ornis schrieb:Du bist also IT-Profi und Jurist - Chapeau.
Das habe ich nicht behauptet. Ich habe zwar schon mal erfolgreich Webseiten und Server angegriffen, aber das macht einen noch nicht zum Profi. Jemand der einmal Bowling gespielt hat ist auch nicht gleich ein Profi darin.
ornis schrieb:Wenn ich eine erfolgreiche Phishing-Attacke betrieben habe (und genau das wird den vermeintlich russischen Gruppen unterstellt) brauche ich keinerlei Injection - welcher Art auch immer - mehr vornehmen.
Das stellst du dir etwas zu einfach vor. Solche Angriffe werden auf mehrere Ebene gefahren. Und da wird dann auch mal ein billiger Webservice mit SQL-Injection angegriffen um Informationen eines bestimmten Users zu erfahren. Damit kann man wiederum bessere Listen fürs bruteforcen erstellen. XSS wird da auch gerne betrieben. Es ist halt ne ganze Palette solcher Aktionen.
ornis schrieb:Bin ich erst mal in einem System drin, hängt es von der Härtung ab, wie ich weiter komme.
Naja, wenn du Benutzername (Email) und Passwort hast, dann hast du ja schon vollen Zugriff auf die gesamte Korrespondenz. Und mehr als Emails abgreifen wurde ja nicht gemacht, nach meiner Auffassung.
ornis schrieb:Bin ich erst mal in einem System drin, hängt es von der Härtung ab, wie ich weiter komme. Zu diesem Zweck wird zumindest in Deutschland in größeren Firmen jährlich ein sog. Penetration-Test durchgeführt.
Obwohl die eigentlichen Server da immer recht gut geschützt sind. Nach meiner Erfahrung ist die größte Schwachstelle meistens der unerfahrene client, der mit Passwörtern nicht immer so clever umgeht. Ein Klassiker ist auch ein "verloren gegangener" USB-Stick mit der Aufschrift "Tinas Party-Fotos". Das klappt immer!
ornis schrieb:Und auch Assange behauptet, daß die veröffentlichten Mails, die zu den Sanktionen geführt haben, keine Hack sondern einem Leak zu verdanken sind.
Ein Leak ist ja mal was ganz anderes. Also entweder er sagt die Unwahrheit, oder die Belege für den Hack sind konstruiert.