BACKUP-RESTORE als Sicherheitslücke
Moderator: Moderatoren
- azzo
- Rekursionen-Architekt
- Beiträge: 487
- Registriert: So, 28. Mär 2010 19:21
- Danksagung erhalten: 12 Mal
BACKUP-RESTORE als Sicherheitslücke
Hallo,
hat jemand eine Idee, wie man sich gegen BACKUP-RESTORE absichern könnte.
ZB: Fakturierung oder Kassensystem: jemand zieht ein BACKUP arbeitet mit der Software und macht dann ein RESTORE.
mfg
Otto
hat jemand eine Idee, wie man sich gegen BACKUP-RESTORE absichern könnte.
ZB: Fakturierung oder Kassensystem: jemand zieht ein BACKUP arbeitet mit der Software und macht dann ein RESTORE.
mfg
Otto
- Werner_Bayern
- Der Entwickler von "Deep Thought"
- Beiträge: 2129
- Registriert: Sa, 30. Jan 2010 22:58
- Wohnort: Niederbayern
- Hat sich bedankt: 30 Mal
- Danksagung erhalten: 75 Mal
Re: BACKUP-RESTORE als Sicherheitslücke
Servus Otto,
was steckt hinter Deiner Frage?
Ansonsten: In bestimmten Abständen Datum / Uhrzeit z. B. der Fakturierungs-dbf in die Registrierung schreiben. Ist das Datum in der Registrierung irgendwann neuer als das der "aktuellen" dbf, fand ein Restore statt. Voraussetzung: Die Restoresoftware ändert das Dateidatum nicht auf das aktuelle Datum der Wiederherstellung. Ansonsten einfach eine Datei mit dem Datum und Uhrzeit führen und mit der Registrierung abgleichen.
was steckt hinter Deiner Frage?
Ansonsten: In bestimmten Abständen Datum / Uhrzeit z. B. der Fakturierungs-dbf in die Registrierung schreiben. Ist das Datum in der Registrierung irgendwann neuer als das der "aktuellen" dbf, fand ein Restore statt. Voraussetzung: Die Restoresoftware ändert das Dateidatum nicht auf das aktuelle Datum der Wiederherstellung. Ansonsten einfach eine Datei mit dem Datum und Uhrzeit führen und mit der Registrierung abgleichen.
es grüßt
Werner
<when the music is over, turn off the lights!>
Werner
<when the music is over, turn off the lights!>
- brandelh
- Foren-Moderator
- Beiträge: 15710
- Registriert: Mo, 23. Jan 2006 20:54
- Wohnort: Germersheim
- Hat sich bedankt: 73 Mal
- Danksagung erhalten: 38 Mal
- Kontaktdaten:
Re: BACKUP-RESTORE als Sicherheitslücke
Nunja, Datensicherung ist ja eigentlich richtig
ich habe früher die Dateien nach dem Ende schreibgeschützt und am Anfang aufgehoben.
EDLIN xxx.DBF hatte zuvor für "Ordnung" gesorgt
Tatsache ist aber, dass Anwender eigentlich keinen direkten Zugriff auf die Dateien haben sollten, Admins kann man nicht beschränken.
Stammverzeichnis alle Rechte sichtbar,
Verstecktes Unterverzeichnis, Anwender haben darauf keinen Zugriff
Echtes Datenverzeichnis, normalerweise nicht zu finden, aber mit der URL kommt man dennoch auf die Dateien.
d:\Daten\Unsichtbar\EchteDateien\Daten.Dbf ...
Einfacher ist es einen Citrix-Server aufzustellen, die Anwender können die Anwendungen starten, aber vom Client brauchen sie keinen Dateizugriff.
Ansonsten schützt auch ein dedizierter SQL-Server im LAN vor normalen Usern.
ich habe früher die Dateien nach dem Ende schreibgeschützt und am Anfang aufgehoben.
EDLIN xxx.DBF hatte zuvor für "Ordnung" gesorgt
Tatsache ist aber, dass Anwender eigentlich keinen direkten Zugriff auf die Dateien haben sollten, Admins kann man nicht beschränken.
Stammverzeichnis alle Rechte sichtbar,
Verstecktes Unterverzeichnis, Anwender haben darauf keinen Zugriff
Echtes Datenverzeichnis, normalerweise nicht zu finden, aber mit der URL kommt man dennoch auf die Dateien.
d:\Daten\Unsichtbar\EchteDateien\Daten.Dbf ...
Einfacher ist es einen Citrix-Server aufzustellen, die Anwender können die Anwendungen starten, aber vom Client brauchen sie keinen Dateizugriff.
Ansonsten schützt auch ein dedizierter SQL-Server im LAN vor normalen Usern.
