annimmt, ist man noch lange kein Whitehat, dude :D
@@MrSepp In meinen Augen ist jemand ein White Hat, solange er an dem legalen Auftrag arbeitet.
Dem Kerl muss echt das Geld aus gehen... mit aller Gewalt Aufmerksamkeit seeken
Tja ich finde gerne Bugs bei GeForce NOW (z.ß wie man Full desktop bekommt)
Die geben kein Cent also nutze ich es aus :)
How? :D
Ich hab mir mal nen Server in der Uni angeschaut und mir sind eine Menge technischer Daten zu saemtlichen Studierenden eines Fachbereiches ausgespuckt worden. Hab natuerlich an der Stelle abgebrochen und einen Report geschrieben... Dennoch hab ich mich streng genommen strafbar gemacht... Das bescheuerte daran war das mein groester "Hack" war durch die Firewall zu kommen.. Wenn ich Studierender des Fachbereiches gewesen waere, haette ich nur 1 Befehl eingeben muessen...
und das nervigste war, ich hab auf den Report die antwort bekommen: ups wir fixen das nicht jeder das Passwort sehen kann, die eigentliche Luecke koennen wir ja nicht sicher machen weil wir zu wenig Mittel haben... Dabei muss man nur ein paar Configs umschreiben....
Warum nicht wenigstens ein kurzen Clip von seiner Arbeit / von Ihm eingebaut?
Kommt sonst relativ trocken rüber
Geh auf Morpheus Kanal und schau dir deine Hacking Challenges und CTFs an. Da gibt es genug Video Material. CTF bedeutet capture the flag. Es ist also eine Art Spiel bei der du ein System hackst, das du z.B.: herunterladen kannst und dann in einer Virtuellen Maschine auf deinem System laufen lässt und dieses dann hackst, um eine gewisse „Flag“ zu finden.
@@youju26 Mir geht darum: wenn du eine kolab machst, gehört ein mindestens 1-2 min Schnipsel vom anderem, sonst ist es kein kolab!
Das ist kein Hobby sondern ein normale Arbeit wie jede andere.
Nur, dass du bei Bug Bounties oft dann nicht bezahlt wirst, weil jemand mit seinen 95 Tools schon schneller war. Wenn du dich da nicht spezialisiert und was Eigenes machst und/oder Logical Bugs suchst oder eine entsprechende Automatisierung entwickelt hast, damit du schneller bist (und das machen auch sehr sehr viele schon), bist du schlecht dran.
@Delinsyl Das ist richtig. Dann ist es aber keine normale Arbeit, wenn du ständig hoffen musst a) etwas zu finden und b) keine Reihen von Dupes reported zu haben. Von Spaß bezahlt keiner seine Brötchen. Was der Grund ist, warum viele das nicht beruflich machen.
@@aliasmalias Pen tester
@Delinsyl Es gibt Leute die gerne Auto fahren, dann ist Taxifahren auch kein Arbeit?
Es gibt viele Leute die gerne Programmieren, Arbeitet dann ein Software Ingenieur auch nicht?
Es gibt viele Menschen die reden gerne mit Menschen, dann ist Verkaufen in einem Fachladen auch keine Arbeit?
Es gibt Leute die Kochen gerne, dann ist Kochen auch kein Arbeit?
Es gibt Leute die fahren gerne Traktor, arbeitet der Landwirt dann auch nicht?
.....
.
Ich sage sogar der Beruf soll grundsätzlich Spass machen. Ansonsten hast du den falschen Job. Natürlich macht es mit der Zeit weniger Spass als am Anfang und wenn man Routineaufgaben macht es meist nicht mehr so viel Spass. Trotzdem muss eine Arbeit grundsätzlich Spass machen, immerhin verbringt man damit ein Grossteil seiner Zeit.
@@happygimp0 Auch das ist richtig, aber ging es nicht um Bug Bounties? Ein Pentester kriegt keine Bug Bounty. Der kann finden was er will oder auch nicht und bekommt sein Geld.
Pen-test und Penetration tests sind msoweit ich weis eigentlich zwei verschiedene Testmethoden. Lasse mich aber gern eines besseren belehren.
Ich glaube, das eine istdie Abkürzung für das andere.
Der Bergriff Pen-Test ist die Kurzbezeichnung für Penetrationstests, ja. Das ist das Selbe.
Erster!
Erster was?
@@spiedernet Achtung, der hat nen Honey Pot gelegt. Jetzt kann er alle anzeigen, die ihn beleidigt haben oder jemandem der das tat, nen Daumen hoch gegeben haben, die sind dann mit dran. ^^
Der heutige Buchstabe war etwas lange zu sehen...
Hallo, also ich finde Hacken einfach nur scheiße aber es wohl wie immer es gibt rüber all schwarze scharfe aber seit dem letzte mir 2 meiner Accounts wohl hackt wurden und da durch einen Schaden entstand, weil in die Accounts echtes Geld investiert habe bin einfach nur verzweifelt und traurig und enttäuscht