Hacker-Wettbewerb: Knackt den E-Postbrief

Sicherheitslücken Im Rahmen des "Deutsche Post Security Cup" ruft die Deutsche Post Hacker dazu auf, Sicherheitslücken im Dienst E-Postbrief zu finden. Sechs Wochen haben die Teilnehmer dafür Zeit, es winken lohnenswerte Geldpreise. mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Vorbildhaft. Vielleicht sollte Microsoft auch mal auf die Idee kommen.
 
@Talk_to_Me: Gibt es bei MS schon lange! Edit: Pauschal ist aber meine Aussage falsch, nur wenn es sich um einen Beta, oder Wettbewerb handelt, zahlt MS etwas bzw. verschenkt Produkte. Google zahlt glaube ich 3000 Dollar pro schwere Lücke.
 
@Ruderix2007: also bei chrome sinds maximal 1337$ :P ;)
 
@R. Cheese: Stimmt, Mozilla zahlt 3000$, pro schwere und unbekannte Lücke. Gerüchte zu folge laut ZDNet, wollen Google das Presigeld auch erhöhen auf 3000$!
 
@Talk_to_Me: Dann werden die ja arm ;P
 
@Talk_to_Me: Also ich finde es immer gut, wenn Unternehmen mit solchen Wettbewerben ihre Software bzw. Sicherheit testen! Bin selbst am überlegen ob ich bei dem Wettbewerb mitmache, schade das man sich anmelden muss und einen Bericht abgeben muss und nicht einfach so just4fun mit machen kann. Da ich Beruflich genug zu tun habe und mir das ganze gerne zwischen durch ohne Zwang mal probiert hätte... Bin mir sehr sicher das da einige Lücken gefunden werden ;-) Viel Erfolg wünsch ich allen die Teilnehmen.
 
@Talk_to_Me: Astrein. Ist sowieso der letzte Scheiß! Ne Email mit Rückantwort und Signatur reicht mir auch aus!
 
Na, da bin ich mal gespannt, wie viele Lücken gefunden werden. :)
 
@ProSieben: Eben. Die können nur hoffen, dass nicht zu viele Schwachstellen gefunden werden ;) Wobei es die immer geben wird...
 
Wäre es nicht lukrativer die schwachstelle zu Verkaufen... überlegt euch doch mal das potential vom e-Post Brief... =)
 
Ihr habt vergessen, den Hauptpreis zu erwähnen :S Der Hacker, der die größte Sicherheitslücke gefunden hat, winkt eine 3 Jahres Mietvertrag hinter schwedischen Gardinen. Also wenn das nichts ist :D
 
@Zonkifail: ja, weil die post zu einer vermeintlichen straftat aufruft?
 
@Zonkifail: gibt es irgendwelche fakten die deine aussage untermauern?
 
sorry, wie soll das aussehn?!?! einer hackt, bekommt das geld, der dienst läuft... der hacker hackt die nächste verheimlichte lücke und macht noch mehr kohle
 
@hjo: Vermeintliche Lücke? Ich verstehe deine Aussage nicht ganz. Wenn er eine zweite Lücke innerhalb der Zeit findet ist das doch im Grunde genommen für beide Seiten gut... Der Hacker bekommt nochmals Geld und die Post hat eine Sicherheitslücke weniger.
 
@qa729: Er hat doch verheimlichte geschrieben...
 
@iSpot: Mein Fehler, doch schon etwas müde heute. Trotzdem machts nicht mehr Sinn. Auch wenn er sie verheimlicht, hat er sie gefunden, was ihm letztendlich auch irgendwie einen Anspruch auf das Geld gewährt. Aber wäre ich in einer Führungsposition bei der Post, würde ich so einer Person gleich eine fixe Arbeitsstelle anbieten, denn wenn jemand es schafft, 2 Sicherheitslücken eines Programms in nur 6 Wochen zu finden, dann ist entweder das Programm totaler Schrott, oder die Person wirklich gut...
 
