BACKUP-RESTORE als Sicherheitslücke

Konzeptionelles, Technisches, Termine, Fragen zum Hersteller usw.

Moderator: Moderatoren

Antworten
Benutzeravatar
azzo
Rekursionen-Architekt
Rekursionen-Architekt
Beiträge: 483
Registriert: So, 28. Mär 2010 19:21
Danksagung erhalten: 11 Mal

BACKUP-RESTORE als Sicherheitslücke

Beitrag von azzo »

Hallo,
hat jemand eine Idee, wie man sich gegen BACKUP-RESTORE absichern könnte.
ZB: Fakturierung oder Kassensystem: jemand zieht ein BACKUP arbeitet mit der Software und macht dann ein RESTORE.
mfg
Otto
Benutzeravatar
Werner_Bayern
Der Entwickler von "Deep Thought"
Der Entwickler von "Deep Thought"
Beiträge: 2120
Registriert: Sa, 30. Jan 2010 22:58
Wohnort: Niederbayern
Hat sich bedankt: 29 Mal
Danksagung erhalten: 70 Mal

Re: BACKUP-RESTORE als Sicherheitslücke

Beitrag von Werner_Bayern »

Servus Otto,

was steckt hinter Deiner Frage?

Ansonsten: In bestimmten Abständen Datum / Uhrzeit z. B. der Fakturierungs-dbf in die Registrierung schreiben. Ist das Datum in der Registrierung irgendwann neuer als das der "aktuellen" dbf, fand ein Restore statt. Voraussetzung: Die Restoresoftware ändert das Dateidatum nicht auf das aktuelle Datum der Wiederherstellung. Ansonsten einfach eine Datei mit dem Datum und Uhrzeit führen und mit der Registrierung abgleichen.
es grüßt

Werner

<when the music is over, turn off the lights!>
Benutzeravatar
brandelh
Foren-Moderator
Foren-Moderator
Beiträge: 15688
Registriert: Mo, 23. Jan 2006 20:54
Wohnort: Germersheim
Hat sich bedankt: 65 Mal
Danksagung erhalten: 33 Mal
Kontaktdaten:

Re: BACKUP-RESTORE als Sicherheitslücke

Beitrag von brandelh »

Nunja, Datensicherung ist ja eigentlich richtig ;-)
ich habe früher die Dateien nach dem Ende schreibgeschützt und am Anfang aufgehoben.

EDLIN xxx.DBF hatte zuvor für "Ordnung" gesorgt ;-)

Tatsache ist aber, dass Anwender eigentlich keinen direkten Zugriff auf die Dateien haben sollten, Admins kann man nicht beschränken.

Stammverzeichnis alle Rechte sichtbar,
Verstecktes Unterverzeichnis, Anwender haben darauf keinen Zugriff
Echtes Datenverzeichnis, normalerweise nicht zu finden, aber mit der URL kommt man dennoch auf die Dateien.

d:\Daten\Unsichtbar\EchteDateien\Daten.Dbf ...

Einfacher ist es einen Citrix-Server aufzustellen, die Anwender können die Anwendungen starten, aber vom Client brauchen sie keinen Dateizugriff.
Ansonsten schützt auch ein dedizierter SQL-Server im LAN vor normalen Usern.
Gruß
Hubert
Benutzeravatar
azzo
Rekursionen-Architekt
Rekursionen-Architekt
Beiträge: 483
Registriert: So, 28. Mär 2010 19:21
Danksagung erhalten: 11 Mal

Re: BACKUP-RESTORE als Sicherheitslücke

Beitrag von azzo »

Hallo Werner,
ich meinte ein WINDOWS BACKUP/RESTORE.
>was steckt hinter Deiner Frage?
Es geht um Betrugsbekämpfung.
Hast du vielleicht Erfahrung mit Smartcards oder dem INSIKA-Projekt.
Ich habe eine gute vertikale und horizontale Absicherung der Datenbanken.
Möchte man aber wirklich sicher gehen, muss auch die Möglichkeit ein RESTORE
zu entdecken in den Schutz eingebaut sein. Aber wie.
mfg
Otto
Benutzeravatar
AUGE_OHR
Marvin
Marvin
Beiträge: 12903
Registriert: Do, 16. Mär 2006 7:55
Wohnort: Hamburg
Hat sich bedankt: 19 Mal
Danksagung erhalten: 44 Mal

Re: BACKUP-RESTORE als Sicherheitslücke

Beitrag von AUGE_OHR »

azzo hat geschrieben:Möchte man aber wirklich sicher gehen, muss auch die Möglichkeit ein RESTORE
zu entdecken in den Schutz eingebaut sein. Aber wie.
also wie eine Windows / Xbase++ v2.x "Aktivierung" welche geänderte Bedingungen bemerkt ...
Die Lösung zu dem Problem kann "simple" und "billig" sein oder "professionell" und damit "teuer" ... wobei "teuer" ja relative ist.