Gruß
Hubert
Hubert
- azzo
- Rekursionen-Architekt
- Beiträge: 487
- Registriert: So, 28. Mär 2010 19:21
- Danksagung erhalten: 12 Mal
Re: BACKUP-RESTORE als Sicherheitslücke
Hallo Werner,
ich meinte ein WINDOWS BACKUP/RESTORE.
>was steckt hinter Deiner Frage?
Es geht um Betrugsbekämpfung.
Hast du vielleicht Erfahrung mit Smartcards oder dem INSIKA-Projekt.
Ich habe eine gute vertikale und horizontale Absicherung der Datenbanken.
Möchte man aber wirklich sicher gehen, muss auch die Möglichkeit ein RESTORE
zu entdecken in den Schutz eingebaut sein. Aber wie.
mfg
Otto
ich meinte ein WINDOWS BACKUP/RESTORE.
>was steckt hinter Deiner Frage?
Es geht um Betrugsbekämpfung.
Hast du vielleicht Erfahrung mit Smartcards oder dem INSIKA-Projekt.
Ich habe eine gute vertikale und horizontale Absicherung der Datenbanken.
Möchte man aber wirklich sicher gehen, muss auch die Möglichkeit ein RESTORE
zu entdecken in den Schutz eingebaut sein. Aber wie.
mfg
Otto
- AUGE_OHR
- Marvin
- Beiträge: 12913
- Registriert: Do, 16. Mär 2006 7:55
- Wohnort: Hamburg
- Hat sich bedankt: 19 Mal
- Danksagung erhalten: 46 Mal
Re: BACKUP-RESTORE als Sicherheitslücke
also wie eine Windows / Xbase++ v2.x "Aktivierung" welche geänderte Bedingungen bemerkt ...azzo hat geschrieben:Möchte man aber wirklich sicher gehen, muss auch die Möglichkeit ein RESTORE
zu entdecken in den Schutz eingebaut sein. Aber wie.
Die Lösung zu dem Problem kann "simple" und "billig" sein oder "professionell" und damit "teuer" ... wobei "teuer" ja relative ist.
Frage : hast du schon mal das Windows Backup / Restore ausprobiert
wenn es sich nicht um "gleiche" PC von einem OEM Hersteller mit Volumen Lizenz handelt wirst du kaum ein "Restore" hin bekommen ...
ich habe noch nicht daran gedacht mal in das Systemlogbuch zu schauen ob dort ein Backup / Restore Eintrag auftaucht ... aber es müsste einen Eintrag geben.
ich würde mich also auf deine Xbase++ Anwendung und den DBF Dateien mit dem "Schutz" konzentrieren wobei ich das verschlüsseln des Inhalt von den DBF Dateien mit dem Lizenzschlüssel verknüpfen würde.
gruss by OHR
Jimmy
Jimmy
- azzo
- Rekursionen-Architekt
- Beiträge: 487
- Registriert: So, 28. Mär 2010 19:21
- Danksagung erhalten: 12 Mal
Re: BACKUP-RESTORE als Sicherheitslücke
Hallo Jimmy,
um gegen Steuerbetrug vorzugehen, will die österreichische Regierung nicht nur eine Registrierkassenpflicht einführen. Zur Pflicht wird ab Januar 2016 auch eine technische Sicherheitslösung, mit der Umsatzmanipulationen verhindert werden sollen.
Deshalb stellt sich nun die Frage, ob man ohne Smartcard oder Internet-Anbindung eine Sicherheitslösung zustande bringt.
Viele der bestehenden Systeme können nicht einfach mit neuer Hardware nachgerüstet werden.
mfg
Otto
um gegen Steuerbetrug vorzugehen, will die österreichische Regierung nicht nur eine Registrierkassenpflicht einführen. Zur Pflicht wird ab Januar 2016 auch eine technische Sicherheitslösung, mit der Umsatzmanipulationen verhindert werden sollen.
Deshalb stellt sich nun die Frage, ob man ohne Smartcard oder Internet-Anbindung eine Sicherheitslösung zustande bringt.
Viele der bestehenden Systeme können nicht einfach mit neuer Hardware nachgerüstet werden.
mfg
Otto
- Herbert
- Der Entwickler von "Deep Thought"
- Beiträge: 1991
- Registriert: Do, 14. Aug 2008 0:22
- Wohnort: Gmunden am Traunsee, Österreich
- Danksagung erhalten: 3 Mal
- Kontaktdaten:
Re: BACKUP-RESTORE als Sicherheitslücke
Hier die Details zum erwähnten Thema.
http://www.euroguide.at/contator/journa ... ?nnr=66485
Ich meine, dass das Insika durch das Finanzamt zur Kontrolle verwendet wird. Die Kassen müssen einzig entsprechend kompatible Codes erstellen. Aber vielleicht sehe ich das zu einfach.
Ich nehme an, dass der Gesetzgeber sagen wird, was geht und was nicht.
Die Frage ist allerdings, ob wir die kriminelle Energie von Anwendern in unseren Programmen zu 100% erkennen müssen. Betrug ist Betrug und das wird immer möglich sein.
http://www.euroguide.at/contator/journa ... ?nnr=66485
Ich meine, dass das Insika durch das Finanzamt zur Kontrolle verwendet wird. Die Kassen müssen einzig entsprechend kompatible Codes erstellen. Aber vielleicht sehe ich das zu einfach.
Ich nehme an, dass der Gesetzgeber sagen wird, was geht und was nicht.
Die Frage ist allerdings, ob wir die kriminelle Energie von Anwendern in unseren Programmen zu 100% erkennen müssen. Betrug ist Betrug und das wird immer möglich sein.
Grüsse Herbert
Immer in Bewegung...
Immer in Bewegung...
- azzo
- Rekursionen-Architekt
- Beiträge: 487
- Registriert: So, 28. Mär 2010 19:21
- Danksagung erhalten: 12 Mal
Re: BACKUP-RESTORE als Sicherheitslücke
Hallo Herbert,
wie die Absicherung erfolgen soll, ist noch nicht entschieden.
Eine reine Software-Lösung wäre sicher einfacher. Man muss sich nur die Kosten vorstellen, wenn bei einer Handelskette alle Kassen mit diesen Chips ausgerüstet werden müssen.
Mfg
Otto
wie die Absicherung erfolgen soll, ist noch nicht entschieden.
Eine reine Software-Lösung wäre sicher einfacher. Man muss sich nur die Kosten vorstellen, wenn bei einer Handelskette alle Kassen mit diesen Chips ausgerüstet werden müssen.
Mfg
Otto
- AUGE_OHR
- Marvin
- Beiträge: 12913
- Registriert: Do, 16. Mär 2006 7:55
- Wohnort: Hamburg
- Hat sich bedankt: 19 Mal
- Danksagung erhalten: 46 Mal
Re: BACKUP-RESTORE als Sicherheitslücke
aha ... ja ... das Problem kenne ich auch aus der Gastronomie und da gibt es inzwischen Kassen mit Internet Anschluss wo die Daten auf dem Server des Hersteller landen ...azzo hat geschrieben:um gegen Steuerbetrug vorzugehen, will die österreichische Regierung nicht nur eine Registrierkassenpflicht einführen. Zur Pflicht wird ab Januar 2016 auch eine technische Sicherheitslösung, mit der Umsatzmanipulationen verhindert werden sollen.
nun soll es sich dabei um "zertifizierte" Hard-/Software handeln und nur die soll "zulässig" sein ( wenn das Gesetzt "so" in Kraft tritt )
gruss by OHR
Jimmy
Jimmy
- Herbert
- Der Entwickler von "Deep Thought"
- Beiträge: 1991
- Registriert: Do, 14. Aug 2008 0:22
- Wohnort: Gmunden am Traunsee, Österreich
- Danksagung erhalten: 3 Mal
- Kontaktdaten:
Re: BACKUP-RESTORE als Sicherheitslücke
Ja, insbesondere weil bereits ab kleinem Jahresumsatz so was sein muss. Allerdings stelle ich als eingereister aus der Schweiz fest, dass bisher die Gesetze in Österreich locker waren. Ob gleich alle bestehende Kassen umgerüstet werden müssen, ist auch noch nicht klar.azzo hat geschrieben:Hallo Herbert,
wie die Absicherung erfolgen soll, ist noch nicht entschieden.
Eine reine Software-Lösung wäre sicher einfacher. Man muss sich nur die Kosten vorstellen, wenn bei einer Handelskette alle Kassen mit diesen Chips ausgerüstet werden müssen.
Das Beste wäre eine Softwarelösung. Nur - wer prüft die - und - welche Kunden können auf bestehende PC-Umgebung zurückgreifen?
Grüsse Herbert
Immer in Bewegung...
Immer in Bewegung...
- brandelh
- Foren-Moderator
- Beiträge: 15710
- Registriert: Mo, 23. Jan 2006 20:54
- Wohnort: Germersheim
- Hat sich bedankt: 73 Mal
- Danksagung erhalten: 38 Mal
- Kontaktdaten:
Re: BACKUP-RESTORE als Sicherheitslücke
Sind die Kassen mit Windowssystem drauf so verbreitet ?
Ich dachte das wären alles geschlossene Systeme
Ich dachte das wären alles geschlossene Systeme
Gruß
Hubert
Hubert
- azzo
- Rekursionen-Architekt
- Beiträge: 487
- Registriert: So, 28. Mär 2010 19:21
- Danksagung erhalten: 12 Mal
Re: BACKUP-RESTORE als Sicherheitslücke
Hallo Hubert,
sehr viele Kassen sind bei uns PC-Kassen.
Mfg
Otto
sehr viele Kassen sind bei uns PC-Kassen.
Mfg
Otto
- Werner_Bayern
- Der Entwickler von "Deep Thought"
- Beiträge: 2129
- Registriert: Sa, 30. Jan 2010 22:58
- Wohnort: Niederbayern
- Hat sich bedankt: 30 Mal
- Danksagung erhalten: 75 Mal
Re: BACKUP-RESTORE als Sicherheitslücke
Servus Otto,
nein, mit Smartcards und INSIKA hab ich keine Erfahrung.
Aber, ersetzte bei meinem Vorschlag die Registrierung mit einem externen "Medium". USB-Stick, Chip(karte), Internet / Cloud, Firmen-Server, extra versteckte Partition auf der internen Festplatte, 2. interne Festplatte etc.
Ist doch einfach?
nein, mit Smartcards und INSIKA hab ich keine Erfahrung.
Aber, ersetzte bei meinem Vorschlag die Registrierung mit einem externen "Medium". USB-Stick, Chip(karte), Internet / Cloud, Firmen-Server, extra versteckte Partition auf der internen Festplatte, 2. interne Festplatte etc.
Ist doch einfach?
es grüßt
Werner
<when the music is over, turn off the lights!>
Werner
<when the music is over, turn off the lights!>
- azzo
- Rekursionen-Architekt
- Beiträge: 487
- Registriert: So, 28. Mär 2010 19:21
- Danksagung erhalten: 12 Mal
Re: BACKUP-RESTORE als Sicherheitslücke
Hallo Werner,
>Ist doch einfach?
Leider nein.
Die Lösung sollte allgemein gültig sein und für all Typ 3 Kassen realisierbar sein.
Kasse Typ 3 - Kassensysteme bzw. PC-KassenKassensysteme, welche meistens über ein eigenes Betriebssystem verfügen (so genannte "proprietäre Kassensysteme") und die Geschäftsvorfälle mittels Datenspeicherung in komplexeren Strukturen als bloßen Summenspeichern festhalten, sowie PC-Kassen mit eigenem, handelsüblichen Betriebssystem, die im Regelfall mittels auf Datenbanken basierender Software die Geschäftsvorfälle permanent festhalten.
sonstige Einrichtungen, wenn sie zur Aufzeichnung von Betriebseinnahmen genutzt werden und damit Registrierkassenfunktion haben (zB Kassenwaagen, Taxameter, Fakturierungsprogramme).
Gibt es in Deutschland für die Fakturierungsprogramme und Kassen keine ähnlichen Vorschriften.
Mfg
Otto
>Ist doch einfach?
Leider nein.
Die Lösung sollte allgemein gültig sein und für all Typ 3 Kassen realisierbar sein.
Kasse Typ 3 - Kassensysteme bzw. PC-KassenKassensysteme, welche meistens über ein eigenes Betriebssystem verfügen (so genannte "proprietäre Kassensysteme") und die Geschäftsvorfälle mittels Datenspeicherung in komplexeren Strukturen als bloßen Summenspeichern festhalten, sowie PC-Kassen mit eigenem, handelsüblichen Betriebssystem, die im Regelfall mittels auf Datenbanken basierender Software die Geschäftsvorfälle permanent festhalten.
sonstige Einrichtungen, wenn sie zur Aufzeichnung von Betriebseinnahmen genutzt werden und damit Registrierkassenfunktion haben (zB Kassenwaagen, Taxameter, Fakturierungsprogramme).
Gibt es in Deutschland für die Fakturierungsprogramme und Kassen keine ähnlichen Vorschriften.
Mfg
Otto
- Werner_Bayern
- Der Entwickler von "Deep Thought"
- Beiträge: 2129
- Registriert: Sa, 30. Jan 2010 22:58
- Wohnort: Niederbayern
- Hat sich bedankt: 30 Mal
- Danksagung erhalten: 75 Mal
Re: BACKUP-RESTORE als Sicherheitslücke
Servus Otto,
wir reden hier also nicht mehr von einer Xbase++ - Anwendung von Dir?
wir reden hier also nicht mehr von einer Xbase++ - Anwendung von Dir?
es grüßt
Werner
<when the music is over, turn off the lights!>
Werner
<when the music is over, turn off the lights!>