So so man muss sich also bewerben, dann darf der CCC bestimmt nicht mitmachen. Ansonsten natürlich eine schöne PR Aktion. Sechs Wochen Zeit, ich vermute das nur wenige Tage dauert bis die Post die ersten 5000 Euro auszahlen muss.
 
So eine Aktion hätte unsere Regierung für den neuen Perso besser auch mal gemacht: "Knackt den Perso". Momentan ist es ja nur so, daß der CCC neue Lücken sucht, sich aber scheinbar niemand um die Beseitigung der Schwachstellen kümmert. Stattdessen sieht es so aus, als wollen sie den Perso auf Biegen und Brechen rausbringen - sicher, oder nicht scheint dabei egal zu sein.
 
@egal8888: http://blog.fefe.de/?ts=b264ca2d
 
@egal8888: Klar, weil damit wieder Geld gemacht wird. Sicher ist irelevant. Hauptsache teuer und jeder muß es haben.
 
@Johann1976: Es ist sogar überaus notwendig, dass das Ding dramatische (und viele) Lücken hat, sodass man alle 2-3 Jahre nen neuen rausbringen kann, der dann jeweils eine Lücke (niemals aber alle) behebt und ein bisschen teuer wird (~Verdreifachung^^).
 
@egal8888: Naja, das Problem was der CCC entdeckt hat, gibt es aber im Grunde bei allen Karten, nicht nur beim neuen eperso...

Auch EC Karten bzw. HBCI karten könnten so ausgelesen und kopiert werden. Das Problem ist ja eben nicht, der eperso selbst. Das Problem ist die Kommunikation zwischen Kartenleser und Programm...

Wer allerdings vernünftig surft und so keine Trojaner oder sowas installiert, der braucht auch keine wirkliche Angst haben.
Mit Torjaner etc. ist jede Technik unsicher...

Mit ähnlichen Möglichkeiten, könnte man übrigens auch den Ebrief aushebeln, oder auch die sms oder chipTAN Verfahren der Bank. Hier muss man allerdings auf die Faulheit der User setzen, die nicht auf die Daten bei den Sicherungsverfahren achten ;).

Oder anders gesagt, wenn man diese Probleme beseitigen wollte, müsste man den PC für die Außenwelt abschotten oder ähnliches. Und das ist sicherlich unmöglich.

@monte
Teurer wird er sicherlich nicht ;). Wir sind mit dem 28 € eigentlich noch ganz gut dran.
 
Haha hab mir mal ein Werbevideo von diesem Verein reingezogen "Wir bringen das Briefgeheimnis ins Internet" wie Zweideutig.
 
Die größte Schwachstelle ist die Post selbst! Von wegen Briefgeheimnis im Internet... :D Aber das Thema hatten wir ja schon... lachhaft!
 
Ich habe mir auch überlegt, ob ich den E-Postbrief verwenden sollte. Das Konzept klingt einfach und preiswert. Aber ich habe mir's dann doch überlegt, als ich NIRGENDWO eine technische Beschreibung finden konnte. Überall stand: 'sicher' und 'rechtsgültig'. Ich glaube nicht, dass die irgendwas besseres, als die bisherigen verschlüsselten Mails entwickeln konnten. Meine Mails sind signiert und wenn mein Gegenüber eine digitale Signatur hat, auch verschlüsselt. Die Technik ist allgemein bekannt und funktioniert. Wer weiß, ob die Post nicht einen Service mit Generalschlüssel aufmacht...
 
@Jones111: Ehrlicherweise ist mir auch noch nicht ganz klar, wozu das gebraucht wird.
Solange die Behörden noch nicht mal in der Lage sind einen herkömmlichen Brief zu bearbeiten, Namen, Geburtsurkunden, Gewerbescheine, Anmeldungen (oder gar) Hartz 4 Bescheide fehlerfrei zu bearbeiten, oder zumindest nicht irgendwie dubios verschwinden zulassen, bringt der E-Brief wohl nix.
 