Frage : hast du schon mal das Windows Backup / Restore ausprobiert ;)

wenn es sich nicht um "gleiche" PC von einem OEM Hersteller mit Volumen Lizenz handelt wirst du kaum ein "Restore" hin bekommen ...
ich habe noch nicht daran gedacht mal in das Systemlogbuch zu schauen ob dort ein Backup / Restore Eintrag auftaucht ... aber es müsste einen Eintrag geben.

ich würde mich also auf deine Xbase++ Anwendung und den DBF Dateien mit dem "Schutz" konzentrieren wobei ich das verschlüsseln des Inhalt von den DBF Dateien mit dem Lizenzschlüssel verknüpfen würde.
gruss by OHR
Jimmy
Benutzeravatar
azzo
Rekursionen-Architekt
Rekursionen-Architekt
Beiträge: 483
Registriert: So, 28. Mär 2010 19:21
Danksagung erhalten: 11 Mal

Re: BACKUP-RESTORE als Sicherheitslücke

Beitrag von azzo »

Hallo Jimmy,
um gegen Steuerbetrug vorzugehen, will die österreichische Regierung nicht nur eine Registrierkassenpflicht einführen. Zur Pflicht wird ab Januar 2016 auch eine technische Sicherheitslösung, mit der Umsatzmanipulationen verhindert werden sollen.
Deshalb stellt sich nun die Frage, ob man ohne Smartcard oder Internet-Anbindung eine Sicherheitslösung zustande bringt.
Viele der bestehenden Systeme können nicht einfach mit neuer Hardware nachgerüstet werden.

mfg
Otto
Benutzeravatar
Herbert
Der Entwickler von "Deep Thought"
Der Entwickler von "Deep Thought"
Beiträge: 1991
Registriert: Do, 14. Aug 2008 0:22
Wohnort: Gmunden am Traunsee, Österreich
Danksagung erhalten: 3 Mal
Kontaktdaten:

Re: BACKUP-RESTORE als Sicherheitslücke

Beitrag von Herbert »

Hier die Details zum erwähnten Thema.
http://www.euroguide.at/contator/journa ... ?nnr=66485
Ich meine, dass das Insika durch das Finanzamt zur Kontrolle verwendet wird. Die Kassen müssen einzig entsprechend kompatible Codes erstellen. Aber vielleicht sehe ich das zu einfach.
Ich nehme an, dass der Gesetzgeber sagen wird, was geht und was nicht.
Die Frage ist allerdings, ob wir die kriminelle Energie von Anwendern in unseren Programmen zu 100% erkennen müssen. Betrug ist Betrug und das wird immer möglich sein.
Grüsse Herbert
Immer in Bewegung...
Benutzeravatar
azzo
Rekursionen-Architekt
Rekursionen-Architekt
Beiträge: 483
Registriert: So, 28. Mär 2010 19:21
Danksagung erhalten: 11 Mal

Re: BACKUP-RESTORE als Sicherheitslücke

Beitrag von azzo »

Hallo Herbert,
wie die Absicherung erfolgen soll, ist noch nicht entschieden.
Eine reine Software-Lösung wäre sicher einfacher. Man muss sich nur die Kosten vorstellen, wenn bei einer Handelskette alle Kassen mit diesen Chips ausgerüstet werden müssen.
Mfg
Otto
Benutzeravatar
AUGE_OHR
Marvin
Marvin
Beiträge: 12903
Registriert: Do, 16. Mär 2006 7:55
Wohnort: Hamburg
Hat sich bedankt: 19 Mal
Danksagung erhalten: 44 Mal

Re: BACKUP-RESTORE als Sicherheitslücke

Beitrag von AUGE_OHR »

azzo hat geschrieben:um gegen Steuerbetrug vorzugehen, will die österreichische Regierung nicht nur eine Registrierkassenpflicht einführen. Zur Pflicht wird ab Januar 2016 auch eine technische Sicherheitslösung, mit der Umsatzmanipulationen verhindert werden sollen.
aha ... ja ... das Problem kenne ich auch aus der Gastronomie und da gibt es inzwischen Kassen mit Internet Anschluss wo die Daten auf dem Server des Hersteller landen ...

nun soll es sich dabei um "zertifizierte" Hard-/Software handeln und nur die soll "zulässig" sein ( wenn das Gesetzt "so" in Kraft tritt )
gruss by OHR
Jimmy
Benutzeravatar
Herbert
Der Entwickler von "Deep Thought"
Der Entwickler von "Deep Thought"
Beiträge: 1991
Registriert: Do, 14. Aug 2008 0:22
Wohnort: Gmunden am Traunsee, Österreich
Danksagung erhalten: 3 Mal
Kontaktdaten:

Re: BACKUP-RESTORE als Sicherheitslücke

Beitrag von Herbert »

azzo hat geschrieben:Hallo Herbert,
wie die Absicherung erfolgen soll, ist noch nicht entschieden.
Eine reine Software-Lösung wäre sicher einfacher. Man muss sich nur die Kosten vorstellen, wenn bei einer Handelskette alle Kassen mit diesen Chips ausgerüstet werden müssen.
Ja, insbesondere weil bereits ab kleinem Jahresumsatz so was sein muss. Allerdings stelle ich als eingereister aus der Schweiz fest, dass bisher die Gesetze in Österreich locker waren. Ob gleich alle bestehende Kassen umgerüstet werden müssen, ist auch noch nicht klar.
Das Beste wäre eine Softwarelösung. Nur - wer prüft die - und - welche Kunden können auf bestehende PC-Umgebung zurückgreifen?
Grüsse Herbert
Immer in Bewegung...
Benutzeravatar
brandelh
Foren-Moderator
Foren-Moderator
Beiträge: 15688
Registriert: Mo, 23. Jan 2006 20:54
Wohnort: Germersheim
Hat sich bedankt: 65 Mal
Danksagung erhalten: 33 Mal
Kontaktdaten:

Re: BACKUP-RESTORE als Sicherheitslücke

Beitrag von brandelh »

Sind die Kassen mit Windowssystem drauf so verbreitet ?
Ich dachte das wären alles geschlossene Systeme :?
Gruß
Hubert
Benutzeravatar
azzo
Rekursionen-Architekt
Rekursionen-Architekt
Beiträge: 483
Registriert: So, 28. Mär 2010 19:21
Danksagung erhalten: 11 Mal

Re: BACKUP-RESTORE als Sicherheitslücke

Beitrag von azzo »

Hallo Hubert,
sehr viele Kassen sind bei uns PC-Kassen.
Mfg
Otto
Benutzeravatar
Werner_Bayern
Der Entwickler von "Deep Thought"
Der Entwickler von "Deep Thought"
Beiträge: 2120
Registriert: Sa, 30. Jan 2010 22:58
Wohnort: Niederbayern
Hat sich bedankt: 29 Mal
Danksagung erhalten: 70 Mal

Re: BACKUP-RESTORE als Sicherheitslücke

Beitrag von Werner_Bayern »

Servus Otto,

nein, mit Smartcards und INSIKA hab ich keine Erfahrung.
Aber, ersetzte bei meinem Vorschlag die Registrierung mit einem externen "Medium". USB-Stick, Chip(karte), Internet / Cloud, Firmen-Server, extra versteckte Partition auf der internen Festplatte, 2. interne Festplatte etc.

Ist doch einfach?
es grüßt

Werner

<when the music is over, turn off the lights!>
Benutzeravatar
azzo
Rekursionen-Architekt
Rekursionen-Architekt
Beiträge: 483
Registriert: So, 28. Mär 2010 19:21
Danksagung erhalten: 11 Mal

Re: BACKUP-RESTORE als Sicherheitslücke

Beitrag von azzo »

Hallo Werner,

>Ist doch einfach?

Leider nein.
Die Lösung sollte allgemein gültig sein und für all Typ 3 Kassen realisierbar sein.

Kasse Typ 3 - Kassensysteme bzw. PC-KassenKassensysteme, welche meistens über ein eigenes Betriebssystem verfügen (so genannte "proprietäre Kassensysteme") und die Geschäftsvorfälle mittels Datenspeicherung in komplexeren Strukturen als bloßen Summenspeichern festhalten, sowie PC-Kassen mit eigenem, handelsüblichen Betriebssystem, die im Regelfall mittels auf Datenbanken basierender Software die Geschäftsvorfälle permanent festhalten.

sonstige Einrichtungen, wenn sie zur Aufzeichnung von Betriebseinnahmen genutzt werden und damit Registrierkassenfunktion haben (zB Kassenwaagen, Taxameter, Fakturierungsprogramme).

Gibt es in Deutschland für die Fakturierungsprogramme und Kassen keine ähnlichen Vorschriften.
Mfg
Otto
Benutzeravatar
Werner_Bayern
Der Entwickler von "Deep Thought"
Der Entwickler von "Deep Thought"
Beiträge: 2120
Registriert: Sa, 30. Jan 2010 22:58
Wohnort: Niederbayern
Hat sich bedankt: 29 Mal
Danksagung erhalten: 70 Mal

Re: BACKUP-RESTORE als Sicherheitslücke

Beitrag von Werner_Bayern »

Servus Otto,

wir reden hier also nicht mehr von einer Xbase++ - Anwendung von Dir?
es grüßt

Werner

<when the music is over, turn off the lights!>
Antworten