@Jones111: Hinzu kommt, das Staatsorgane sich an deinen Virtuellen Briefkasten vergehen können und das sogar Legal. Als weiterer punkt, das du vollkommen in der Beweispflicht bist.

Aber ich warte noch bis die ersten Abzockseiten kommen, wo Du dann deine E-Post-schrott andresse oder De-Mail Adresse angeben musst. Ich glaube mit diesen Adressen wird noch sehr viel schindluder betriebenund alles was wir jemals gelernt haben ala´"Gibt niemals deine Persönlichen Daten wie Name und Anschrift im Internet preis" müssen viele wieder neu Lernen.
 
@Jones111: die Idee des Postbriefes finde ich schon in Ordnung. Nur zum einen weiss ich nicht, was ich davon halten soll, wo doch die DE-Mail in den Startlöchern steht, die ja im Grunde nix anderes ist?? und zum anderen kann es nicht sein, dass dieser Dienst ja praktisch genauso teuer ist wie der Weg über den herkömmlichen Postbrief. Um so etwas voranzutreiben muss ich einen Mehrwert sehen. Und 2/3 der Preise für einen normalen Brief wäre so ein Anreiz gewesen.
 
@Frankenheimer: Naja, im Grunde bezahlst du schon weniger, spätestens wenn du ebriefe mit mehreren Seiten verschickst...

Ob DE-Mail startet oder nicht ist mir ehrlich gesagt egal. Die Post will ja auch DE-Mail zertifziert werden und da ist unter anderem die Kommunkation untereinander Bedingung für.

@RiKER
Vielleicht solltet ihr euch endlich mal richtig informieren, und nicht nur die üblichen Vorurteile herausposaunen.
Interessant ist z.B. auch der Entwurf des DE-Mail Gesetzes, was auch für den ebrief wichtig ist...

Auch ein ebrief bedeutet nicht, dass eine dort verschickte email, automatisch rechtsgültig und unanfechtbar wird. Hier gelten im Grunde dieselben Regeln wie bei einem stinknormalen Brief. Auch dort biste im Grunde in der Beweispflicht, wenn in deinen Namen ein Brief verschickt wird...

@Johann1976
Es geht ja nicht nur um Behörden...

@Jones
Der Unterschied zu einer stinknormalen email und den ebrief oder de-mail sollte man aber solangsam erkennen...

Eine email kann jeder in deinen Namen registrieren. Auch signaturen kann jeder in deinen namen herstellen und damit verschicken...

Solange es für PGP und co keine offizielle Zertifzierungsstelle gibt, bringt das nichts...

Außerdem sind diese Techniken ja eher für den "Profi" geeignet. Ich würde meiner Mutter PGP und co nicht zumuten wollen. Bei einem ebrief kann man auf den ersten Blick erkennen ob die email echt ist oder nicht. Unter anderem weil es ein geschlossenes System ist und vor und zuname z.B. im Profil nicht geändert werden können.

Aber das gute ist ja, wer es nicht braucht braucht sich auch nicht anmelden ;).
 
Vielleicht verscheuert man bei so einem POPEL Preisgeld die schwerwiegende Lücke dann doch lieber an ausländische Geheimdienste.
 
@Sabrehawk: Stimmt... Genauso wie die Lücken bei anderen...

Komisch das google dann regelmäßig 1337 Us$ bezahlt, wenn die schwerwiegenden Löcher doch woanders mehr Geld bringen würden ;).
 
Herzlichen Glückwunsch allen die sich bei den E-Postbrief registrieren haben lassen.......die illegalen hacker nehmen an solchen Veranstalltungen eh nicht teil......aber gute Geschäftsidee.....
 
@LaBeliby: Was soll ein illegaler Hacker sein? Die gleichen Personen, wie illegale Diebe?
 
@King of Wok: Ich war eigentlich auch immer der Meinung, kein Mensch wäre illegal.
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles